Il Regno Unito ha recentemente lanciato una proposta di legge per contrastare il ransomware che punta a vietare alle organizzazioni del settore pubblico e alle infrastrutture critiche nazionali di pagare riscatti agli attaccanti. L’iniziativa vuole a spezzare il circolo vizioso dei pagamenti e ridurre così i ritorni per i cybercriminali, sperando che questi diminuiscano gli sforzi profusi in questo tipo di attacco. Ma quali potrebbero essere le reali conseguenze di una simile politica? E, soprattutto, gli altri governi europei dovrebbero seguirne l’esempio? Rob Sloan, VP Cybersecurity Advocacy di Zscaler, se lo è chiesto e ha condiviso il suo punto di vista.
Un cambio di paradigma nella lotta al ransomware
Tradizionalmente, le strategie di difesa informatica si sono concentrate sulla prevenzione e sulla risposta agli attacchi, ma il Regno Unito sta pensando a un approccio radicalmente differente: anziché limitarsi a potenziare le difese, vuole ridurre la profittabilità del ransomware. L’idea è che se le vittime non possono pagare, gli attaccanti perderanno interesse a colpire. Ma perché una simile decisione potrebbe funzionare?
Le statistiche recenti suggeriscono che il pagamento dei riscatti è uno dei principali incentivi per i gruppi criminali. Secondo Chainalysis, nel 2024 il totale dei riscatti pagati a livello globale supererà probabilmente il miliardo di dollari. È evidente che, senza un’iniziativa legislativa in grado di bloccare questa fonte di guadagno, gli attacchi continueranno a proliferare ma se si va a minare questa catena del valore, le cose potrebbero cambiare. In Italia questa strategia fu usata per bloccare il fenomeno dei rapimenti nel secolo scorso, ma gli scenari sono molto diversi. Se adottata su larga scala, una politica di questo tipo potrebbe ridisegnare il panorama della sicurezza informatica europea, ma è necessario analizzare sia i potenziali benefici che i rischi connessi.
Conseguenze di un divieto sui pagamenti: benefici attesi
La principale conseguenza positiva di un divieto sui pagamenti è la diminuzione della redditività degli attacchi ransomware. Se un numero crescente di governi adottasse questa misura, i gruppi criminali dovrebbero rivedere i loro modelli di business, spostandosi su altre tipologie di attacchi meno profittevoli. Inoltre, la policy spingerebbe le aziende a rafforzare le proprie difese e a investire maggiormente in strategie di resilienza, riducendo l'efficacia complessiva degli attacchi ransomware.
I rischi della strategia britannica:
Tuttavia, l’iniziativa non è priva di rischi. In primo luogo, vietare i pagamenti senza un’adeguata preparazione potrebbe mettere in difficoltà le organizzazioni che subiscono un attacco. Il divieto potrebbe tradursi in interruzioni operative prolungate, con gravi ripercussioni per servizi essenziali come sanità, energia e trasporti. In assenza di una strategia di emergenza ben definita, un’azienda o un ente pubblico potrebbe trovarsi impossibilitato a recuperare i propri dati in tempi utili, con conseguenze devastanti.
Inoltre, c’è il rischio che i criminali informatici adottino tattiche più aggressive, aumentando il numero di attacchi distruttivi per costringere le organizzazioni a trovare soluzioni alternative ai pagamenti, come l’acquisto di dati rubati o l’uso di intermediari. Alcuni analisti temono che i gruppi ransomware possano concentrarsi su settori particolarmente vulnerabili per testare la tenuta della nuova normativa e spingere per un cambio di rotta politico.
Il ruolo dell'architettura Zero Trust e della resilienza informatica
Per mitigare i rischi di una simile iniziativa, è essenziale che le organizzazioni adottino strategie di sicurezza avanzate. Tra queste, l’architettura Zero Trust si configura come un pilastro fondamentale. Questo approccio, promosso dal National Institute for Standards and Technology (NIST) degli Stati Uniti, prevede che ogni accesso alla rete venga verificato e convalidato, indipendentemente dalla posizione o dal dispositivo dell’utente. Eliminando il tradizionale modello basato sulla fiducia implicita, lo Zero Trust riduce drasticamente le possibilità di movimento laterale all'interno della rete, una delle tattiche principali dei ransomware.
Altrettanto cruciali sono le strategie di disaster recovery e incident response, che devono includere backup frequenti, esercitazioni periodiche e una chiara definizione dei ruoli e delle responsabilità in caso di attacco. Inoltre, il coinvolgimento della leadership aziendale nel processo di resilienza informatica è fondamentale per garantire investimenti adeguati e una risposta efficace agli incidenti.
L'Europa seguirà il modello britannico?
La proposta del Regno Unito rappresenta una delle mosse più audaci nella lotta contro il ransomware, ma la sua adozione su scala europea richiederebbe un consenso politico e tecnico di ampia portata. Mentre alcuni paesi potrebbero essere tentati di implementare misure simili, altri potrebbero temere le conseguenze economiche e operative di un divieto così drastico.
Se l'iniziativa britannica si rivelasse efficace nel ridurre il numero di attacchi ransomware, altri governi potrebbero seguirne l’esempio, creando un fronte comune contro la criminalità informatica. Tuttavia, affinché una strategia di questo tipo sia realmente efficace, dovrà essere accompagnata da investimenti significativi in sicurezza informatica, piani di emergenza ben definiti e un rafforzamento della collaborazione internazionale.
Il dibattito è aperto: vietare i pagamenti può davvero fermare il ransomware o rischia di esporre le organizzazioni a nuove minacce? Nei prossimi mesi, l’evoluzione della situazione nel Regno Unito fornirà indicazioni preziose per le scelte future dell’Europa.