Il 2025 si sta confermando come un anno cruciale nella gestione delle minacce cibernetiche. Con l’Italia tra i Paesi più colpiti al mondo da attacchi ransomware – dietro solo a Germania e Francia in Europa – la politica si è finalmente mossa verso una risposta normativa strutturata.
La proposta di legge dell’on. Matteo Mauri (PD) rappresenta una svolta nel paradigma giuridico nazionale in materia di cyber-estorsioni, introducendo per la prima volta un divieto esplicito di pagamento del riscatto per i soggetti del Perimetro di Sicurezza Nazionale Cibernetica, affiancato da un sistema di obblighi, incentivi e sostegni operativi destinato a rafforzare la resilienza delle imprese e della pubblica amministrazione.
L’evoluzione delle minacce cibernetiche nel contesto geopolitico.
La crescente incidenza degli attacchi ransomware si inserisce in un panorama di minacce cibernetiche che sta diventando sempre più rilevante per la sicurezza nazionale. Secondo la Relazione annuale sulla politica dell’informazione per la sicurezza, il 50% degli attacchi cibernetici registrati nell’anno scorso sono stati legati allo spionaggio informatico, un aumento significativo rispetto agli anni precedenti. Accanto a questo fenomeno, si riscontrano attacchi ransomware e malware avanzati, che non solo mirano a estorcere denaro, ma spesso hanno l’obiettivo di compromettere le infrastrutture critiche, rendendo il contrasto a tali minacce una priorità assoluta.
In Italia, tra gennaio e febbraio scorso, azioni ransomware hanno prodotto il blocco della produzione di due società che, per questo, hanno dovuto mettere in cassa integrazione i propri dipendenti.
I contenuti chiave della proposta: prevenzione, obblighi e misure straordinarie.
Il testo, articolato in un unico articolo che delega il Governo a intervenire con decreti legislativi entro sei mesi, riguarda i soggetti pubblici e privati che rientrano nel Perimetro di Sicurezza Nazionale Cibernetica (imprese da cui dipendono funzioni o forniture di servizi essenziali per lo Stato, come banche, trasporti e energia) e prevede le seguenti misure:
- Divieto di pagamento del riscatto per i soggetti critici (banche, sanità, trasporti, energia, PA), derogabile solo in casi eccezionali tramite decisione del Presidente del Consiglio.
- Obbligo di notifica al CSIRT (la struttura ACN che monitora, intercetta, analizza e risponde alle minacce cyber) entro 6 ore per qualsiasi attacco andato a segno, con sanzioni per inadempienza.
- Qualificazione degli attacchi come minacce alla sicurezza nazionale, con attivazione facoltativa di misure di intelligence.
- Estensione delle attività sotto copertura delle forze dell’ordine anche su sistemi e reti collocati all’estero.
- Task force anti-ransomware presso il CSIRT, con funzione di coordinamento nazionale.
- Piano operativo nazionale dell’ACN per il supporto a PMI e PA: gestione incidenti, ripristino sistemi e supporto decisionale alternativo al pagamento.
- Incentivi finanziari all’ACN per l’attuazione delle attività previste.
- Fondo nazionale di risposta al ransomware, attivabile solo a seguito di notifica e cooperazione con le autorità.
Il divieto di pagamento: una leva strategica o un rischio per la continuità operativa?
Il nodo più delicato riguarda la proibizione di cedere al ricatto cyber. L’intento è chiaramente quello di azzerare il business model del ransomware, scoraggiando i criminali attraverso la sottrazione del loro incentivo economico.
La pena prevista, in caso di pagamento del riscatto, consiste in una pesante sanzione amministrativa, il cui importo è commisurato alla violazione.
Tuttavia, questo approccio, se non accompagnato da strumenti concreti e rapidi di supporto operativo, rischia di lasciare le imprese esposte a perdite irreversibili. La minaccia non è più meramente tecnica: essa assume i contorni di una questione esistenziale per il tessuto economico nazionale, soprattutto per le PMI, che spesso non possiedono né soluzioni di backup tempestive né strutture IT interne in grado di reagire con efficacia.
Il ruolo dei negoziatori: da esperti di crisi a potenziali corresponsabili?
Tra gli effetti collaterali più discussi della proposta c’è la messa a rischio della figura professionale del “cyber-negoziatore”, professionisti che assistono le vittime di ransomware nelle trattative con i criminali. La legge non prevede esenzioni specifiche per questi professionisti, il che potrebbe farli incorrere in responsabilità giuridiche nel caso in cui assistano un pagamento di riscatto. Questo solleva la necessità di una regolamentazione più chiara in merito, che stabilisca limiti operativi e definisca le modalità in cui i negoziatori possono operare in sicurezza legale, eventualmente creando un registro autorizzato di professionisti accreditati.
Il nodo delle criptovalute e del controllo dei flussi digitali
Il dibattito non si esaurisce nel binomio “pagare o non pagare”. Come osservato dal direttore dell’ACN, Bruno Frattasi, la sfida reale è il tracciamento dei flussi finanziari associati ai riscatti, che avvengono tramite asset virtuali come il Bitcoin, spesso al di fuori del circuito bancario e senza intermediari centralizzati.
Questo solleva il tema – ancora in evoluzione – di una normativa italiana ed europea più incisiva sul monitoraggio e la tracciabilità delle transazioni in criptovaluta, per rendere davvero efficace la politica di divieto.
Una strategia di lungo periodo: cultura, consapevolezza e investimento strutturale.
Seguendo un approccio strategico di resilienza nazionale, la proposta di Mauri non si limita a una risposta emergenziale. Essa mira a costruire una rete di sicurezza a lungo termine che includa azioni di formazione ed educazione digitale, in particolare nelle scuole, per rafforzare la prevenzione attraverso la consapevolezza, supporto per le PMI e l’adozione di misure preventive che possano minimizzare i rischi legati agli attacchi ransomware. Questi interventi dovrebbero creare una cultura della sicurezza digitale che protegga non solo le imprese ma l’intero sistema economico e istituzionale nazionale, in grado di ridurre il danno immediato e rafforzare la difesa nel lungo termine.
Conclusione: verso un modello italiano di sicurezza digitale.
Il testo di legge, oggi sostenuto trasversalmente dalle principali forze parlamentari, rappresenta una potenziale svolta nella cybersecurity italiana. Per funzionare, tuttavia, richiede:
- attuazione rapida e coordinata,
- coinvolgimento attivo del sistema industriale,
- e una lettura giuridica flessibile che non colpisca chi, già vittima, cerca una via di uscita nel mezzo della crisi.
Se correttamente implementata, questa riforma può rappresentare un benchmark europeo nella lotta al ransomware, segnando il passaggio da una logica emergenziale a una governance preventiva e strategica della cybersicurezza nazionale.
