Italiano
English
Français
Deutsch
Русский
Español
In caso di attacco ransomware – la compromissione dei sistemi informatici a scopo estorsivo – non si potranno più pagare riscatti, pena una pesante sanzione amministrativa. Un divieto destinato a imprese pubbliche e private e che implicitamente rende le attività dei cyber-negoziatori, cioè quelle figure che mediano tra le richieste dei cyber-criminali e le aziende, a rischio di concorso nel reato di estorsione informatica.
C’è convergenza – quantomeno sul piano delle intenzioni – su quella che, allo stato, è la proposta di legge del deputato Matteo Mauri (Pd). Il testo presto approderà alla Commissione cultura della Camera presieduta da Federico Mollicone (Fdi) per le dovute valutazioni di merito. La sensibilità sulla piaga ransomware e dei riscatti è bipartisan, e la volontà è di dare, parallelamente alla stretta giudiziaria, anche un spinta all’educazione digitale. Secondo Mollicone «vi è un tema non solo normativo e penale, ma anche di consapevolezza, perché il fattore umano è il “ventre molle” di questo genere di attacchi. Per questo – ha aggiunto – proporrò che il ministero dell’Istruzione e del merito e l’Agenzia per la cybersicurezza nazionale (Acn) possano rendere stabili le iniziative nelle scuole per l’educazione digitale. In questo senso è importante l’apporto dell’Acn alla consapevolezza del settore industriale che viene sviluppata con il Roadshow per le Pmi» di Confcommercio.
Il testo della proposta
Nel testo, che il Sole 24 Ore ha potuto visionare, si parla del divieto, per tutti i soggetti pubblici e privati che rientrano nel Perimetro di Sicurezza Nazionale Cibernetica (imprese da cui dipendono funzioni o forniture di servizi essenziali per lo Stato, come banche, trasporti e energia), di pagare il riscatto in caso di attacco ransomware. Pena una sanzione amministrativa commisurata alla violazione. Nel caso di rischio di compromissione della sicurezza nazionale per il ransomware, il presidente del Consiglio può prevedere deroghe e anche applicare misure di intelligence.
Previsto invece per tutti i soggetti che subiscono attacco ransomware andato a buon fine, l’obbligo di notifica al Csirt Italia (la struttura Acn che ha monitorare, intercetta, analizza e risponde alle minacce cyber.) entro sei ore, pena una sanzione amministrativa commisurata alla violazione. Estese, inoltre, le attività sotto copertura degli ufficiali di polizia giudiziaria anche a reti e sistemi informatici posti al di fuori dell’Italia, qualora siano stati utilizzati per reati informatici.
Si dispone inoltre che l’Acn metta in atto un piano d’azione «a concreto sostegno» dei soggetti colpiti da ransomware (con focus particolare per Pa e Pmi), con sostegno operativo alle imprese sia nella gestione dell’attacco, che nel contenimento degli effetti, recupero dell’operatività e valutazione delle alternative al pagamento del riscatto. Infine, viene creato un Fondo nazionale in risposta agli attacchi ransomware, per aiutare le vittime che hanno assolto agli obblighi e hanno subìto perdite economiche.
