Dal riscatto alla gestione preventiva del rischio: l’evoluzione normativa nella lotta ai ransomware

Gli effetti immediati dei ransomware

Con tale tipologia di minaccia il database informatico target viene cifrato e disponibilità, integrità e riservatezza dei suoi dati rischiano di essere definitivamente compromesse.

In Italia, il ransomware costituisce una delle tipologie di cyber attacchi più diffuse, come emerge dal Rapporto pubblicato dal Clusit, l’Associazione Italiana per la Sicurezza Informatica relativamente al 2024 (che abbiamo approfondito qui).

Emblematici i dati ivi riportati: a livello globale sono stati registrati 3.541 incidenti di natura informatica, il 27% in più rispetto ai 2.779 del 2023, con una media di 295 al mese.

In Italia, invece, si è registrata una crescita di incidenti del 15% rispetto al 2023, la quale attesta inequivocabilmente come il rischio cyber abbia assunto la valenza di questione molto delicata e preoccupante anche all’interno dei nostri confini nazionali.

Gli attacchi hanno spesso come vittime aziende sia pubbliche che private, operanti in diversi settori, da quello sanitario a quello elettronico, per arrivare, altresì, alle grandi realtà del mondo della consulenza.

Realtà diverse le quali, una volta registrata la compromissione degli ingentissimi dati sensibili (personali, patrimoniali, attinenti al know aziendale o comunque sottoposti a segreto industriale) che sono chiamate quotidianamente a gestire, si sono trovate costrette a sopportare danni operativi e reputazionali, oltre che legali.

L’evoluzione normativa e il PNRR

In questo scenario, non è un caso allora che il Piano nazionale di Ripresa e resilienza (PNRR) prevede espressamente degli investimenti volti a rafforzare l’ecosistema digitale nazionale, potenziando i servizi di gestione della minaccia cyber, e che lo scorso 20 marzo sia stata depositata alla Camera dei Deputati una proposta di legge che ha come obiettivo quello di dotare il Paese di una strategia nazionale strutturata per contrastare al meglio questo fenomeno sempre più diffuso e pericoloso.

Gli ultimi interventi normativi sul piano sovranazionale e nazionale

Le normative in materia di cybersecurity definiscono standard e obblighi per le aziende, con l’obiettivo di guidare quest’ultime nella scelta delle linee operative e strategiche da seguire per la miglior gestione del rischio cyber.

Il panorama legislativo in materia è certamente fluido e in continuo mutamento.

Sul piano sovranazionale, basti pensare alla recente introduzione del Regolamento UE sulla cybersicurezza e alla Direttiva NIS2 (Network and Information Security Directive 2), la quale introduce norme più chiare e strumenti di vigilanza più solidi – in particolare misure di gestione dei rischi e obblighi di segnalazione imposti a soggetti di più settori -, stabilendo, nel contempo, norme per la cooperazione, la condivisione delle informazioni, la vigilanza e l’applicazione delle misure di cybersecurity.

In ambito nazionale, fondamentale è il richiamo DDL Cybersicurezza, entrato in vigore con la Legge n. 90 del 28 giugno 2024 – recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” – con cui si è registrato un chiaro inasprimento della risposta sanzionatoria nei confronti della criminalità informatica sul fronte penalistico.

Con il testo normativo in parola il Legislatore italiano è voluto intervenire, tra l’altro, proprio in tema di cyber extortion, mediante l’introduzione, all’interno del terzo comma dell’art. 629 c.p., della fattispecie di reato di estorsione “informatica”.

Tale disposizione normativa punisce “chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno”.

Dato interessante è che, rispetto al delitto di estorsione “comune” (sanzionata dai commi 1 e 2 dell’art. 629 c.p.), le condotte di violenza e minaccia sono state, qui, sostituite dal riferimento a una serie di reati informatici, dall’accesso abusivo al danneggiamento di sistemi informatici, anche di pubblica utilità.

Ciò che emerge chiaramente dalla nuova disposizione normativa è l’intento del Legislatore di punire in modo molto severo gli attacchi realizzati tramite ransomware: invero, la fattispecie base di cui all’art. 629, comma 3, c.p. prevede la reclusione da sei a dodici anni e la multa da euro 5.000 a euro 10.000, la quale aumenta, poi, notevolmente – reclusione da otto a ventidue anni e multa da euro 6.000 a euro 18.000 – se concorre taluna delle circostanze indicate nel terzo comma del reato di cui all’art. 628 c.p. (“Rapina”), nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità.

La cyber extorsion è stata, altresì, inserita nel catalogo dei reati presupposto della responsabilità amministrativa da reato degli enti, all’art. 24-bis D. Lgs. 231/2001, potendo condurre all’irrogazione di una sanzione pecuniaria da 300 a 800 quote, oltre che delle sanzioni interdittive di cui all’art. 9, comma 2, del medesimo Decreto, per una durata non inferiore a due anni.

Sanzioni certamente elevate rispetto al trattamento riservato dal Legislatore con riferimento agli altri illeciti amministrativi fondati su delitti informatici e di trattamento illecito di dati.

La proposta di Legge contro gli attacchi a scopo estorsivo

La cybersicurezza è, dunque, una tematica estremamente attuale, al centro di diversi interventi da parte del Legislatore, nel tentativo di tenere il passo dei cyber criminali.

