La proposta di legge n. 2318 presentata dalla Camera dei Deputati il 24 marzo 2025 viene considerata la prima iniziativa legislativa italiana dedicata alla gestione delle fattispecie ransomwares a scopo di estorsione, e cioè a quelle particolari forme di attacchi informatici a sistemi software generate a titolo di riscatto o per motivi politici che determinano la perdita di accesso e/o gestione dei dati detenuti dall’organizzazione.
Lo scopo dei ransomwares è quello di danneggiare il funzionamento e la reputazione degli Enti determinando la destabilizzazione degli utenti e/o cittadini.
Lo sforzo nazionale per ridurre e gestire le conseguenze del fenomeno del ransomware, sia a livello normativo che operativo, nasce quale risposta alla proliferazione di attacchi informatici in un contesto di crescente minaccia alla sicurezza nazionale e internazionale, generata da profondi cambiamenti geopolitici.
L’intervento normativo, volto a scoraggiare il pagamento dei riscatti affinché’ lo stesso sia inefficace e non conveniente, è in linea con quelli pensati anche in altri Paesi, tra i primi il Regno Unito, che nel gennaio ha proposto di vietare il pagamento dei riscatti da parte di organizzazioni del settore pubblico e infrastrutture critiche nazionali, oppure della Francia, che ha abbandonato l’idea di assicurare l’amministrazione in caso di perdita di dati per aggressione.
Il disegno di legge italiano si distingue per l’elaborazione di una vera e propria strategia nazionale per il contrasto di questa specifica tipologia di criminalità informatica, con il finanziamento di un piano di azione a sostegno di tutti i soggetti pubblici e privati vittime di un attacco informatico a scopo di estorsione, con possibilità di accesso, anche per le pubbliche amministrazioni locali e le piccole e medie imprese a:
- un supporto operativo nelle fasi di gestione dell’attacco, per il contenimento degli effetti dannosi, il recupero dell’operatività delle reti, dei sistemi informativi e dei servizi informatici colpiti, e la valutazione delle alternative all’eventuale pagamento del riscatto
- buone prassi e misure di sicurezza informatica preventive per mitigare il rischio di essere colpiti da un attacco informatico a scopo di estorsione
I. Il quadro fenomenologico e la cornice normativa di riferimento
Secondo l’ultimo Report dell’Agenzia dell’Unione europea per la cibersicurezza (ENISA), l’Italia è tra i Paesi dell’Unione Europea più colpiti dagli attacchi ransomware ed il sesto a livello mondiale (terza dopo Germania e Francia).
Solo nel mese di maggio 2025 sono stati rilevati nel nostro paese 17 attacchi ransomware con un aumento del 20% rispetto alla media dei sei mesi precedenti.
L’ evoluzione della minaccia ransomware ha comportato una riorganizzazione criminale, con una progressiva specializzazione e la creazione del RaaS (Ransomware-as-a-Service, in italiano “ransomware in affitto”), un modello di business nel quale gli sviluppatori vendono il proprio malware ad altri hacker o concordano con gli stessi una percentuale sul ricavo del riscatto.
Tra le maggiori tipologie viene segnalato, ad esempio, il malware INC – nota minaccia Ransomware-as-a-Service (RaaS) emersa intorno a luglio 2023 – ai danni di organizzazioni operanti sul territorio nazionale nel cui ambito viene utilizzata la tecnica denominata “double extortion” con l’esfiltrazione, la cifratura e successivamente la minaccia di pubblicazione o eliminazione dei dati sensibili collezionati dal ransomware (la cd. “i ransom note” ) in assenza di pagamento del riscatto.
Altro modello RaaS è rappresentato dal LockBit – malware dell’omonima Cyber Gang,attiva dal 2019 che ha in breve raccolto un gran numero di affiliati con il sistema di revenue sharing, in quale – alla fine del 2023- è stato responsabile di uno dei più importanti attacchi alle infrastrutture cloud e catene di approvvigionamento italiane, con sospensione dei servizi di circa 700 dei soggetti pubblici nazionali e locali, in primis Comuni.
Detta tipologia di aggressione dei sistemi cloud – arrestata inizialmente da un’importante operazione del 2024 dalla National Crime Agency del Regno Unito in cooperazione con l’Europol e l’FBI – è stata nuovamente utilizzata grazie alla diffusione della nuova versione (la LockBit 4.0) che integra metodi di offuscamento avanzati e moduli di aggressione rinnovati tali da sfuggire ai rilevamenti delle difese tradizionali.
