Dal 30 maggio scorso, in Australia è scattato uno specifico obbligo di notifica per le aziende, a seguito di eventuali riscatti dopo attacchi ransomware. Un modello, quest’ultimo, che potrebbe fungere da esempio per tanti Paesi. Non ultimo, l’Italia.
Consulta l’appendice normativa in PDF
Ransomware in Australia
In ossequio alla terza parte del Cyber Security Act del 2024 dal 30 maggio 2025 in Australia è scattato un obbligo di notifica per determinate aziende, dopo gli attacchi ransomware. E in particolare, in occasione del pagamento di riscatti. Si tratta di un tema – e di un modello – molto sentito, rispetto al quale anche l’Italia potrebbe prendere degli esempi.
L’obbligo sarà in capo a tutte quelle imprese con un fatturato superiore a 3 milioni di dollari australiani (circa 1.7 milioni di euro) e alcune tra quelle classificate come “infrastrutture critiche“. Qualsiasi sia il livello del riscatto, per ogni pagamento, si dovrà effettuare una comunicazione direttamente al Governo federale di Canberra.
Nella misura in cui l’obiettivo, evidentemente, possa essere quello di scoraggiare questi incentivi nei confronti dei criminali, le autorità australiane hanno intanto compiuto un passo intermedio. Ossia, quello di cominciare a mappare tutti i riscatti (eventuali), proponendo una scala del fenomeno. Un livello di analisi, che sia funzionale al suo massimo contrasto.
Il livello del cambiamento
Si è specificato, inoltre, come questo pacchetto di regole “possano prevedere standard di sicurezza obbligatori” anche per dei prodotti. Quelli che siano in grado di connettersi direttamente o indirettamente a Internet, oggetto di mercato sul territorio dell’Australia. Conseguentemente, l’obbligo di notifica non sarà impattante sulle pubbliche amministrazioni.
Per il resto, la notifica dovrà avere delle caratteristiche precise. Nel dettaglio, questa:
- Va inoltrata all’Australian Signals Directorate (ASD), tecnicamente l’intelligence.
- Deve contenere l’ammontare del pagamento, la spiegazione dei motivi e la data.
- In ogni caso, dal momento in cui si paga – e anche se agisce un terzo soggetto – non devono passare più di 72 ore prima che venga completata la procedura di comunicazione.
Le fasi normative
L’insieme delle misure troverà la propria implementazione in due diverse fasi. La prima, di sei mesi, (dal 30 maggio 2025 al 31 dicembre 2025, 6 mesi) vedrà il Dipartimento degli affari domestici dare priorità a alla spiegazione di come il sistema lavorerà, nei confronti degli enti regolamentati. Saranno gestite eventuali problematiche, identificando i principali ostacoli alla conformità.
Durante questa fase, il Dipartimento mirerà a intraprendere azioni normative solo in caso di grave non conformità nei confronti delle aziende che segnalano incidenti. Si cercherà così di non sottrarre alcuna capacità operativa alle entità interessate durante la fase iniziale di risposta agli incidenti.
Dopodiché, con Fase 2, nella misura in cui il nuovo regime di segnalazione normativo gradualmente si evolverà, il Dipartimento adotterà un approccio regolamentare più attivo. Saranno diffuse linee guida più avanzate. Queste, a loro volta, integreranno il monitoraggio delle risposte che sono arrivate durante la Fase 1.
