Derzeit ist es rechtlich zwar meist eine Grauzone, aber in einigen Fällen gilt ein Ransomware-Angriff auch als Datenschutzverletzung. Als Konsequenz können Kunden der betroffenen Unternehmen mit Bezug auf HIPAA (Health Insurance Portability and Accountability Act) und DSGVO (Datenschutzgrundverordnung) in deren Geltungsbereich auf Fahrlässigkeit plädieren und das Unternehmen verklagen, wodurch neben den direkten Ausgaben für Lösegeld und/oder Wiederherstellung der verschlüsselten Daten zusätzliche erhebliche Kosten durch Bußgelder und Geldstrafen entstehen können.