In un contesto in cui gli attacchi informatici, in particolare quelli di tipo ransomware, sono in aumento, il governo italiano sta preparando una legge che renderà illegale il pagamento di riscatti per recuperare i dati compromessi. Questa proposta mira a proteggere le aziende e le istituzioni pubbliche da forme di estorsione informatica, stabilendo un quadro normativo chiaro e sanzioni per chi non rispetta le nuove regole. È un tentativo di contrastare un fenomeno che ha già causato danni ingenti in tutto il mondo.
Il percorso della proposta di legge
Il deputato Matteo Mauri, del Partito Democratico, ha presentato una proposta di legge che attualmente si trova in fase di valutazione presso la Commissione cultura della Camera. Presieduta da Federico Mollicone di Fratelli d’Italia, la commissione esaminerà le disposizioni contenute nel testo, che include misure preventive e punitive contro il pagamento dei riscatti. Questa proposta è il risultato di un crescente consenso politico, che ha portato a un impegno bipartisan nella lotta contro il ransomware, riconoscendo la necessità di un cambiamento normativo.
Mollicone ha evidenziato che non si può affrontare solo il problema legale, ma anche quello della consapevolezza. Secondo lui, il “fattore umano” è una delle vulnerabilità più critiche associate a questi attacchi. Ha suggerito che il ministero dell’Istruzione e l’Agenzia per la cybersicurezza nazionale debbano lavorare insieme per implementare programmi di educazione digitale nelle scuole e sensibilizzare l’industria attraverso attività come il Roadshow, dedicato alle piccole e medie imprese.
Il focus sulle misure preventive
La proposta stabilisce che nessun soggetto pubblico o privato che rientri nel Perimetro di Sicurezza Nazionale Cibernetica può pagare riscatti. Questo comprende strutture che forniscono servizi essenziali come banche, energie e trasporti. Chi viola questa regola si espone a pesanti sanzioni amministrative. Inoltre, nel caso di attacchi ransomware che possano compromettere la sicurezza nazionale, il presidente del Consiglio avrà il potere di autorizzare eccezioni e attivare misure di intelligence.
Non solo, le aziende colpite da un attacco riuscito hanno l’obbligo di comunicare l’incidente al Csirt Italia, l’agenzia che si occupa di monitorare e rispondere a tali minacce, entro sei ore dall’attacco. La mancata notifica comporterà anch’essa sanzioni. Si estende, inoltre, il potere delle forze di polizia a indagare su reti e sistemi usati per compiere reati informatici anche al di fuori dei confini nazionali, ampliando così le capacità operative contro il crimine informatico internazionale.
Sostegno alle vittime di ransomware
La proposta di legge non si limita a stabilire divieti, ma prevede anche misure concrete di supporto per le vittime degli attacchi ransomware. L’Acn dovrà elaborare un piano d’azione mirato a fornire assistenza alle aziende colpite, con particolare attenzione alle piccole e medie imprese e alle pubbliche amministrazioni. Ciò include aiuto nella gestione degli attacchi, strategie per minimizzare i danni e assistenza nel recupero delle operazioni.
In aggiunta, verrà istituito un Fondo nazionale dedicato alle vittime di ransomware. Questo fondo sarà destinato a coloro che, avendo rispettato gli obblighi di comunicazione previsti dalla legge, hanno subito perdite economiche a causa di attacchi informatici. Tali misure rappresentano un passo significativo nella protezione delle aziende italiane e nella lotta contro un crimine informatico sempre più sofisticato.
Il provvedimento, una volta approvato, modificherà profondamente il modo in cui le aziende affrontano gli attacchi ransomware, portando con sé implicazioni per la sicurezza digitale a lungo termine. La legge rappresenta un’azione strategica verso la creazione di un ambiente più sicuro nel cyberspazio italiano.