L’estorsione informatica rappresenta oggi una delle minacce più gravi alla stabilità operativa di imprese, pubbliche amministrazioni e infrastrutture strategiche. A fronte di un contesto geopolitico sempre più instabile, caratterizzato da escalation ibride e dalla commistione tra crimine organizzato e attivismo informatico a matrice statuale, il nostro Paese ha registrato un incremento significativo degli attacchi cyber.
Secondo i dati riportati nella relazione illustrativa del disegno di legge presentato il 3 aprile 2025 dal Senatore Basso, nel solo anno 2023 si è verificato un aumento del 12% degli attacchi informatici rispetto all’anno precedente, con un’incidenza sproporzionata a livello globale: l’Italia, pur rappresentando solo l’1,8% del PIL mondiale, è stata bersaglio di circa il 10% degli attacchi informatici su scala planetaria. Di questi, oltre due terzi sono attribuibili ad attività a scopo estorsivo mediante ransomware.
Tali numeri impongono una riflessione sistemica sulla vulnerabilità strutturale del sistema-Paese, nonché sull’urgenza di strumenti normativi adeguati a fronteggiare l’evoluzione del crimine informatico. L’estorsione informatica, da reato tecnologico isolato, si configura ormai come un fattore strutturale di rischio economico, sociale e strategico.
In tale cornice, il disegno di legge in esame si propone di conferire al Governo una delega ampia per la definizione di una strategia nazionale organica, in grado di colmare le lacune dell’ordinamento vigente e di armonizzarsi con il quadro normativo europeo
Estorsione informatica e divieto di pagamento del riscatto: un cambio di paradigma per i soggetti pubblici e privati critici
Il disegno di legge delega il Governo a introdurre, tra le altre misure, un esplicito divieto di pagamento del riscatto per i soggetti pubblici e privati inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, in caso di attacco informatico riconducibile a una forma di estorsione informatica.
Si tratta di una misura che, per la sua valenza sistemica, segna un deciso mutamento di paradigma nell’approccio del legislatore alla criminalità informatica, superando la logica della gestione discrezionale da parte della vittima e affermando un principio di ordine pubblico volto a colpire l’interesse economico dei gruppi criminali.
L’ispirazione di fondo richiama, per impostazione e finalità, la disciplina adottata con riferimento al reato di sequestro di persona a scopo di estorsione, introdotta dapprima con la legge n. 497/1974 e poi confluita, con modifiche, nella legge n. 82/1991. In quel contesto, l’art. 3 della legge del 1991 vietava il pagamento del riscatto da parte dei congiunti del sequestrato, salvo autorizzazione dell’autorità giudiziaria, al fine di interrompere la catena del profitto che incentivava il fenomeno criminoso.
Con analoghe finalità, l’attuale proposta normativa prevede che la violazione del divieto di pagamento del riscatto in caso di attacco ransomware comporti l’irrogazione di una sanzione amministrativa commisurata alla gravità della violazione. Solo in presenza di una minaccia grave ed imminente per la sicurezza nazionale, accertata e riconosciuta con provvedimento formale, il Presidente del Consiglio dei Ministri potrà autorizzare la deroga al divieto.
Questa clausola consente al sistema di mantenere un margine di flessibilità nei casi estremi, senza tuttavia vanificare l’effetto dissuasivo della norma. La previsione assume un valore fortemente simbolico e strutturale: privare i gruppi criminali della prospettiva di un pagamento certo rappresenta, anche nel caso dell’estorsione informatica, una misura per depotenziare il modello economico che sostiene le offensive ransomware su scala internazionale.
Estorsione informatica e qualificazione degli attacchi come minacce alla sicurezza nazionale
Una delle innovazioni più rilevanti del disegno di legge in materia di estorsione informatica è rappresentata dalla previsione, contenuta all’art. 1, comma 1, lettere b) e c), della possibilità per il Presidente del Consiglio dei Ministri di qualificare un attacco ransomware come incidente che comporta un pregiudizio per la sicurezza nazionale.
Si tratta di una disposizione che eleva l’evento informatico da minaccia di natura privatistica a questione di interesse primario per lo Stato, con conseguente attivazione delle misure straordinarie previste dalla legislazione vigente in materia di difesa e sicurezza.
In particolare, viene richiamato il regolamento di cui al decreto del Presidente del Consiglio dei Ministri 30 luglio 2020, n. 131, che all’art. 1, comma 1, lettere f), g) e h), definisce rispettivamente i concetti di compromissione, incidente e sicurezza nazionale, e si prevede che tale qualificazione possa essere adottata in via autonoma ai sensi dell’art. 2, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito con modificazioni dalla legge 4 agosto 2021, n. 109.
