Proposta di Legge n. 2318 – Verso una Strategia Nazionale Anti-Ransomware

La proposta di legge n. 2318, presentata alla Camera dei Deputati il 24 marzo 2025, costituisce il primo tentativo organico del legislatore italiano di articolare una risposta strategica e coordinata a questa forma particolare di criminalità informatica. Nel panorama contemporaneo della sicurezza informatica, poche minacce hanno dimostrato una capacità di impatto sistemico paragonabile al fenomeno ransomware. L’iniziativa normativa, che si propone di delegare al Governo la definizione di una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione, merita un’analisi approfondita tanto per la sua valenza sistemica quanto per le implicazioni operative che ne deriverebbero.

Il quadro fenomenologico di riferimento

L’elaborazione della proposta muove da una constatazione empirica di particolare gravità: l’Italia si trova attualmente in una posizione di preminenza negativa nel panorama globale delle vittime di attacchi ransomware, collocandosi al vertice della graduatoria europea e al terzo posto di quella mondiale. Tale posizionamento riflette vulnerabilità strutturali che investono il tessuto produttivo e l’architettura istituzionale del Paese.

La fenomenologia degli attacchi presenta caratteristiche di particolare complessità, manifestando quella che la dottrina specialistica definisce “natura duale“: da una parte, la dimensione puramente criminale orientata al profitto economico immediato; dall’altra, l’utilizzazione crescente di tali vettori per finalità di intelligence, influenza e sabotaggio digitale da parte di attori statuali. Questa biforcazione strategica del fenomeno comporta implicazioni profonde per la conceptualizzazione delle contromisure, richiedendo un approccio che trascenda la mera dimensione di law enforcement per abbracciare considerazioni di sicurezza nazionale.

L’analisi della distribuzione settoriale degli attacchi rivela inoltre una concentrazione particolarmente significativa nel comparto manifatturiero e nei distretti industriali settentrionali, evidenziando come le piccole e medie imprese – caratterizzate spesso da limitata sofisticazione in termini di postura di sicurezza informatica – costituiscano l’anello debole della catena di resilienza nazionale.

Proposta di Legge n. 2318 – L’architettura normativa

Il paradigma del divieto di pagamento

L’elemento più controverso e al contempo innovativo della proposta risiede nell’introduzione di un divieto categorico di pagamento dei riscatti per i soggetti ricompresi nel perimetro di sicurezza nazionale cibernetica. Tale disposizione, che trova precedenti limitati nel panorama normativo internazionale, si fonda su una logica di deterrenza economica: privando i gruppi criminali degli incentivi finanziari che alimentano la loro attività, si mirerebbe a ridurre progressivamente l’attrattiva economica del modello di business ransomware.

Tuttavia, l’implementazione di tale divieto solleva questioni di notevole complessità operativa. La rigidità della formulazione normativa potrebbe infatti generare situazioni di paralisi funzionale in settori critici dell’economia nazionale, particolarmente laddove il ripristino tempestivo delle funzionalità informatiche risulti essenziale per la continuità dei servizi essenziali. La previsione di una clausola di salvaguardia, attivabile discrezionalmente dal Presidente del Consiglio dei Ministri in presenza di “rischio grave e imminente per la sicurezza nazionale“, introduce certamente elementi di flessibilità necessaria, ma al contempo potrebbe generare incertezza interpretativa e pressioni politiche inappropriate nel momento decisionale.

La valutazione dell’efficacia deterrente di tale misura deve inoltre confrontarsi con la realtà operativa dei gruppi ransomware, i quali potrebbero reagire all’introduzione del divieto intensificando gli attacchi verso soggetti non ricompresi nel perimetro di protezione ovvero modificando le proprie tattiche per massimizzare il danno e la pressione sulle vittime designate.

La riorganizzazione dell’ecosistema istituzionale

La proposta delinea una significativa riconfigurazione dell’architettura istituzionale deputata alla gestione degli incidenti informatici, attribuendo al CSIRT Italia un ruolo di coordinamento centrale nell’ecosistema di risposta nazionale. Tale centralizzazione presenta indubbi vantaggi in termini di omogeneizzazione delle procedure, efficientamento dei flussi informativi e creazione di un punto focale per il coordinamento interistituzionale.

L’istituzione di un nucleo d’intervento nazionale specializzato rappresenta un’evoluzione naturale delle capacità operative esistenti, rispondendo alla necessità di disporre di expertise dedicata per la gestione di una tipologia di incidenti caratterizzata da specificità tecniche e operative peculiari. La previsione che tale nucleo operi in modalità integrata con tutti gli attori istituzionali destinatari delle notifiche testimonia la consapevolezza della necessità di un approccio olistico alla gestione delle crisi informatiche.

Tuttavia, l’efficacia di tale riorganizzazione dipenderà criticamente dalla capacità del sistema di dotarsi delle risorse umane, tecnologiche e procedurali necessarie per sostenere l’incremento del carico operativo derivante dalla centralizzazione delle funzioni. Il rischio di generare colli di bottiglia informativi o operativi costituisce una preoccupazione non trascurabile, particolarmente in considerazione della crescente sofisticazione e frequenza degli attacchi informatici.

