Dopo aver incassato le lodi – invero non unanimi – scaturite dall’introduzione nel nostro ordinamento del nuovo reato della estorsione on-line, previsto e punito dal terzo comma dell’art. 629 c.p., il Governo ha nei mesi scorsi depositato alla Camera la prima proposta di legge “per la definizione di una strategia nazionale per il contrasto degli attacchi informatici a scopo di estorsione” (premere qui per leggere), con ciò guadagnando due ulteriori fiches.
La prima, e forse più evidente, è quella che gli deriva dall’aver forgiato una terminologia, di italico stampo, alternativa all’ormai stucchevole ransomware, notoriamente conosciuto come quel particolare tipo di malware che è in grado di bloccare l’accesso al pc infettato, criptandone i dati e minacciandone contestualmente la cancellazione e/o la diffusione in rete in caso di mancato pagamento di un riscatto (ransom), quasi sempre monetizzabile in criptovalute.
L’altra è da leggersi in una con gli allarmanti dati dei rapporti che, anno dopo anno, vedono il nostro Paese figurare tra gli obiettivi preferiti degli attacchi informatici e con la improcrastinabile esigenza di mettere in campo un’organica operatività strategica, che punti a minimizzare il più possibile le devastanti conseguenze di simili condotte sui bilanci delle aziende, pubbliche e private, che ne siano vittime.
Il rapporto CLUSIT 2025 (premere qui per leggere) ci rivela infatti che nello scorso anno il numero di attacchi informatici gravi in Italia è aumentato del 15% e che il nostro Paese, pur rappresentando solo l’1% del PIL mondiale, ha subito il 10% degli attacchi globali, evidenziando una sproporzione allarmante, dovuta principalmente al basso livello di investimenti in cybersecurity, alla frammentazione del tessuto economico italiano (con una forte prevalenza di PMI poco protette), nonché alla crescente complessità delle minacce digitali, spesso facilitate dall’intelligenza artificiale.
Sulla concreta risposta a tali vulnerabilità si concentra la proposta di legge, ora all’esame delle Commissioni riunite Affari Costituzionali e Trasporti, i cui punti salienti possono così riassumersi:
– divieto, sanzionato con l’irrogazione di una sanzione amministrativa “commisurata alla violazione medesima”, di pagamento di un riscatto a seguito di una “estorsione informatica” per quei soggetti pubblici e privati compresi nell’applicazione delle disposizioni in materia di perimetro di sicurezza nazionale cibernetica (PSNC) di cui al decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, del decreto legislativo 4 settembre 2024, n. 138 (NIS 2) e della legge 28 giugno 2024, n. 90 (riforma dei reati informatici);
– previsione della possibilità – discrezionalmente esercitata dal Presidente del Consiglio – di classificare l’attacco contro soggetti pubblici o privati rientranti nel PSNC, nella NIS 2 o nella legge n. 90/2024, come minaccia per la sicurezza nazionale e di attivare le conseguenti misure di contrasto;
– possibilità per le forze dell’ordine di svolgere indagini informatiche sotto copertura anche oltre i confini nazionali;
– obbligo – gravante su qualsivoglia soggetto pubblico o privato che subisca un attacco informatico e sanzionato in via amministrativa – di notifica dell’attacco al CSIRT Italia entro sei ore dal momento in cui il soggetto ne abbia avuto conoscenza;
– previsione di un piano di azione a sostegno dei soggetti che abbiano subìto un attacco e che abbiano adempito all’obbligo di segnalarlo tempestivamente.
Vale la pena evidenziare come tale ultima innovazione rappresenti il quid pluris rispetto ad un analogo intervento che il legislatore ebbe a codificare nel lontano 1991, allorquando con la legge n. 82, impose il blocco dei beni appartenenti alla persona fatta oggetto di sequestro a scopo di estorsione e a tutti i suoi parenti ed affini, con ciò sancendo la fine della piaga dei sequestri a fini estorsivi.
Va difatti evidenziato come la finalità di sostegno economico all’ente che sia vittima di ransomware, per la cui concreta attivazione il testo di legge si perita di costituire un fondo presso l’ACN (Agenzia per la Cybersicurezza Nazionale), possa rappresentare un valido incentivo ad affrontare e risolvere le conseguenze spesso devastanti della sottrazione e della successiva rivelazione di dati riservati.
Soprattutto per le aziende private il pagamento del riscatto, che è ad oggi la scelta quasi sempre adottata, si rivela un terribile boomerang.
La mancata contabilizzazione della somma versata a titolo di riscatto – che intuibilmente non si presterebbe ad avere una lineare collocazione nelle poste di bilancio – apre il campo ad una possibile contestazione dei reati di cui agli artt. 2621 c.c. (false comunicazioni sociali), 2625 c.c. (impedito controllo) e 2638 c.c. (ostacolo all’esercizio delle funzioni dell’autorità di controllo), nonché, se il pagamento viene effettuato a vantaggio e nell’interesse dell’ente, ad una responsabilità ex art. 25-ter del D. lgs. n. 231/2001 (Responsabilità amministrativa delle società e degli enti).
Dal punto di vista dell’immagine della società, poi, non è difficile ipotizzare come siffatta condotta vada necessariamente ad incidere – una volta resa nota per qualsivoglia imponderabile ragione – sul rispetto dei valori, dei principi e degli ideali di comportamento dichiarati dal Codice etico in vigore per quella particolare realtà aziendale.
La linea tracciata dal Governo va quindi nella direzione di incentivare con misure adeguate il rispetto del divieto di pagamento del riscatto, che è oggi la prassi comune e che si spera non rimanga tale a fronte di una mancata attivazione del fondo per la ben nota carenza di risorse.
The post Sul DDL per il contrasto degli attacchi informatici a scopo di estorsione first appeared on Osservatorio Italiano sul Diritto delle Nuove Tecnologie.