In Italia la disciplina del cd. “cybercrimine” è stata introdotta dalla regolamentazione in materia di cybersecurity, e quindi in un sistema di norme di tipo tecnico e di approccio preventivo, incentrate sugli obblighi relativi alle misure di sicurezza, alla resilienza delle infrastrutture e dei sistemi informativi.
In particolare il concetto di reato informatico – che trova la sua prima formulazione nella Legge 547/1993- realizza il proprio moderno e attuale sviluppo nella Legge 28 giugno 2024, n. 90 “Legge sulla Cybersicurezza” (adottata infatti in attuazione della Direttiva (UE) 2022/2555 nota come Direttiva NIS2- ed espressione politiche comunitarie di innalzamento del livello comune di cybersicurezza nell’Unione), cui si deve – tra le altre- la creazione dell’ autonoma fattispecie penale di estorsione informatica, assieme all’inasprimento delle pene per gli altri reati informatici.
La Direttiva NIS2, recepita in Italia con il D.Lgs. 138/2024, rappresenta ad oggi, a livello internazionale, il più potente strumento normativo di standardizzazione della cybersecurity, pensato per i settori cd. “essenziali” e “importanti” riferibili e gestiti anche dalle pubbliche amministrazioni.
Le PA interessate sono quindi oggi chiamate ad adottare misure tecniche, operative e organizzative per la gestione dei rischi relativi alla sicurezza dei sistemi informativi e di rete sanzioni per le violazioni, che possono includere sanzioni pecuniarie, responsabilità amministrative (es. divieto temporaneo di ricoprire ruoli dirigenziali).
La Direttiva NIS 2 (Network and Information Security) e la Legge 90/2024, pur avendo obiettivi comuni nel rafforzamento della sicurezza informatica della pubblica amministrazione, operano su ambiti soggettivi ed applicativi diversi. La NIS 2, mira a un livello comune elevato di cybersicurezza nell’Unione Europea, applicandosi a settori specifici e dimensioni aziendali.
La Legge 90/2024, invece, è un quadro normativo nazionale che si concentra sulla gestione della cybersecurity a livello nazionale, con particolare attenzione agli enti pubblici e ai reati informatici.
Entrambe le norme impongono procedure, obblighi di notifica e criteri di identificazione degli incidenti ma non sono di certo sovrapponibili.
Nel novero delle norme di riferimento altro pilastro fondamentale della strategia italiana per la sicurezza informatica e’ il Perimetro di Sicurezza Nazionale Cibernetica (PSNC), istituito con il Decreto Legge 105/2019, che mira a proteggere le infrastrutture critiche del paese introducendo rigidi protocolli di sicurezza atti a mitigare i rischi informatici e prevenire eventuali attacchi in capo a enti pubblici, operatori strategici e aziende private che forniscono servizi essenziali, come quelli legati alla pubblica amministrazione, alla difesa e alla sicurezza.
Sempre in materia di servizi essenziali ricordiamo la direttiva CER 2022/2557 (Critical Entities Resilience), recepita in Italia con il Decreto Legislativo 134/2024 che introduce nel nostro ordinamento obblighi specifici ai soggetti che forniscono servizi essenziali, definiti quali “soggetti critici”, per garantire la resilienza delle infrastrutture critiche e la continuità dei servizi essenziali.
Questi obblighi includono la valutazione dei rischi, l’adozione di piani di resilienza, la notifica degli incidenti e la cooperazione con le autorità, disciplinando quindi l’approccio e le sanzioni per mancato adeguamento rispetto ad una vasta gamma di minacce, inclusi incidenti di natura fisica, naturale, accidentale.
In particolare la Direttiva CER è responsabile dell’ istituzione di un organismo di raccordo e vigilanza: il Comitato interministeriale per la Resilienza (CIR) incardinato presso la Presidenza del Consiglio del Ministri, composto da ciascun Ministro dei Settori Essenziali, con partecipazione altresì del direttore generale dell’Agenzia per la cybersicurezza nazionale del capo del Dipartimento della protezione civile della Presidenza del Consiglio dei ministri e altre autorità civili e autorità militari.