Il regime delle notifiche: tempestività versus accuratezza

L’introduzione dell’obbligo di notifica entro sei ore dal momento della conoscenza dell’incidente rappresenta una delle disposizioni più stringenti nel panorama normativo internazionale. Tale termine riflette l’urgenza di attivare rapidamente le contromisure necessarie per contenere la propagazione dell’attacco e minimizzarne l’impatto, in linea con le best practice della incident response che enfatizzano l’importanza del fattore temporale nelle prime fasi della gestione dell’incidente.

Tuttavia, la brevità del termine imposto solleva legitimate preoccupazioni circa la qualità e completezza delle informazioni trasmesse. La fase iniziale di un attacco ransomware è tipicamente caratterizzata da elevata incertezza circa la natura, l’estensione e le modalità dell’attacco, rendendo problematica una valutazione accurata nel ristretto lasso temporale previsto. Il rischio conseguente è quello di generare un flusso di segnalazioni incomplete o imprecise, con potenziali effetti distorsivi sull’efficacia della risposta sistemica.

La previsione che l’adempimento dell’obbligo di notifica non pregiudichi eventuali ulteriori obblighi derivanti da altre normative settoriali costituisce un elemento di coordinamento normativo apprezzabile, evitando potenziali conflitti interpretativi e garantendo la coerenza dell’ordinamento.

Innovazioni negli strumenti investigativi e di intelligence

La proposta introduce significative innovazioni nell’ambito delle capacità investigative e di intelligence applicabili ai fenomeni di criminalità informatica. L’estensione delle attività sotto copertura alle reti, sistemi informativi e servizi informatici localizzati al di fuori dei confini nazionali riconosce la natura intrinsecamente transnazionale del fenomeno ransomware e la necessità di dotare gli organi investigativi di strumenti adeguati alla dimensione globale della minaccia.

Analogamente, l’attribuzione al Presidente del Consiglio dei Ministri della facoltà di applicare misure di intelligence di contrasto in ambito cibernetico anche in situazioni gestibili attraverso mere azioni di resilienza rappresenta un’evoluzione significativa nell’approccio nazionale alla cybersecurity, superando la tradizionale separazione tra dimensione difensiva e dimensione offensiva delle contromisure informatiche.

Tali innovazioni, pur rispondendo a esigenze operative concrete, dovranno essere implementate con particolare attenzione agli aspetti di proporzionalità e rispetto delle garanzie costituzionali, considerata la potenziale incidenza sui diritti fondamentali e sulla privacy dei cittadini.

Il sistema incentivante: prevenzione e ristoro

Il fondo nazionale di risposta: innovazione e sostenibilità

L’istituzione del Fondo nazionale di risposta agli attacchi informatici a scopo di estorsione costituisce probabilmente l’elemento di maggiore originalità della proposta nel panorama internazionale. La logica sottostante è quella di creare un meccanismo di mutualizzazione del rischio che, da una parte, fornisca alle vittime un’alternativa economicamente sostenibile al pagamento del riscatto e, dall’altra, contribuisca a ridurre gli incentivi finanziari che alimentano l’economia criminale del ransomware.

La subordinazione dell’accesso al ristoro all’adempimento degli obblighi di notifica e all’applicazione delle misure preventive contenute nel piano d’azione nazionale introduce un elemento di condizionalità virtuosa, incentivando l’adozione di comportamenti conformi agli obiettivi di sicurezza collettiva. Tale approccio riflette una comprensione matura della cybersecurity come bene pubblico, la cui tutela richiede la cooperazione attiva di tutti gli attori dell’ecosistema digitale.

Tuttavia, l’efficacia del meccanismo dipenderà criticamente dalla definizione di criteri oggettivi e trasparenti per la quantificazione dei danni ristorabili, nonché dalla dotazione finanziaria effettivamente assegnata al Fondo. Il rischio di moral hazard – ovvero la riduzione degli incentivi alla prevenzione derivante dalla disponibilità di meccanismi di ristoro – dovrà essere attentamente monitorato e gestito attraverso appropriati meccanismi di governance.

Gli incentivi per l’Agenzia per la Cybersicurezza Nazionale

La previsione di incentivi economici specifici per l’ACN nell’ambito della realizzazione delle attività previste dalla strategia riconosce implicitamente la necessità di potenziare significativamente le capacità operative dell’Agenzia per far fronte alle nuove responsabilità che le verrebbero attribuite. Tale approccio risulta coerente con le migliori pratiche internazionali, che evidenziano come l’efficacia delle strategie nazionali di cybersecurity dipenda criticamente dalla disponibilità di risorse adeguate per la loro implementazione.

Considerazioni di sostenibilità finanziaria e operativa

La subordinazione dell’attuazione della delega alla disponibilità di risorse finanziarie, sancita dal comma 4 dell’articolo unico, introduce un elemento di prudenza fiscale apprezzabile ma al contempo una potenziale incertezza circa la completezza e tempestività dell’implementazione della strategia. L’esperienza comparata dimostra come l’efficacia delle politiche di cybersecurity sia strettamente correlata alla continuità e adeguatezza degli investimenti nel tempo, rendendo essenziale una programmazione finanziaria di lungo periodo.

