La recente proposta di legge avanzata da Matteo Mauri introduce un divieto di pagamento dei riscatti per i soggetti del Perimetro di sicurezza nazionale cibernetica.
Assistenza e consulenza
per acquisto in asta
Un passo avanti nella strategia di contrasto al ransomware, ma occorre garantire un equilibrio tra sicurezza nazionale e continuità operativa delle imprese.
Ecco l’analisi delle criticità e alcune proposte concrete.
Una minaccia evoluta richiede risposte sistemiche
Il crescente impatto degli attacchi ransomware, tanto sulle infrastrutture critiche quanto sul tessuto imprenditoriale italiano, ha finalmente generato una risposta normativa strutturata.
In questo senso, la proposta di legge presentata dal PD e – sembrerebbe – ben accolta anche dagli esponenti della maggioranza, segna un punto di svolta nel contesto giuridico italiano per quanto riguarda la gestione delle cyber estorsioni.
Il testo mira a introdurre un divieto di pagamento dei riscatti per gli enti e le imprese definite “critiche” nell’ambito del Perimetro di sicurezza nazionale cibernetica, accompagnandosi a una serie di altri obblighi, tra cui la notifica tempestiva, misure di intelligence, incentivi economici e l’istituzione di un fondo di garanzia per il ristoro dei danni.
Microcredito
per le aziende
Il disegno di legge si colloca di fatto tra gli strumenti più avanzati adottati finora in Europa, riconoscendo l’urgenza di azioni coordinate contro una delle principali minacce per la sicurezza digitale nazionale.
Tuttavia, proprio in ragione della delicatezza dell’ambito normato, è fondamentale interrogarsi sugli impatti pratici del divieto, sulle possibili misure di compensazione economica e sull’evoluzione del contesto interpretativo e operativo in cui le imprese si muovono, spesso da sole, quando si trovano vittime di un attacco ransomware.
Il provvedimento: vietare il riscatto per non finanziare il crimine
L’obiettivo primario della proposta è chiaro: interrompere i flussi economici verso le organizzazioni criminali e, quando coinvolti, verso attori statuali ostili.
Il ransomware è in evoluzione: non più solo strumento di estorsione, ma leva per azioni di sabotaggio, spionaggio industriale e destabilizzazione economica.
Dunque, il divieto di pagamento imposto ai soggetti del Perimetro trova piena legittimazione dal punto di vista della strategia di contenimento del fenomeno.
In assenza di un ritorno economico, l’interesse delle cyber-gang a colpire gli obiettivi italiani “critici” dovrebbe – almeno sulla carta – diminuire.
Inoltre, la previsione di misure di intelligence cibernetica e l’estensione delle attività sotto copertura degli organi investigativi – anche oltre confine – testimoniano un cambio di passo nell’approccio governativo, orientato a una difesa attiva e preventiva.
Le criticità operative: il rischio di scaricare tutto sulle vittime
Tuttavia, se da un lato il provvedimento mira a proteggere lo Stato e il sistema Paese su scala internazionale, dall’altro non si può negare che la proposta, qualora sviluppata nel senso indicato, avrebbe implicazioni molto concrete e potenzialmente problematiche per i singoli soggetti colpiti.
La principale criticità riguarda il rischio reale di rendere impossibile la continuità operativa delle imprese in seguito a un attacco.
Opportunità unica
partecipa alle aste immobiliari.
In un contesto in cui le PMI – spesso prive di backup efficaci, team IT dedicati o risorse disponibili per ristrutturare tempestivamente i propri sistemi – rappresentano oltre l’85% del tessuto produttivo italiano, il divieto di pagamento potrebbe trasformarsi in una condanna economica.
Alcuni casi recenti hanno visto imprese costrette alla cassa integrazione a seguito di blocchi operativi prolungati. Non tutte possono permettersi settimane o mesi di inattività in attesa del ripristino dei sistemi, senza supporto tempestivo ed è per questo che – almeno nella mia esperienza pratica – alcuni imprenditori si vedono costretti, obtorto collo, a scendere a patti e pagare.
Fondo e incentivi: vediamo se può bastare
La proposta di legge prevede l’istituzione di un “Fondo nazionale di risposta agli attacchi ransomware”, accessibile a condizione che l’impresa notifichi l’incidente entro 6 ore e cooperi con l’Agenzia per la Cybersicurezza Nazionale (ACN).
