Il Governo britannico ha annunciato una stretta sulla gestione degli attacchi ransomware con una proposta che sta per cambiare radicalmente le regole del gioco. E in Italia? Della proposta di legge dell’On. Mauri, presentata il 24 marzo 2025, non si hanno notizie.
Ransomware, Londra accelera mentre l’Italia rimane ancora indietro. Il 22 luglio l’Home Office inglese ha presentato un documento che introduce tre pilastri chiave per rafforzare il contrasto alle attività criminali legate ai ransomware: un regime di notifica obbligatoria a carico delle vittime di attacchi, l’introduzione di un divieto specifico di pagamento a seguito di un ransomware per tutti gli enti pubblici, compresi i comuni e gli enti locali, e per i soggetti che possiedono o gestiscono infrastrutture critiche a livello nazionale, nonché un nuovo sistema di prevenzione dei pagamenti per tutti quei soggetti non sottoposti al divieto.
Secondo il Ministero dell’Interno britannico, l’obbligo di segnalazione permetterà alle Forze dell’Ordine di “dare la caccia ai responsabili e interrompere le loro attività”, garantendo allo stesso tempo un supporto migliore alle vittime. L’obiettivo è intervenire in modo mirato in un panorama di minacce in continua evoluzione, spezzando il circolo vizioso del pagamento dei riscatti, che continua a finanziare le gang criminali.
In Italia un percorso interrotto
Se Londra accelera, in Italia la questione sembra essersi invece arenata. Lo scorso 24 marzo 2025 è stata presentata alla Camera dei Deputati una proposta di legge a firma dell’on. Matteo Mauri (PD), tesa a definire una strategia nazionale per il contrasto agli attacchi informatici a scopo di estorsione e basata su ben nove misure concrete di azione.
Il testo, in particolare, prevede:
– divieto di pagamento dei riscatti a seguito di un attacco ransomware per i soggetti pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, per quelli “essenziali” e “importanti” ai sensi del d.lgs. 138/2024, oltre che per quelli assoggettati alla legge 90/2024 (con possibilità di deroga solo in caso di minaccia grave e imminente per la sicurezza nazionale, su atto del Presidente del Consiglio);
– obbligo di notifica al CSIRT Italia entro sei ore dall’attacco, pena sanzioni, salvo i casi in cui l’attacco sia stato neutralizzato prima di produrre effetti;
– istituzione di un nucleo d’intervento nazionale anti-ransomware, incardinato nel CSIRT Italia, con funzioni di supporto operativo nelle fasi di gestione degli attacchi ransomware, di contenimento dei loro effetti, di recupero dell’operatività delle reti, dei sistemi informativi e dei servizi informatici colpiti, nonché di valutazione con la vittima delle alternative percorribili rispetto all’eventuale pagamento del riscatto;
– creazione di un Fondo nazionale per sostenere enti pubblici e privati colpiti, accessibile solo a chi rispetti le procedure di notifica e segua le indicazioni operative dell’ACN;
– rafforzamento del ruolo dell’ACN e possibilità per le Forze dell’Ordine di operare sotto copertura anche su reti e sistemi all’estero.
Secondo la relazione introduttiva, l’Italia – primo Paese nell’Unione Europea per attacchi ransomware (davanti a Germania e Spagna) e terzo a livello mondiale – avrebbe potuto dotarsi di una delle normative più avanzate in Europa. Tuttavia, dopo il deposito alla Camera e l’assegnazione per la discussione alle Commissioni riunite I Affari Costituzionali e IX Trasporti, della proposta di legge non si è più parlato.
Dove è finita la proposta Mauri?
Mentre la “Relazione sulla politica dell’informazione per la sicurezza 2024” della nostra Intelligence, trasmessa alle Camere il 28 febbraio 2025, segnala che i ransomware sono ormai utilizzati non solo per estorsioni da parte delle organizzazioni criminali, ma anche per attività di spionaggio e sabotaggio digitale da parte di attori statali, il nostro Paese resta senza una cornice normativa aggiornata.
“Londra avanza, l’Italia resta ferma. Non possiamo più accettare che aziende italiane paghino riscatti che alimentano guerre, disinformazione e criminalità organizzata”, chiosa l’On. Matteo Mauri, responsabile Cybersicurezza del PD nazionale a Cybersecurity Italia. “Ho depositato una proposta di legge sui ransomware alla Camera il 24 marzo proprio per dare il segnale che è necessario muoversi immediatamente. Il nostro è un grido d’allarme, perché l’Italia è già in grave ritardo!”. “Mentre il Regno Unito”, continua Mauri, “introduce misure coraggiose per rompere il circolo vizioso del pagamento dei ransomware e aiutare le proprie aziende e pubbliche amministrazioni, in Italia regna l’immobilismo più assoluto. Il governo Meloni non sta affrontando una delle emergenze più gravi e attuali per la nostra sicurezza nazionale. Così facendo si assume una responsabilità politica gravissima. Sinceramente non ne capisco il motivo”.
“La legge che abbiamo proposto – specifica Mauri – è immediatamente applicabile e non ha un grammo di propaganda. È pura concretezza. L’abbiamo costruita insieme a chi quotidianamente è in prima linea per combattere questo fenomeno e introduce strumenti chiari. Sarebbe di grande aiuto anche per le Forze dell’Ordine, che oggi provano a contrastare il fenomeno Ransomware a mani nude. È ora che il Governo si rimbocchi le maniche. Abbiamo messo le nostre idee nero su bianco a disposizione di tutti. Ne abbiamo parlato anche durante un interessante confronto in ACN. Non pretendiamo che venga per forza presa in toto. Siamo disponibili a collaborare con il Governo. Più di così per noi è umanamente impossibile fare!”.
“È venuto il momento che il Governo e la maggioranza si mettano al lavoro su questi temi. Se non sono in grado lo dicano chiaramente, così ognuno si farà un’opinione chiara“, conclude l’On. Mauri.
La domanda, dunque, sorge spontanea: perché la proposta Mauri si è arenata? E soprattutto, quanto può permettersi l’Italia di restare indietro mentre altri Paesi – come il Regno Unito – si muovono verso un approccio più coerente e strutturato?