In forza di questa qualificazione, sarà consentito attivare misure di contrasto proprie dell’ambito intelligence cibernetica, tra cui quelle previste dall’art. 7-ter del decreto-legge 30 ottobre 2015, n. 174, convertito con modificazioni dalla legge 11 dicembre 2015, n. 198.
L’estorsione informatica, in questa prospettiva, viene assimilata a una forma di aggressione sistemica alla sovranità digitale del Paese, in quanto in grado di paralizzare infrastrutture critiche, erodere la fiducia dei cittadini nei servizi pubblici e destabilizzare il sistema economico e produttivo nazionale.
Si tratta di un’interpretazione evolutiva e coerente con le più recenti prassi internazionali, in cui le minacce ibride e le offensive cyber condotte da soggetti non statali sono sempre più spesso oggetto di qualificazione come attacchi alla sicurezza dello Stato. Attraverso questo meccanismo di riconoscimento formale, si consente allo Stato di mobilitare tempestivamente tutte le risorse operative, tecnologiche e strategiche necessarie, colmando un vuoto di tutela che in passato ha impedito una reazione efficace e centralizzata agli attacchi di estorsione informatica di matrice transnazionale.
Estorsione informatica e obbligo di notifica al CSIRT Italia: l’accelerazione della risposta nazionale
Nel sistema delineato dal disegno di legge in materia di estorsione informatica, un ruolo di primo ordine è affidato all’obbligo di notifica tempestiva degli attacchi ransomware da parte di tutti i soggetti, pubblici e privati, che ne siano colpiti. La norma, prevista dall’art. 1, comma 1, lettera e), impone l’invio di una segnalazione al Computer Security Incident Response Team – CSIRT Italia entro sei ore dal momento in cui il soggetto interessato sia venuto a conoscenza dell’evento, pena l’irrogazione di una sanzione amministrativa commisurata alla gravità dell’inadempimento.
Tale obbligo non si applica nei casi in cui le misure di sicurezza messe in atto dalla vittima abbiano efficacemente bloccato l’attacco prima della cifratura o dell’esfiltrazione dei dati. La notifica assume funzione non solo informativa ma anche abilitante, poiché costituisce condizione necessaria per accedere, in seguito, al Fondo nazionale di risposta agli attacchi ransomware.
Il CSIRT Italia, ricevuta la segnalazione, dovrà provvedere senza indugio a trasmetterla agli organismi istituzionalmente competenti: il Ministero dell’interno, ai sensi dell’art. 7-bis del decreto-legge 27 luglio 2005, n. 144; le autorità previste dal regolamento (UE) 2022/2554 (c.d. regolamento DORA), come recepito nel nostro ordinamento dal decreto legislativo 10 marzo 2025, n. 23; gli organismi informativi per la sicurezza di cui agli artt. 4, 6 e 7 della legge n. 124 del 2007; nonché, ove pertinente, al Ministero della difesa quale autorità nazionale per la gestione delle crisi informatiche, ai sensi dell’art. 13 del decreto legislativo 4 settembre 2024.
L’impianto normativo mantiene impregiudicati eventuali ulteriori obblighi di notifica già previsti da discipline settoriali, come la direttiva (UE) 2022/2555 (NIS 2) o il regolamento generale sulla protezione dei dati (UE) 2016/679.
Estorsione informatica e sostegno alle vittime: piano operativo, task force e Fondo nazionale
Nel quadro normativo delineato dal disegno di legge in materia di estorsione informatica, un rilievo particolare è attribuito alle misure di sostegno diretto alle vittime di attacchi ransomware, nella consapevolezza che la sola repressione non è sufficiente a garantire la resilienza complessiva del sistema.
A tal fine, la proposta normativa incarica l’Agenzia per la Cybersicurezza Nazionale (ACN) di predisporre un piano operativo di supporto a favore dei soggetti colpiti, con attenzione specifica alle pubbliche amministrazioni locali e alle piccole e medie imprese. Il piano dovrà contenere indicazioni tecniche concrete per la gestione dell’attacco, dalla fase di contenimento iniziale alla ripresa dell’operatività, nonché la valutazione delle alternative praticabili rispetto al pagamento del riscatto.
Al contempo, si prevede l’istituzione di una task force nazionale presso il CSIRT Italia, con compiti di coordinamento, assistenza tecnica, analisi condivisa delle informazioni e funzione di punto di contatto unico per le vittime, sia a livello nazionale che internazionale. Tale assetto organizzativo è finalizzato a garantire una reazione tempestiva e strutturata agli attacchi di estorsione informatica, superando la frammentazione operativa finora riscontrata nella gestione delle emergenze cibernetiche.
