Cybersicurezza: ransomwere, la proposta di legge che sanziona il pagamento del riscatto
Nel testo si propone una delega al Governo per l’introduzione del divieto di pagamento del riscatto a seguito di un attacco ransomwere per i soggetti pubblici e privati inclusi nel “Perimetro di Sicurezza Nazionale Cibernetica”
È indubbio che gli attacchi ransomwere siano in continuo aumento: emerge chiaramente dai report e dalle analisi ufficiali – tra questi, anche gli operational summary mensili dell’Agenzia per la Cybersicurezza Nazionale (ACN) – e lo racconta altresì la nostra attività professionale di ogni giorno. L’incontro con realtà che abbiano subito tali attacchi e necessitino di assistenza nell’individuazione e nell’attuazione della strategia post-attacco, anche dal punto di vista della compliance, è sempre più frequente.
Secondo i già citati report ACN, nel mese di marzo 2025 si sono verificate 23 rivendicazioni di attacchi ransomware a danno di soggetti italiani. Nel maggio 2024 gli attacchi rivendicati erano stati 13.
Proprio l’aumento degli attacchi e il loro impatto sulle realtà italiane sono alla base del disegno di legge n. 1441, presentato al Senato della Repubblica, sul cui sito è disponibile, il 3 aprile 2025 ed assegnato alla Commissione Affari Costituzionali in sede referente il 23 aprile 2025.
Vi si propone una delega al Governo per l’introduzione del divieto di pagamento del riscatto a seguito di un attacco ransomwere per i soggetti pubblici e privati inclusi nel “Perimetro di Sicurezza Nazionale Cibernetica”, ossia quell’insieme che ricomprende le amministrazioni pubbliche, gli enti e gli operatori pubblici e privati con sede nel territorio nazionale inclusi nell’elencazione adottata dal Presidente del Consiglio dei Ministri. Si tratta, in particolare, di chi eserciti una funzione essenziale dello Stato o offra servizi essenziali per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, laddove l’esercizio di tali funzioni o la prestazione di tali servizi dipendano da reti, sistemi informativi e servizi informatici, tenuto conto dell’entità del pregiudizio per la sicurezza nazionale che, in relazione alle specificità dei diversi settori di attività, può derivare dal malfunzionamento, dall’interruzione, anche parziali, ovvero dall’utilizzo improprio delle reti, dei sistemi informativi e dei servizi informatici predetti.
Si prevede che il divieto di pagamento del riscatto sia assistito da una sanzione amministrativa “commisurata alla violazione” e che sia altresì derogabile mediante specifica determinazione del Presidente del Consiglio dei ministri “in presenza di un rischio grave e imminente per la sicurezza nazionale connesso all’attacco ransomwere”.
Si intende vietare, più precisamente, il pagamento del riscatto richiesto dagli attaccanti dopo che questi abbiano posto in essere le diverse condotte in cui un attacco ransomwere può consistere: quelle di cui all’art. 629, 3° comma, c.p., le quali, può giovare ricordarlo, consistono nel costringere a fare o ad omettere qualcosa procurando a sé o ad altri un ingiusto profitto con altrui danno mediante l’accesso abusivo ad un sistema informatico (o telematico), l’intercettazione, l’impedimento o l’interruzione illecita di comunicazioni informatiche (o telematiche), la falsificazione, l’alterazione o la soppressione del contenuto di comunicazioni informatiche (o telematiche), il danneggiamento di informazioni, dati, programmi informatici, sistemi informatici (o telematici) o specificamente di sistemi informatici (o telematici) di pubblico interesse, oppure mediante la minaccia di compiere tali azioni.
La proposta di legge reca, poi, ulteriori misure di contrasto.
Tra queste, in particolare, un obbligo di notifica tempestiva: si impone a tutti i soggetti pubblici e privati l’obbligo di notificare al CSIRT (Computer Security Incident Response Team) l’attacco ransomware entro sei ore dalla sua conoscenza, pena sanzioni amministrative proporzionate. Ancora, si intende incaricare l’Agenzia per la cybersicurezza nazionale di predisporre un piano di azione a sostegno dei soggetti colpiti da attacchi ransomware, fornendo assistenza tecnica e strategica, proponendosi altresì l’istituzione di una task-force nazionale presso il CSIRT dedicata al contrasto degli attacchi ransomware, con funzioni di coordinamento e supporto operativo. Si prevedono l’introduzione di incentivi economici per l’Agenzia per la cybersicurezza nazionale e la creazione di un fondo nazionale di risposta agli attacchi ransomware, destinato a supportare i soggetti colpiti nel ristoro delle perdite economiche subite. L’accesso ai benefici del fondo è subordinato al rispetto di requisiti minimi di cybersicurezza (come l’uso di autenticazione multi-fattore, backup regolari, sistemi antivirus aggiornati). Tuttavia, tali benefici sono estesi anche ai soggetti che non abbiano rispettato del tutto i criteri tecnici previsti, qualora questi abbiano collaborato attivamente con le autorità competenti fornendo elementi utili alle indagini.
