L'estorsione informatica, esercitata in particolare attraverso attacchi ransomware, rappresenta una delle minacce cyber più significative e in crescita per le imprese, le pubbliche amministrazioni e le infrastrutture strategiche in Italia. Le statistiche indicano che l'Italia è bersaglio di una quota sproporzionata degli attacchi globali, con una grande percentuale riconducibile al ransomware (l’ultimo report di Yarix, per esempio, ci posiziona come quarti nel mondo).
Il legislatore italiano ha cercato di rispondere a questa minaccia con diversi interventi normativi recenti e in particolare con il Disegno di Legge sulle Cyber Estorsioni, presentato lo scorso aprile al Senato. Che cosa comporterebbe, se approvato? Quali sono le principali differenze con l'attuale situazione? “Già con la Legge 90 del 28 giugno 2024, entrata in vigore a fine giugno 2024, si è tentato di rafforzare la cybersicurezza e contrastare i reati informatici”, ci ha spiegato l’avvocato Andrea Puccio, founding partner dello studio legale Puccio Penalisti Associati. “L’approccio di questa legge è stato definito di natura repressiva: l’obiettivo era introdurre nuove fattispecie di reato e inasprire le sanzioni per creare maggiore deterrenza”.
“Una delle novità principali”, ha proseguito Puccio, “è stata l'introduzione del reato di ‘estorsione informatica’ o ‘estorsione telematica’ attraverso l'inserimento di un terzo comma nell'articolo 629 del codice penale. Questa fattispecie criminosa si configura quando un soggetto, mediante condotte informatiche specifiche (quali accesso abusivo a sistemi o danneggiamento informatico) o minacciando di compierle, costringe qualcuno a fare od omettere qualcosa, procurandosi un ingiusto profitto con altrui danno”.
Le pene previste dalla Legge 90/2024 (DL Cybersicurezza) già sono severe: la reclusione va da sei a dodici anni, le multe da 5.000 a 10.000 euro. Sono previste anche aggravanti che, richiamando quelle della rapina, possono portare la pena fino a oltre vent’anni. Questo reato si applica contro qualsiasi vittima, non essendo perimetrati i soggetti offesi o gli autori.
Con il DDL Cyber Estorsioni si passa dall’approccio prevalentemente repressivo della Legge 90/2024 a un approccio più orientato alla prevenzione, alla rottura del modello economico criminale e al supporto alle vittime. “Il nuovo disegno di legge segna un cambiamento di paradigma”, ha rimarcato Puccio. “L'approccio non è più prevalentemente repressivo, ma mira a una strategia nazionale organica e preventiva, cercando di intervenire prima che il reato si verifichi e di interrompere il nesso tra vittima e autore del reato”.
I punti chiave del DDL Cyber Estorsioni
Il DDL delega il Governo a introdurre diverse misure, con un focus particolare sui soggetti inclusi nel Perimetro di Sicurezza Nazionale Cibernetica (imprese strategiche, Pubblica Amministrazione centrale, difesa, enti finanziari), ma includendo anche le pubbliche amministrazioni meno strutturate e le piccole e medie imprese. Vediamo alcuni punti del Disegno di Legge destinati ad essere attuati tramite decreti legislativi.
- Divieto di pagamento del riscatto: per i soggetti rientranti nel Perimetro di Sicurezza Nazionale Cibernetica che dovessero cedere al pagamento, la violazione comporterà una sanzione amministrativa commisurata. Deroghe sono possibili solo in caso di minaccia grave alla sicurezza nazionale autorizzata dal Presidente del Consiglio. Questa misura si ispira alle leggi contro il sequestro di persona a scopo di estorsione: il divieto, sanzionato amministrativamente, mira infatti a colpire l’interesse economico dei gruppi cyber criminali e a depotenziare il modello di business del ransomware.
- Obbligo di notifica: tutti i soggetti pubblici e privati che subiscono un attacco ransomware andato a buon fine devono dare notifica al Csirt Italia (Computer Security Incident Response Team Italia) entro sei ore dalla conoscenza dell’evento. Anche questo inadempimento prevede una sanzione amministrativa. La notifica è una condizione necessaria per accedere al Fondo nazionale di risposta. Il Csirt inoltra la segnalazione alle autorità competenti.
- Qualificazione degli attacchi come minacce alla sicurezza nazionale: il Presidente del Consiglio può qualificare un attacco ransomware come incidente che pregiudica la sicurezza nazionale. Questo eleva l'attacco da questione privatistica a interesse statale primario, consentendo l'attivazione di misure di intelligence e di difesa cibernetica.
- Sostegno alle vittime: l'Agenzia per la Cybersicurezza Nazionale (Acn) dovrà predisporre un piano operativo di supporto per i soggetti colpiti, con attenzione a PA e Pmi, offrendo indicazioni tecniche e valutando alternative al pagamento. È prevista l'istituzione di una task force nazionale all’interno del Csirt Italia per coordinamento e assistenza.