Sulla carta sembra una misura utile, ma che per risultare davvero efficace dovrà essere sostenuta da tempistiche chiare di erogazione, importi proporzionati al danno subito e dall’integrazione con strumenti di compensazione fiscale (per esempio, crediti d’imposta specificamente destinati alle spese per ripristino IT, alla consulenza legale ed all’eventuale supporto specialistico).
Nel complesso, è auspicabile che si affianchi alle misure coercitive (divieto e sanzioni) un impianto strutturato di incentivi positivi.
La resilienza si costruisce non solo con la minaccia della sanzione, ma soprattutto con la messa a disposizione di soluzioni alternative che siano realmente praticabili.
Formazione obbligatoria e cultura della prevenzione
Accanto agli strumenti tecnici e normativi, servirebbe – a mio avviso – la programmazione di maggiori investimenti in iniziative volte alla formazione ed alla sensibilizzazione.
Microcredito
per le aziende
Come già proposto in ambito parlamentare, la previsione di percorsi obbligatori per le imprese – in particolare Pmi e PA locali – sui temi base della cyber sicurezza può contribuire alla prevenzione.
Campagne informative, formazione accreditata, score di rischio misurato e certificazioni minime potrebbero diventare strumenti di compliance che rafforzano l’intera architettura di difesa preventiva, riducendo nel tempo la necessità stessa di ricorrere al pagamento o a misure emergenziali.
Il nodo delle società di cyber negoziazione
Un tema ancora poco trattato – ma centrale – riguarda la figura delle società di cyber negoziazione. Questi operatori, spesso internazionali, affiancano le imprese a 360 gradi, incluse le eventuali trattative con i criminali, proponendo strategie di mediazione e supporto nella comunicazione con gli attaccanti.
In alcuni casi, il compenso di tali operatori include vere e proprie “settlement fees” che di fatto coprono anche, più o meno esplicitamente, il pagamento dell’intero riscatto.
Questo modello rischia, a mio avviso, di dar luogo a vere e proprie responsabilità giuridiche in assenza di una cornice normativa che disciplini in modo chiaro tale attività.
Sarebbe ipotizzabile, in fase attuativa, istituire un albo di professionisti autorizzati (sulla falsariga del modello Cnil francese nel trattamento dati) o almeno codificare standard di trasparenza e tracciabilità per queste attività, per evitare derive opache.
Prestito personale
Delibera veloce
Criptovalute e tracciabilità: il grande assente
Sotto altro punto di vista, il pagamento dei riscatti attraverso asset virtuali – in primis bitcoin, ma non dimentichiamo le stablecoin più o meno centralizzate e le privacy coin – porta al centro del dibattito il tema della tracciabilità finanziaria. Come sottolinea anche la direzione dell’ACN, la difficoltà non sta nella tecnologia in sé ma nella possibile assenza di intermediari.
Tuttavia, anche in questo caso, l’esperienza pratica ci insegna che discipline come la blockchain forensics e l’analisi on-chain e l’implementazione dei presidi AML e TFR da parte dei Casp (Crypto-Asset Service Provider secondo il Regolamento MiCA) stanno velocemente dirottando il mondo decentralizzato verso standard propri del sistema bancario tradizionale.
L’occasione da non perdere è quella di trasformare una criticità in un punto di forza.
Fra deterrenza e supporto, servono equilibrio e visione
La proposta Mauri è senza dubbio un passo importante nella direzione di una cyber sicurezza nazionale strutturata.
L’intenzione di scoraggiare il crimine togliendo accesso ai suoi incentivi è condivisibile e in linea con le strategie più avanzate internazionali.
Tuttavia, il successo di questa misura dipenderà principalmente dalla sua attuazione concreta: sarà necessario garantire che le imprese non rimangano sole nel momento critico, prevedendo aiuti tempestivi, procedure snelle, e un’interpretazione giuridica che protegga anche chi si trova in prima linea a gestire l’emergenza.
In fin dei conti, la cyber sicurezza nazionale non può basarsi solo sui divieti. Deve fondarsi su una strategia condivisa, bilanciata tra deterrenza penale, coordinamento tecnico e sostegno economico, mettendo al centro sempre un semplice principio: chi collabora con lo Stato per la sicurezza collettiva non deve temere di essere abbandonato.
Finanziamo agevolati
Contributi per le imprese
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