In aggiunta, il legislatore intende istituire un Fondo nazionale di risposta agli attacchi ransomware, alimentato con risorse pubbliche, destinato a fornire un ristoro – anche solo parziale – delle perdite economiche subite a seguito dell’evento lesivo. L’accesso al Fondo sarà subordinato al rispetto di precisi requisiti, tra cui l’effettuazione della notifica entro i termini stabiliti e l’adozione delle misure preventive indicate nel piano ACN. Questa previsione introduce un principio di corresponsabilità ex ante, in base al quale il supporto pubblico si fonda sull’adempimento diligente da parte del soggetto privato o pubblico, ribadendo così la centralità della prevenzione nell’architettura giuridica contro l’estorsione informatica.
Estorsione informatica, responsabilità e prevenzione: formazione, assicurazioni e nuovi reati
L’approccio delineato dal disegno di legge nei confronti dell’estorsione informatica si fonda anche sul rafforzamento della dimensione preventiva e sulla promozione di una cultura diffusa della sicurezza cibernetica. In tale prospettiva, la proposta normativa introduce obblighi e incentivi volti a promuovere comportamenti virtuosi e a rafforzare la capacità reattiva del sistema Paese. Viene innanzitutto previsto l’obbligo di formazione annuale in materia di cybersicurezza per tutto il personale delle pubbliche amministrazioni, con l’obiettivo di accrescere la consapevolezza individuale e ridurre il rischio derivante dal fattore umano, notoriamente tra i principali vettori di compromissione nei casi di ransomware.
Parallelamente, si prevedono incentivi fiscali in favore delle piccole e medie imprese che investano nella formazione del proprio personale, riconoscendo le difficoltà economiche e organizzative che spesso impediscono alle PMI di dotarsi di un’adeguata postura di sicurezza.
A tali misure si affianca la promozione della sottoscrizione di cyber-assicurazioni, mediante la previsione di ulteriori agevolazioni fiscali e contributive. Queste polizze, sebbene non sostitutive delle misure di prevenzione tecnica e organizzativa, possono costituire uno strumento di resilienza economica e una modalità efficace di gestione del rischio, specie per gli operatori di minori dimensioni.
Dal punto di vista normativo-repressivo, il disegno di legge introduce nuove previsioni sanzionatorie mirate, tra cui l’introduzione di fattispecie autonome di illecito per lo sviluppo, la promozione o la diffusione di piattaforme Ransomware-as-a-Service (RaaS), anche in assenza di un diretto coinvolgimento negli attacchi.
Tale previsione risponde all’esigenza di colpire non solo gli esecutori materiali dell’estorsione informatica, ma anche l’infrastruttura tecnica ed economica che ne consente la proliferazione. Infine, in coerenza con le migliori pratiche internazionali, si prevede l’introduzione di un regime di protezione giuridica per i soggetti che segnalino in buona fede vulnerabilità informatiche, secondo le modalità della divulgazione responsabile.
Questa clausola di safe harbor ha l’obiettivo di incentivare la collaborazione della società civile, in particolare della comunità tecnica e accademica, con le istituzioni, al fine di rafforzare in modo sistemico la sicurezza informatica nazionale e contenere il fenomeno dell’estorsione informatica prima che esso si manifesti nelle sue forme più dannose.
Il nostro supporto alle imprese e alle PA. Consulenza legale qualificata in materia di cybersecurity e reati informatici
Le misure previste nel disegno di legge presentato il 3 aprile 2025 in tema di estorsione informatica rappresentano una novità di estremo rilievo nel panorama della legislazione nazionale. Tuttavia, esse si configurano allo stato attuale come principi e criteri direttivi affidati alla futura attività del Governo, cui spetterà il compito di dare attuazione alla delega mediante l’adozione di uno o più decreti legislativi, entro il termine di sei mesi dalla futura ed eventuale entrata in vigore della legge.
I futuri decreti legislativi dovranno chiarire la portata effettiva delle sanzioni previste, i rapporti con gli obblighi di notifica già esistenti a livello europeo e nazionale, e il coordinamento tra i diversi livelli di autorità coinvolti nella risposta agli attacchi di estorsione informatica.
In ogni caso, pur trattandosi ad oggi di un mero disegno di legge l’iniziativa legislativa riveste un’importanza strategica notevole, poiché segna l’emersione di un indirizzo normativo chiaro e coerente, volto a rafforzare la resilienza del Paese nei confronti di una minaccia sempre più diffusa e insidiosa.
In caso di attacco ransomware, o di altri eventi riconducibili a condotte di estorsione informatica, è fondamentale disporre di un supporto legale tempestivo e specialistico, in grado di orientare l’ente nelle comunicazioni con le autorità competenti, nella tutela del patrimonio informativo, nell’adempimento degli obblighi regolatori e nella gestione della propria responsabilità.
Il nostro Studio offre assistenza legale specialistica in materia di estorsione informatica e, in genere, di reati informatici, supportando imprese e pubbliche amministrazioni nella prevenzione, nella risposta e nella messa in sicurezza dell’organizzazione a fronte di attacchi informatici a scopo estorsivo.