Ancora, formazione obbligatoria e incentivi per le piccole e medie imprese: si introduce l’obbligo di formazione annuale in materia di cybersicurezza per i dipendenti pubblici e si prevedono incentivi fiscali per la formazione nelle piccole e medie imprese, al fine di accrescere la consapevolezza e le capacità di prevenzione degli attacchi ransomware. Si incentivano la sottoscrizione di polizze assicurative contro i rischi informatici, in particolare per le PMI, come “strumento di resilienza economica e gestione del rischio”, e si prevede l’obbligo per i soggetti pubblici e privati colpiti da attacco ransomware di effettuare un audit post-incidente, con analisi delle vulnerabilità sfruttate, delle misure adottate e dei tempi di recupero, e trasmissione di un report finale all’Agenzia per la cybersicurezza nazionale, “al fine di contribuire al rafforzamento sistemico della resilienza del Paese”.
Non è un caso che il disegno di legge richiami espressamente l’esigenza di coordinamento con le normative europee: alcune delle misure ora brevemente illustrate riprendono, con accenti differenziati, la normativa di derivazione europea, e in particolare la Direttiva NIS 2.
Come è noto, la Direttiva (UE) 2022/2555 “relativa a misure per un elevato livello comune di cibersicurezza in tutta l’Unione”, c.d. “Direttiva NIS2”, è intervenuta ad ammodernare il quadro normativo europeo in materia di cybersicurezza, abrogando la Direttiva (UE) 2016/1148.
La revisione del quadro normativo si inseriva nell’ambito della “Strategia dell’UE in materia di cibersicurezza per il decennio digitale”, elaborata dalla Commissione europea e dall’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza. Occorreva affrontare principalmente due questioni: l’espansione del panorama delle minacce informatiche e la frammentazione del mercato interno, causata dalle “notevoli divergenze” nell’attuazione della Direttiva del 2016 da parte degli Stati membri, anche sul punto dell’ambito di applicazione, la cui delimitazione era lasciata in larga misura alla discrezione degli Stati membri (così, il considerando 4 della Direttiva NIS2).
Così, l’ampliamento dell’ambito di applicazione, per superare le carenze della differenziazione tra gli operatori di servizi essenziali e i fornitori di servizi digitali, e l’introduzione di un criterio uniforme per l’individuazione dei soggetti che rientrano nell’ambito di applicazione della normativa.
La Direttiva NIS 2 è stata recepita nell’ordinamento italiano dal D.lgs. 4 settembre 2024, n. 138, pubblicato nella Gazzetta Ufficiale del 1° ottobre 2024. La normativa si applica dal 18 ottobre 2024, ma con la previsione di termini specifici per determinate previsioni.
Per riepilogare: i soggetti essenziali e i soggetti importanti, ossia, semplificando, i soggetti individuati entro il 31 marzo di ogni anno dall’Agenzia per la cybersicurezza nazionale, devono adottare misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi riguardanti la sicurezza dei sistemi informativi e di rete utilizzati nelle proprie attività o nella fornitura dei propri servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti. Le misure, “basate su un approccio multi-rischio”, devono comprendere alcuni elementi minimi, tra cui l’adozione di politiche di analisi dei rischi e di sicurezza dei sistemi e l’introduzione di politiche e procedure per valutare l’efficacia delle misure di sicurezza.
Anche la NIS2, come poi la nuova proposta in materia di ransomwere, sancisce un obbligo di notifica al CSIRT. Tale obbligo si riferisce agli “incidenti di sicurezza” e il suo presupposto è che questi abbiano un impatto significativo sulla fornitura del servizio. In alcuni casi, consultato il CSIRT, può altresì doversi procedere alla comunicazione ai destinatari dei servizi che potrebbero essere interessati da una minaccia informatica significativa.
Gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti sono chiamati ad approvare le modalità di implementazione delle misure di gestione dei rischi per la sicurezza informatica, a sovrintendere all’implementazione degli obblighi in materia di gestione del rischio e di notifica di incidente, nonché agli obblighi informativi e, infine, sono espressamente individuati quali responsabili delle violazioni della normativa.
Questo, in breve, il quadro offerto dalla NIS 2, che pure è un tassello di una struttura normativa più ampia, che si compone del Regolamento DORA, della Direttiva (UE) 2022/2557 del 14 dicembre 2022 relativa alla resilienza dei soggetti critici, il Cyber Solidarity Act, del Regolamento (UE) 2025/38 che stabilisce misure intese a rafforzare la solidarietà e le capacità dell’Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e del Regolamento (UE) 2024/2847 relativo a requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali, il Cyber Resilience Act. Un impianto normativo già complesso, con il quale inevitabilmente occorre confrontarsi nel contrasto a quello che pare vada affermandosi come uno dei fenomeni criminali tipici del nostro tempo.
_______
*Giorgia Bianchini, Studio Legale Finocchiaro
