Ransomware, la prima proposta di legge contro i riscatti arriva in Commissione alla Camera. I 9 punti chiave

Le Commissioni riunite Affari Costituzionali e Trasporti hanno ricevuto in assegnazione la proposta di Legge del deputato del PD Matteo Mauri in materia di ransomware. Il fulcro dell’iniziativa è quello del contrasto al pagamento dei riscatti. Il dibattito ora si apre alla Camera.

Leggi la proposta di Legge in PDF

La nuova proposta di Legge sul ransomware

Le Commissioni riunite Affari Costituzionali e Trasporti hanno ricevuto l’assegnazione della proposta di legge (n. 2318) in materia di attacchi ransomware. L’iniziativa legislativa del deputato Matteo Mauri, responsabile sicurezza e cybersecurity del PD, potrà così impegnare il Governo nel delineare una “prima, vera strategia italiana” contro questa tipologia di attacchi.

In relazione agli oneri della NIS 2 e agli impegni europei, la direzione fondamentale della proposta di Legge sarà quella di “rendere il pagamento dei riscatti inutile, inefficace e non conveniente“.

Lo stesso Mauri l’ha presentata in questi termini: “Negli ultimi anni l’Italia ha registrato un preoccupante aumento degli attacchi informatici a scopo di estorsione (ransomware). Vale a dire quei programmi informatici dannosi (malware) che, crittografando tutti i dati, bloccano i sistemi informatici di imprese e pubbliche amministrazioni, chiedendo un riscatto per ripristinarli“.

I punti fondamentali della Legge

Ai sensi dell’articolo 1, paragrafo 1, il Governo ha ricevuto la delega “ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, uno o più decreti legislativi“. Il tutto, per definire “una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione“.

I 9 punti fondamentali del futuro impianto normativo sono:

1. Il divieto di pagamento dei riscatti per i soggetti PSNC, NIS e Legge 90/2024 (a meno che non ci sia una deroga del Presidente del Consiglio in specifici casi limite).
2. La possibilità di classificare l’attacco ransomware come “minaccia per la sicurezza nazionale“.
3. L’attivazione possibile di misure di intelligence di contrasto nei casi in cui l’attacco ransomware ottenga la classificazione di “minaccia per la sicurezza nazionale“.
4. L’estensione per le Forze dell’Ordine della possibilità di definire e compiere attività 𝘀𝗼𝘁𝘁𝗼 𝗰𝗼𝗽𝗲𝗿𝘁𝘂𝗿𝗮 telematica nelle indagini informatiche oltre confine.
5. L’obbligo di notifica al CSIRT entro sei ore per ogni attacco ransomware subito da qualsiasi soggetto pubblico e privato.
6. Il Piano di Azione dell’Agenzia per la Cybersicurezza Nazionale (ACN) 𝗽𝗲𝗿 𝗽𝗿𝗲𝘃𝗲𝗻𝘇𝗶𝗼𝗻𝗲, 𝗿𝗶𝘀𝗽𝗼𝘀𝘁𝗮 𝗲 𝘀𝘂𝗽𝗽𝗼𝗿𝘁𝗼 𝘁𝗲𝗰𝗻𝗶𝗰𝗼 𝗮𝗹𝗹𝗲 𝘃𝗶𝘁𝘁𝗶𝗺𝗲.
7. L’istituzione di un Nucleo d’intervento nazionale incardinato nel CSIRT Italia.
8. Un Fondo nazionale di risposta agli attacchi ransomware per ristorare, in determinate fattispecie, le perdite subite a seguito dell’attacco subito.
9. L’Accesso al Fondo subordinato alla notifica dell’attacco e solo se si dimostrasse di aver seguito precisamente tutte le misure del Piano d’Azione di ACN.

Scarica la proposta di Legge in PDF