In tale solco si pone una nuova proposta di legge, presentata dall’On. Matteo Mauri, che si colloca, tra i disegni di legge più innovativi in materia di cyber sicurezza all’interno del panorama europeo e il cui testo approderà presto alla Commissione Cultura della Camera dei Deputati, per ogni valutazione.

Diverse e significative le novità in via di discussione in tema di cyber estorsioni. Una su tutte: in caso di attacco ransomware non si potranno più pagare riscatti, pena una pesante sanzione amministrativa.

E invero, salve eventuali deroghe da parte del Presidente del Consiglio (qualora si sia in presenza di gravi rischi per la sicurezza nazionale), tutti i soggetti pubblici e privati che rientrano nel Perimetro di Sicurezza Nazionale Cibernetica – ovverosia quelle imprese da cui dipendono funzioni o forniture di servizi essenziali per lo Stato, dal cui malfunzionamento, interruzione, anche parziali, o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale – non potranno più provvedere al pagamento del riscatto richiesto, a meno che non vogliano incorrere nel pagamento di una sanzione amministrativa commisurata alla violazione commessa.

Cambia, quindi, radicalmente il paradigma di gestione di un attacco ransomware andato a segno: la vittima dovrà limitarsi a informare il CSIRT Italia – struttura che monitora, intercetta, analizza e risponde alle minacce cyber – entro sei ore dalla scoperta dell’attacco, senza dare seguito alle richieste estorsive ricevute.

Il CSIRT, a sua volta, dovrà informare Polizia Postale, autorità di vigilanza competenti, organismi di informazione per le loro finalità istituzionali e, in ipotesi rilevanti, anche il Ministero della Difesa. Seguiranno le indagini da parte delle Autorità competenti, anche per il tramite di specifica attività sotto copertura da parte delle Forze dell’Ordine su reti informatiche all’estero.

Tra le ulteriori misure, vengono altresì previste:

• un Piano d’azione nazionale dell’Agenzia per la Cybeserucity nazionale (ACN), con misure operative e preventive a sostegno delle vittime, in particolare Pmi e Pa locali, tra cui assistenza nella gestione dell’attacco, di contenimento dei suoi correlati effetti negativi, ripristino dei sistemi di rete e valutazione di alternative al pagamento del riscatto. Il Piano di azione deve altresì indicare le buone prassi e le misure di sicurezza informatica preventive a cui i soggetti pubblici e privati possono fare riferimento per mitigare il rischio di essere colpiti da un attacco informatico a scopo di estorsione;
• l’istituzione di una task force nazionale anti-ransomware presso il CSIRT Italia, con funzioni di coordinamento operativo e condivisione di informazioni, la quale funga da punto di riferimento e contatto per i soggetti colpiti;
• la creazione del “Fondo nazionale di risposta agli attacchi ransomware”, destinato a supportare i soggetti pubblici e privati nel ristoro, totale o parziale, delle perdite economiche subite a seguito di un attacco, il quale, in ogni caso, sarà messo a disposizione solo di coloro che dimostreranno di aver rispettato la procedura di notifica prescritta e le indicazioni operative dettate dall’ACN.

Tra inasprimento sanzionatorio e mitigazione del rischio: quale la soluzione?

La decisione di introdurre all’art. 629, comma 3. c.p. un’ipotesi di reato ad hoc, volta a punire con decisione tutti coloro che si rendono autori di condotte di ransomware, costituisce certamente un esempio apprezzabile di quello che è oggi l’intendimento del Legislatore, sempre più attento e consapevole al disvalore e alle problematiche connesse a queste fattispecie.

Al netto di ciò, non si può, però, fare a meno di rilevare come, a valle degli attacchi, difficilmente le vittime possano trovare adeguata e coerente soddisfazione rivolgendosi all’Autorità Giudiziaria.

Invero, questa tipologia di fenomeni si caratterizza sempre più spesso per condotte illecite molto sofisticate e per essere realizzate da soggetti ubicati in Paesi terzi, noti per la loro scarsa cooperazione internazionale, rispetto ai quali le Procure non hanno risorse economiche e strumenti di coordinamento idonei, al fine di fornire un’adeguata tutela alle istanze promosse da coloro che ne risultano vittime.

Il rischio, pertanto, è quello, da un lato, di dover affrontare tutte le conseguenze sottese ai danni riportati a seguito dell’attacco informatico; dall’altro, salvo quanto oggetto della recente proposta di legge, doversi fare carico in toto della perdita economica sottesa all’estorsione patita, verosimilmente risolvendosi poi in un nulla di fatto qualsiasi iniziativa penale coltivata in sede giudiziaria.

Stando così le cose, allora la strada d’elezione da percorrere rimane, in ogni caso, quella della prevenzione ex ante del rischio di subire attacchi informatici, quali quelli perpetrati tramite ransomware.

In particolare, occorre che gli operatori del mercato intraprendano e sviluppino chiare e profonde politiche di sicurezza informatica interna, le quali, partendo dall’implementazione di adeguati presidi e procedure, nonché da una mirata formazione periodica del personale, consentano di minimizzare il rischio che eventuali cyberattacchi perpetrati ai loro danni vadano a segno.

In breve: rispetto della normativa di settore e gestione preventiva del rischio possono essere la soluzione.