- Creazione di un fondo nazionale per compensare, anche parzialmente, le perdite economiche delle vittime che hanno rispettato gli obblighi previsti dalla legge, come la notifica tempestiva e l’adozione di misure preventive.
- Prevenzione e formazione: il DDL promuove la prevenzione e una cultura diffusa della cybersicurezza. Prospetta l'obbligo di formazione annuale per il personale della PA, incentivi fiscali per le Pmi che investono in formazione e agevolazioni per la sottoscrizione di cyber-assicurazioni. Si sottolinea l'importanza del fattore umano e la necessità di sensibilizzare manager e imprenditori, essendo il ransomware anche un fenomeno “culturale”. È suggerita la presenza di un esperto cyber nei consigli di amministrazione.
Andrea Puccio, founding partner di Studio Puccio Penalisti Associati
Aspetti critici del DDL: il punto di vista di uno studio legale
“L’obiettivo di interrompere il nesso economico tra vittima e autore del reato, tramite il divieto di pagamento del riscatto, è condivisibile, ma va capito come lo stesso sia concretamente realizzabile”, ha commentato Puccio. “Soprattutto, bisognerebbe comprendere se sia corretto introdurre il divieto nelle situazioni in cui non vi sono alternative pratiche. In diversi casi, infatti, le aziende sono spinte a pagare per evitare fermi produttivi o problemi che possono determinare ingenti danni patrimoniali, anche pari a svariati milioni di euro al giorno. Il legislatore dovrebbe quindi considerare che possono presentarsi situazioni molto diverse tra loro e che, in generale, un amministratore d’impresa è chiamato a prendere in considerazione la soluzione concreta che avrà il minore impatto sul business”.
Andrebbe anche considerato che, attualmente, denunciare un attacco ransomware nella maggior parte dei casi non ha alcuna conseguenza e le attività investigative sono poco efficaci. “Molto frequentemente”, ha proseguito Puccio, “i procedimenti penali si concludono con una richiesta di archiviazione: le somme non vengono recuperate e i cybercriminali rimangono ignoti, perché mancano gli strumenti investigativi necessari per ricostruire la frode in tempi brevi e risalire agli autori dei reati. Talvolta, il motivo che spinge le aziende a denunciare è soprattutto quello di prevenire una futura contestazione”.
Entro sei mesi dall'eventuale entrata in vigore, il Disegno di Legge sulla Cyber Estorsioni dovrà poi essere attuato tramite decreti legislativi che dovranno chiarire dettagli cruciali, come la portata delle sanzioni, il coordinamento con gli obblighi di notifica esistenti previsti dal Gdpr e dalla direttiva Nis2, e i rapporti tra le diverse autorità.
Nonostante i progressi normativi, la concretizzazione di queste norme presenta sfide significative. Ad esempio, l'applicazione pratica del reato di estorsione informatica introdotto dalla Legge 90/2024 è ancora limitata. In questo contesto, emergono figure come i cyber negoziatori, gli intermediari che trattano con i criminali informatici per conto delle aziende colpite. “Le attività condotte da tali soggetti potrebbero essere considerate come borderline”, ha osservato Puccio. “Si discute, infatti, sulla loro potenziale responsabilità a titolo di concorso nel reato di estorsione. Tuttavia, come noto, il reato di estorsione è di natura dolosa e le condotte poste in essere dai negoziatori, i quali cercano sempre di addivenire a un punto d'incontro, non sarebbero caratterizzate dal dolo specifico di procurare un ingiusto profitto con altrui danno, così come richiesto dalla norma incriminatrice. Non va, peraltro, dimenticato che la gestione del pagamento, spesso in criptovalute e tramite complesse intermediazioni finanziarie, solleva altresì questioni di natura fiscale e contabile”.
In sintesi, se l'approccio preventivo del DDL 2025 è da vedere positivamente, da solo non sarà sufficiente per arginare il modo efficace il fenomeno dei ransomware: saranno cruciali la sua effettiva messa a terra e la capacità dello Stato di fornire un'alternativa pratica e credibile al pagamento del riscatto, unitamente al potenziamento degli strumenti investigativi.
“Ritengo che lo spirito della norma sia condivisibile”, ha concluso Puccio, “e che sia corretto tracciare la strada maestra della prevenzione del rischio, cercare di intervenire anticipatamente, sensibilizzando manager, imprese, imprenditori, perché di frequente le cause di tali fenomeni hanno anche una matrice culturale. Ma, come spesso osserviamo, l’intervento del legislatore, per quanto caratterizzato da un approccio innovativo, si trova inevitabilmente a rincorrere la rapida evoluzione della criminalità informatica”.