Il quadro di regolamentazione rilevante in materia di violazione della Cybersicurezza è completato dalle linee Guida elaborate da ACN quali
- Il Framework Nazionale per la Cybersecurity e la Data Protection, sviluppato in Italia per aiutare le organizzazioni a gestire i rischi legati alla sicurezza informatica e alla protezione dei dati personali
- Le Determinazioni ACN illustrative delle misure di sicurezza di base, dei criteri di qualificazione degli incidenti significativi di base sia per i soggetti importanti e per quelli essenziali, nonché’ delle modalità di notificazione
Altra fonte regolamentare concorrente di riferimento è di certo inoltre rappresentata dal Piano Triennale per l’Informatica nella Pubblica Amministrazione – introdotto in base al Codice dell’Amministrazione Digitale (CAD)- con particolare riferimento Capitolo 7 “Sicurezza informatica”.
Gli adempimenti richiesti dal Capitolo, pur non essendo direttamente sanzionabili, se non finalizzati, possono rilevare ai fini dell’erogazione dei servizi digitali e nell’interazione con cittadini e imprese, oltre a compromettere il raggiungimento degli obiettivi di digitalizzazione previsti.
Le misure e le nomine del P.T.I. sono state ad oggi atteso che l’attuazione del Piano costituisce idoneità per la partecipazione di bandi e finanziamenti dedicati alla digitalizzazione.
Inoltre, per le pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, l’art 18 octies del C.A.D. sono introdotti poteri di vigilanza, verifica, controllo nonche’ sanzioni amministrative in capo all’Agid.
Al di fuori della detta cornice normativa inerente obblighi e sanzioni non possiamo non ricordare altresì – gli Standard ISO IEC, con particolare riferimento ai requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), per piano continuata nonché’ l’implementazione di procedurali manageriali per la governance dei dati.
Il quadro AgID (Agenzia per l’Italia Digitale) che stabilisce misure minime di sicurezza informatica per le pubbliche amministrazioni, con sanzioni per la loro violazione.
Queste misure, introdotte dal Codice dell’Amministrazione Digitale (CAD), mirano a garantire un livello di protezione adeguato delle infrastrutture IT della PA.
In caso di non conformità, AgID può applicare sanzioni amministrative pecuniarie e, in casi gravi, può disporre la cancellazione del fornitore del servizio dagli elenchi qualificati e il divieto di accreditamento.
II. Le novità attese
Il testo, composto un unico articolo che delega il Governo a intervenire a mezzo di decreti legislativi da attuare entro sei mesi dall’entrata in vigore della legge, prevede l’introduzione delle seguenti misure:
- Possibilità di classificare l’attacco ransomware come “minaccia per la sicurezza nazionale“ con la conseguente attivazione di misure di sicurezza intelligence di contrasto comprese attività sotto copertura (telematica) nelle indagini informatiche oltre confine;
- Obbligo di notifica dell’incidente informatico entro 6 ore dall’ attacco ransomware ad un Nucleo di Intervento nazionale incardinato nel CSIRT (la struttura ACN che monitora, intercetta, analizza e risponde alle minacce cyber) pena una sanzione amministrativa commisurata alla violazione ;
- Divieto di pagamento del riscatto per i soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica
- Audit pre e post incidente obbligatori
- Formazione obbligatoria sulla cybersicurezza
- Elaborazione di un piano di Azione di prevenzione che preveda “le buone prassi e le misure di sicurezza informatica preventive a cui i soggetti pubblici e privati possono fare riferimento per mitigare il rischio di essere colpiti da un attacco informatico a scopo di estorsione”;
- Supporto tecnico alle vittime in capo dell’Agenzia per la Cybersicurezza Nazionale (ACN) gestione incidenti, ripristino sistemi e supporto decisionale alternativo al pagamento.
- Istituzione di un Fondo nazionale di risposta agli attacchi ransomware per ristorare, in determinate fattispecie, le perdite subite a seguito dell’attacco subito attivabile dai soli Ente in grado di dimostrare l’adeguamento della propria organizzazione al complesso di misure del Piano d’Azione di ACN.
