In discussione al Senato il disegno di legge in tema di cybersicurezza e di attacchi ransomware

In discussione al Senato il disegno di legge in tema di cybersicurezza e di attacchi ransomware
Il disegno di legge n. 1441, presentato dal Senatore del Partito Democratico Basso il 3 aprile scorso e assegnato alla Commissione Affari Costituzionali il 23 aprile, rubricato “Delega al Governo per la definizione di una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione”, propone, tra le altre cose, di introdurre il divieto di pagamento del riscatto per i ransomware.

Come mai è così importante rafforzare la resilienza nazionale contro gli attacchi ransomware?

L’Italia ha registrato una crescita vertiginosa di attività cybercriminali, tra le quali è proprio il ransomware a rappresentare una delle principali minacce. Ciò è quanto viene registrato dalla stessa Agenzia per la Cybersicurezza Nazionale (ACN) nella relazione annuale presentata il 13 maggio al Parlamento e trasmessa ai Presidenti della Camera dei Deputati e del Senato della Repubblica. I dati parlano chiaro: nel 2024 il CSIRT Italia (“Computer Security Incident Response Team”) ha gestito quasi duemila attacchi cyber, di cui ben 573 con impatto confermato, facendo così segnare un aumento degli incidenti quasi del 90%. Seppur le attività di prevenzione e segnalazione siano state efficaci, il pericolo rimane e rafforzare l’“architettura nazionale di cybersicurezza” è di primaria importanza.

I punti salienti del disegno di legge sul ransomware

Preliminarmente, come funziona il “ransomware”? Il ransomware infetta attraverso un malware il dispositivo digitale della vittima limitando o bloccando l’accesso a tutti o ad alcuni dei suoi contenuti, per poi chiedere un riscatto (“ransom”) da pagare per “liberarli”.

Ma vediamo insieme come il disegno di legge intende contrastare il ransomware:

  • Introduzione del divieto di pagamento del riscatto per i soggetti inclusi nel “Perimetro di sicurezza nazionale cibernetica” (PSNC), pena l’irrogazione di una sanzione amministrativa commisurata alla violazione. Tuttavia, il divieto può essere derogato con specifica determinazione dal Presidente del Consiglio ed in presenza di un rischio grave ed imminente per la sicurezza nazionale.
  • Gli ufficiali della polizia giudiziaria delle Forze dell’ordine sono autorizzati a svolgere attività sotto copertura (di cui all’articolo 9, comma 1, lettera b)-ter, della legge 16 marzo 2006, n. 146) anche su reti, sistemi informativi e servizi informatici utilizzati per compiere reati informatici posti fuori dai confini nazionali.
  • L’obbligo per le vittime di un attacco ransomware di notificare al CSIRT Italia l’incidente entro sei ore dalla scoperta (anche qui pena sanzione amministrativa), salvi i casi in cui le misure di sicurezza implementate prima dell’attacco ne abbiano bloccato gli effetti. Sarà poi compito del CSIRT Italia trasmettere tempestivamente tale notifica all’organo deputato del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione, agli organismi di informazione per la sicurezza, alle Autorità di vigilanza competenti di cui al Regolamento DORA (laddove pertinente) e al Ministero della difesa (in caso di rilevanza per la difesa dello Stato).
  • Predisposizione da parte di ACN di un piano di azione a sostegno dei soggetti colpiti dall’attacco ransomware (con un focus per le PA locali e le PMI) e che preveda: almeno un supporto operativo per le fasi di gestione dell’attacco, il contenimento degli effetti, il recupero dell’operatività delle reti, la valutazione di alternative al pagamento del riscatto, buone prassi e misure di sicurezza informatica preventive e mitigatorie.
  • Istituzione di una task-force nazionale in seno al CSIRT Italia, con funzioni di coordinamento, che fungerà da punto di riferimento e contatto unico, con un ruolo di supporto alle vittime ed una funzione di raccordo informativo nazionale e non.
  • Previsione di un “Fondo nazionale di risposta agli attacchi ransomware per supportare le vittime e disincentivarle al pagamento dei riscatti, il cui accesso è subordinato all’esecuzione dell’obbligo di notifica dell’attacco (salve alcune eccezioni in caso di attiva collaborazione).
  • Promozione della cultura della sicurezza informatica con l’obbligo in capo ai dipendenti pubblici di formazione annuale in materia di cybersicurezza e con un meccanismo di incentivi a favore delle PMI che investano nella formazione del personale.
  • Requisiti minimi obbligatori di cybersicurezza (es. sistemi MFA, antivirus, backup aggiornati regolarmente).
  • Obblighi per le vittime di effettuare un audit post-incidente con un contenuto minimo (analisi tecnica dell’attacco, valutazione delle vulnerabilità sfruttate, descrizione delle contromisure adottate e tempo di recupero) e, successivamente, trasmesso ad ACN.
  • Il c.d. “safe harbor”, una disciplina di protezione giuridica volta a favorire i soggetti che segnalino in buona fede delle vulnerabilità rilevanti.
  • Coordinamento con la regolamentazione europea di settore (Direttiva NIS-2 e Regolamento DORA)

È necessario ora attendere la conclusione dell’iter legislativo per conoscere ulteriori approfondimenti e novità.

Dott.ssa Giulia Amadeo e Dott. Lapo Lucani

Related Posts
Crisi d’impresa e monetizzazione del pegno bancario
16. Jun. 25 | Articoli Crisi d’impresa e monetizzazione del pegno bancario

Arbitrato societario con sede all’estero: la Cassazione si esprime sulla legittimità della clausola statutaria
13. Jun. 25 | Articoli Arbitrato societario con sede all’estero: la Cassazione si esprime sulla legittimità della clausola statutaria

Vittime illustri nel mirino dei deepfake: le piattaforme non fanno abbastanza?
13. Jun. 25 | Articoli Vittime illustri nel mirino dei deepfake: le piattaforme non fanno abbastanza?

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori