Ransomware, stretta legislativa: proposta di legge vieta il pagamento dei riscatti

Gli attacchi ransomware continuano a crescere a ritmi preoccupanti, colpendo aziende, pubbliche amministrazioni e infrastrutture strategiche italiane. Lo certificano i rapporti mensili dell’Agenzia per la Cybersicurezza Nazionale (ACN), secondo cui solo a marzo 2025 sono state registrate 23 rivendicazioni contro obiettivi italiani, quasi il doppio rispetto al maggio precedente. Un fenomeno che sta spingendo il legislatore a intervenire con decisione.

È infatti approdato al Senato della Repubblica il disegno di legge n. 1441, presentato il 3 aprile 2025 e ora in esame presso la Commissione Affari Costituzionali, che propone una stretta storica: vietare il pagamento dei riscatti in caso di attacchi ransomware per tutti i soggetti, pubblici e privati, inclusi nel cosiddetto Perimetro di Sicurezza Nazionale Cibernetica.

La norma prevede di delegare al Governo il compito di formalizzare questo divieto, prevedendo però la possibilità di deroga solo in situazioni eccezionali di grave e imminente pericolo per la sicurezza nazionale, previo via libera del Presidente del Consiglio dei Ministri. Il divieto riguarderebbe il pagamento richiesto dagli hacker dopo aver violato sistemi informatici, cifrato dati o minacciato ulteriori danni, come previsto dall’art. 629 c.p.

Oltre al divieto, il testo introduce diverse misure di prevenzione e risposta. Tra queste, l’obbligo di notificare gli attacchi ransomware al CSIRT nazionale entro sei ore dalla scoperta, pena sanzioni amministrative commisurate alla gravità della violazione. È previsto anche che l’Agenzia per la Cybersicurezza Nazionale elabori un piano di supporto per i soggetti colpiti, con assistenza tecnica e la creazione di una task-force dedicata.

Sul fronte economico, il disegno di legge istituisce un fondo nazionale per il ristoro dei danni economici causati dagli attacchi, riservato a chi rispetta precisi standard di sicurezza o collabora con le autorità durante le indagini. Si incentivano inoltre le polizze assicurative contro i rischi informatici, specie per le PMI, considerate più vulnerabili.

Un altro punto forte della proposta riguarda la formazione obbligatoria annuale per i dipendenti pubblici e incentivi fiscali per la formazione in cybersicurezza nelle piccole e medie imprese, al fine di diffondere maggiore consapevolezza e capacità di difesa.

Il disegno di legge si inserisce nel più ampio contesto normativo europeo tracciato dalla Direttiva NIS 2, recepita in Italia nel 2024, e punta a rafforzare la resilienza nazionale contro un crimine informatico ormai divenuto uno dei più diffusi e dannosi. Un quadro normativo articolato che si compone anche di nuovi regolamenti europei, come il Cyber Resilience Act e il Cyber Solidarity Act, destinati a cambiare profondamente il modo in cui pubbliche amministrazioni e imprese si difendono nel cyberspazio.

Se approvata, la legge costituirà un passo deciso verso una strategia nazionale più incisiva contro le estorsioni digitali, imponendo ai soggetti strategici di dotarsi di difese adeguate e di non cedere più ai ricatti informatici.

---

LEGGI ANCHE