III. Nuovi obblighi e tutele per i piccoli Comuni ed organizzazioni prima escluse dalla cybersicurezza
L’iniziativa di legge, oggi al vaglio delle Commissioni riunite I Affari Costituzionali e IX Trasporti, rappresenta di certo il tentativo di un approccio operativo alla gestione dei danni causati dagli incidenti informatici malevoli, con un’attenzione particolare agli aspetti procedurali e finanziari, e cioe’ alle attività e operazioni indispensabili per fornire un supporto pratico alle organizzazioni vittime di cyber-attacchi qualificabili di tipo ransomware, sia esse pubbliche che private, sia di grandi che piccole dimensioni.
La promulganda disciplina sarà quindi concentrata alle operazioni di gestione – operativa e finanziaria- degli effetti dannosi dei data breach di matrice criminosa ma -non potendo esimersi da un approccio sistematico-preventivo connaturato al concetto di cybersicurezza – dovrà necessariamente enucleare precise misure di sicurezza minime obbligatorie per gli enti interessati compresi, come indicato alla lettera f) , adeguate alle pubbliche amministrazioni locali e le piccole e medie imprese.
Dall’analisi del Disegno di Legge a raffronto con il contenuto precettivo della sin qui citata copiosa e concorrente normativa speciale in materia di cybersicurezza, l’elemento di certo innovativo è rappresentato dalla indiscriminata estensione delle tutele e degli obblighi previsti a tutte le Organizzazioni Titolari dei dati coinvolte dal ransomware, che prescinde dalla grandezza, dalla qualificazione e dal Settore di operatività, con la conseguente applicabilità della normativa anche a quei soggetti, sia essi pubblici che privati, ad oggi non ricompresi nel perimetro soggettivo di applicazione di cui alla disciplina di cui alla L 90/2024, ne’ dalla NIS 2 e ACN, e men che meno della Direttiva CER.
Si fa riferimento soprattutto alle piccole imprese, organismi quali gli ordini professionali, nonché’ le principali vittime degli attacchi e cioè i Comuni con una popolazione pari o inferiore a 100.000 abitanti, Target sensibili e molto colpito, in ragione delle ridotte risorse e capacità organizzative.
L’attuazione normativa dovrà quindi di certo prendere in considerazione i diversificati obblighi relativi agli adempimenti operativi e gli standard di sicurezza già previsti dalle Autorità nazionali Privacy e Digitalizzazione e Cybersicurezza al fine di scongiurare incongruenze in uno scenario regolamentare adempimentale già complesso e fatto di sovrapposizioni quali
- il Regolamento Generale sulla Protezione dei Dati G.D.P.R. in materia di prevenzione (analisi dei rischi e valutazione d’impatto), gestione (privacy by design e privacy by default), notificazione data breach per indisponibilità dei dati personali
- la Legge 90/2024 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” circa
- i provvedimenti attuativi dell’ ACN adottati sulla base del Framework nazionale per la Cybersecurity e Data Protection e e del D.Lgs. 138/2024quali :
- le Linee Guida per il rafforzamento della resilienza dei soggetti critici e le L.G. per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio
- il Regolamento per le Infrastrutture Digitali pe per i Servizi Cloud per le P.A. del 24.07.2024
- Le Determinazioni ACN con particolare riguardo alla Determinazione ACN 164179 del 14 aprile 2025
- Le misure minime di sicurezza ICT emanate dall’AgID
Appare quindi ipotizzabile, da parte del Legislatore, l’individuazione di un nuovo quadro di misure minime di sicurezza – coordinata dall’azione dell’Agenzia ACN in sinergia con l’Agid- ridotto ovvero diversificato, che possa rappresentare una guida chiara anche per le organizzazioni di più ridotte dimensioni e risorse, con univoci riferimenti circa gli organismi di vigilanza e le sanzioni.
Quale che sara’ il quadro ACN delle nuove disposizioni di sicurezza informatiche standard per tutte le organizzazioni vittime di ransomware, un ecosistema amministrativo digitale compliant non potrà in ogni caso esimersi dalla previsione di quelle congrue misure di tipo organizzativo, volte a garantire la riservatezza, l’integrità e la disponibilità dei dati personali e soprattutto commisurate al rischio e valutate in base alla specificità del trattamento dei dati, come articolate altresì dal G.D.P.R. e dai pareri del Garante per la Protezione dei dati.
A cura dell’ Avv. Chiara De Angelis
