Ransomware, la proposta di legge Mauri: divieto di pagamento, obbligo di notifica e fondo per le aziende colpite

14 Aprile 2025

Divieto di pagamento, notifica obbligatoria al CSIRT entro 6 ore, misure di intelligence e task force nazionale, fondo per le aziende colpite: come il disegno di legge Mauri rafforza il perimetro normativo italiano contro la minaccia ransomware. Le 9 misure previste.

La crescente minaccia ransomware è entrata finalmente al centro del dibattito legislativo italiano. Lo scorso 24 marzo è stata depositata alla Camera dei Deputati la proposta di legge a firma dell’on. Matteo Mauri (PD), che punta a dotare il Paese di una strategia nazionale strutturata per contrastare questo fenomeno sempre più pervasivo e pericoloso.

Ransomware: un’emergenza in costante ascesa

Secondo i dati dell’Agenzia per la Cybersicurezza Nazionale (ACN), l’Italia è il terzo Paese dell’Unione Europea più colpito dagli attacchi ransomware (dopo Germania e Francia) e il sesto a livello mondiale. A essere maggiormente bersagliati sono i distretti industriali del Nord Italia, con un impatto devastante soprattutto sulle piccole e medie imprese, spesso prive di un’adeguata cultura della cybersicurezza.

La “Relazione sulla politica dell’informazione per la sicurezza” del 2024 ha inoltre sottolineato come gli attacchi ransomware non siano più solo strumenti di estorsione criminale, ma vengano sempre più spesso utilizzati anche a fini di spionaggio e sabotaggio digitale da attori statuali, ponendo seri rischi alla sicurezza nazionale.

Le 9 misure previste

La proposta di legge (A.C. 2318) delega il Governo a definire una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione sulla base dei seguenti principi e criteri direttivi:

  1. Previsione del divieto di pagamento di un riscatto per i soggetti pubblici e privati di cui all’art. 1, comma 2-bis, del d.l. 105/2019 (convertito con modificazioni dalla legge 133/2019), per i soggetti “essenziali” e “importanti” ai sensi dell’art. 7, comma 2, del d.lgs. 138/2024, e per i soggetti di cui all’art. 1, comma 1, della legge 90/2024. Il divieto è derogabile solo tramite atto del Presidente del Consiglio in presenza di un rischio grave e imminente per la sicurezza nazionale.
  2. Introduzione di una disposizione che consenta di qualificare l’attacco, indipendentemente dal soggetto responsabile, come incidente o compromissione pregiudizievole per la sicurezza nazionale, secondo quanto definito dal d.P.C.M. 131/2020.
  3. Attribuzione al Presidente del Consiglio della facoltà di decidere l’applicazione delle misure di intelligence di contrasto in ambito cibernetico (ai sensi del d.l. 174/2015 convertito dalla legge 198/2015), anche in situazioni di crisi o emergenza fronteggiabili con la sola resilienza.
  4. Estensione delle attività sotto copertura agli ufficiali di polizia giudiziaria delle Forze dell’ordine, anche su reti, sistemi informativi e servizi informatici posti al di fuori dei confini nazionali.
  5. Previsione di un obbligo di notifica al CSIRT Italia per qualsivoglia soggetto pubblico o privato che subisca un attacco, ad esclusione dei casi in cui gli effetti dell’attacco siano neutralizzati prima della sua esecuzione. La notifica, da effettuare entro sei ore, deve essere trasmessa da CSIRT Italia a Polizia Postale, autorità DORA, organismi di intelligence e, ove rilevante, al Ministero della Difesa.
  6. Predisposizione da parte dell’ACN di un piano di azione a sostegno dei soggetti colpiti, incluse PA locali e PMI, comprendente misure di gestione, contenimento, recupero operativo e indicazioni di buone prassi preventive.
  7. Istituzione di un nucleo d’intervento nazionale incardinato nel CSIRT Italia, con ruolo di coordinamento, attuazione del piano ACN, supporto alle vittime e raccolta/condivisione di informazioni a livello nazionale e internazionale.
  8. Introduzione di incentivi economici a favore dell’ACN per realizzare le attività previste.
  9. Istituzione del Fondo nazionale di risposta agli attacchi informatici a scopo di estorsione, destinato a supportare i soggetti pubblici e privati nel ristoro (anche solo parziale) delle perdite economiche, accessibile solo a chi dimostri di aver notificato l’attacco nei termini e di aver applicato quanto previsto dal piano ACN.

Una normativa tra le più avanzate in Europa

“Il nostro tessuto produttivo, le nostre amministrazioni e i nostri cittadini meritano un sistema di difesa moderno e capace di rispondere efficacemente alla minaccia ransomware”, si legge nella relazione introduttiva.

La proposta di legge Mauri si configura così come un primo, importante passo verso una resilienza nazionale strutturata e condivisa, con un forte coinvolgimento del Governo, degli organismi di sicurezza e degli attori privati. Se approvata, la legge darebbe all’Italia una delle normative più avanzate in Europa in materia di gestione e contrasto agli attacchi ransomware.

PrecedenteSuccessivo

Related Posts

ACN e MUR presentano le nuove frontiere della ricerca sulla cybersicurezza nell’era dell’AI e del quantum

23 Gennaio 2026

Roma ospita la firma del Memorandum per il nuovo Centro NATO per l’Underwater

23 Gennaio 2026
,

Cybersecurity Act, Cina contro UE: “È palese protezionismo”

22 Gennaio 2026

Agenzia delle Entrate: “Attenzione alla campagna di phishing che mira al furto dello SPID”

22 Gennaio 2026

Ultime news

Ucraina Dati AI
Crittografia Mercato