La complessità dell’architettura proposta richiederà inoltre investimenti significativi in termini di capacity building, sia per quanto concerne la formazione di personale specializzato sia per lo sviluppo delle infrastrutture tecnologiche necessarie per supportare le nuove funzioni. La sfida principale risiederà nella capacità del sistema di attrarre e trattenere competenze di elevata qualificazione in un mercato del lavoro caratterizzato da forte competizione per i profili specialistici in cybersecurity.

Analisi comparativa e posizionamento internazionale

Nel contesto internazionale, la proposta italiana si distingue per l’approccio particolarmente assertivo adottato, specialmente in relazione al divieto di pagamento dei riscatti e all’istituzione del meccanismo di ristoro pubblico. Tale posizionamento, pur comportando rischi operativi non trascurabili, potrebbe collocare l’Italia in una posizione di leadership nel dibattito europeo sulla governance del ransomware, influenzando potenzialmente lo sviluppo di future iniziative normative comunitarie.

L’approccio statunitense, caratterizzato da una maggiore enfasi sulla partnership pubblico-privato e sulla condivisione volontaria di threat intelligence, presenta elementi di flessibilità operativa che potrebbero risultare più facilmente implementabili nel breve periodo. Tuttavia, l’efficacia deterrente di tale approccio appare limitata dal mantenimento di incentivi economici per i gruppi criminali.

Il modello francese, che integra più strettamente le dimensioni di cybersecurity e cyber-intelligence, offre spunti interessanti per la gestione della natura duale del fenomeno ransomware, particolarmente in relazione agli attacchi condotti da attori statuali o para-statuali.

Sfide implementative e raccomandazioni operative

Capacità tecniche e risorse umane

L’implementazione efficace della strategia richiederà un potenziamento senza precedenti delle capacità tecniche nazionali, con particolare riferimento al rafforzamento del CSIRT Italia e alla creazione del nucleo d’intervento specializzato. Tale processo dovrà affrontare la sfida della scarsità di competenze specialistiche nel mercato del lavoro italiano, suggerendo la necessità di programmi strutturati di formazione e sviluppo professionale.

La creazione di piattaforme tecnologiche per la gestione automatizzata delle notifiche e la condivisione di threat intelligence costituirà un prerequisito essenziale per l’operatività del sistema, richiedendo investimenti significativi in infrastrutture IT e protocolli di sicurezza.

Coordinamento interistituzionale e governance

La molteplicità degli attori coinvolti nella strategia (ACN, Ministero dell’Interno, Ministero della Difesa, autorità di vigilanza settoriali, organismi di informazione per la sicurezza) richiede lo sviluppo di meccanismi di coordinamento sofisticati per evitare sovrapposizioni funzionali e conflitti di competenza. L’esperienza internazionale suggerisce l’utilità di istituire meccanismi di governance dedicati, con chiare attribuzioni di responsabilità e procedure standardizzate per la gestione delle crisi.

Engagement del settore privato

Il successo della strategia dipenderà criticamente dalla capacità di ottenere la cooperazione attiva del settore privato, particolarmente delle piccole e medie imprese che costituiscono il target preferenziale degli attacchi ransomware. Tale obiettivo richiederà programmi strutturati di sensibilizzazione, formazione e supporto tecnico, nonché meccanismi incentivanti per l’adozione volontaria di standard di sicurezza elevati.

Prospettive di evoluzione e considerazioni conclusive

La proposta di legge n. 2318 rappresenta un tentativo ambizioso e per molti versi innovativo di affrontare sistematicamente la sfida del ransomware attraverso un approccio strategico coordinato. L’originalità dell’impianto normativo, particolarmente evidente nelle disposizioni relative al divieto di pagamento e al meccanismo di ristoro pubblico, potrebbe posizionare l’Italia come laboratorio avanzato per lo sviluppo di politiche anti-ransomware, con potenziali ricadute positive sull’evoluzione del dibattito internazionale.

Tuttavia, l’ambizione della proposta dovrà necessariamente confrontarsi con le complessità implementative derivanti dalla natura multidimensionale del fenomeno ransomware e dalla necessità di bilanciare efficacia delle contromisure con operatività del sistema economico nazionale. Il processo di discussione parlamentare e l’eventuale attività emendativa offriranno l’opportunità di raffinare ulteriormente l’impianto normativo, incorporando le lezioni apprese dall’esperienza internazionale e adattando le disposizioni alle specificità del contesto nazionale.

In ultima analisi, il successo dell’iniziativa dipenderà dalla capacità del sistema-Paese di trasformare un framework normativo sofisticato in un ecosistema operativo efficace, attraverso investimenti adeguati in risorse umane e tecnologiche, sviluppo di competenze specialistiche e costruzione di partnership durature tra settore pubblico e privato. Solo attraverso tale approccio integrato e di lungo periodo l’Italia potrà aspirare a invertire il trend negativo che attualmente la caratterizza nel panorama globale della vittimizzazione da ransomware, trasformando una condizione di vulnerabilità in un’opportunità di leadership nella cybersecurity internazionale.