Nonostante siano passati anni dalle prime notizie, il ransomware continua a essere uno dei problemi di sicurezza più seri, probabilmente il primo della lista. Ai molti tentativi di arginare il problema si aggiunge ora anche l’azione legislativa, con il Parlamento chiamato a discutere due proposte di legge bipartisan, la n. 2318 e la n. 2366, volte a arginare l'epidemia di ransomware.
Al centro del dibattito politico c'è la volontà di istituire un divieto formale al pagamento dei riscatti per le infrastrutture critiche e di potenziare i poteri di intelligence, in un momento storico in cui il nostro Paese figura tristemente come terzo al mondo per numero di attacchi subiti. Tuttavia, la risposta legislativa rischia di scontrarsi con la dura realtà operativa di un tessuto industriale frammentato, dove la velocità di esecuzione dei criminali supera quella della burocrazia difensiva.
Il principio è lo stesso applicato ai sequestri di persona, quando si concepì l’idea di congelare i beni dei familiari. L’idea di base è la stessa: se il criminale sa che la vittima non potrà pagare nemmeno volendo, rinuncerà al reato ancora prima di compierlo.
Ci sono tuttavia alcune obiezioni che si possono sollevare: prima di tutto, sviluppare e distribuire un ransomware è piuttosto economico. Di certo non è complesso e rischioso quanto un sequestro di persona.
Il criminale che diffonde ransomware colpisce “a pioggia”, senza farsi domande sull’identità della vittima. Poi si chiede il riscatto, e vedremo se chi paga otterrà davvero la chiave crittografica. Per quelli che non pagano, il criminale si limiterà a fare spallucce.
Il concetto ha bisogno di essere un po’ raffinato, forse.
Parliamo tuttavia di infrastrutture critiche per il funzionamento di un Paese. La questione trascende la semplice gestione tecnica degli incidenti informatici per toccare i nervi scoperti della continuità operativa nazionale.
Stiamo parlando di una vera e propria industria del crimine che, secondo le stime di Cybersecurity Ventures, muove capitali tali da competere con il PIL di intere nazioni.
L'asimmetria è evidente: mentre le aziende faticano ad aggiornare i propri sistemi di backup, spesso fallibili, gli attaccanti sfruttano l'intelligenza artificiale per automatizzare le intrusioni, rendendo il pagamento del riscatto non una soluzione, ma, come avevamo già evidenziato discutendo dell'evoluzione delle minacce, una mera tassa sulla vulnerabilità.
Un approccio a due velocità
Le due proposte di legge convergono su quattro pilastri fondamentali che denotano una presa di coscienza matura da parte del legislatore: il divieto di pagamento, la classificazione degli attacchi gravi come minaccia alla sicurezza nazionale, l'uso di strumenti di intelligence e l'estensione delle operazioni sotto copertura anche su server esteri. L'approccio della PDL 2318 appare più strutturale, prevedendo un "Fondo nazionale di risposta" e un obbligo di notifica universale entro sei ore, un meccanismo cruciale per avere quella visibilità sui dati che spesso manca nelle analisi di settore, come confermato dai report periodici di Enisa.
Tuttavia, emerge una criticità sostanziale nell'applicazione del divieto di pagamento. La norma si applica rigorosamente ai soggetti inclusi nel "Perimetro di Sicurezza Nazionale Cibernetica". Se da un lato questo protegge gli asset strategici dello Stato, dall'altro crea un pericoloso vuoto normativo per tutto ciò che ne rimane fuori. È qui che la strategia rischia di fallire: blindare la porta principale lasciando spalancate le finestre del retrobottega.
Il paradosso delle PMI e il ROI criminale
Va benissimo preoccuparsi delle infrastrutture critiche, ma l’Italia è un paese di PMI, e anche le Piccole e Medie Aziende - sopratutto loro in effetti - sono bersaglio di attacchi informatici. Le PDL, per ora, non prendono in considerazione questa parte del tessuto economico.
Da una parte le aziende saranno libere di pagare se lo vorranno, ma dall’altra questo “scudo” forse avrebbe potuto avere un qualche effetto positivo?
Potrebbe sembrare che il Legislatore stia colpevolmente ignorando le PMI, ma non è necessariamente così. Come detto, i criminali informatici si muovono secondo logiche ben diverse. Di fronte a una PMI che non paga non devono far altro che dimenticarsene e passare oltre. Per il criminale non cambia assolutamente niente, quindi sarebbe solo la PMI a rimetterci.
Non che pagando si possa star sicuri, ma non poterci nemmeno provare perché una legge te lo proibisce sarebbe davvero ridicolo.
Forse tutto sommato è un bene che le PMI siano escluse da questa legge. Così come è più che positiva, nella PDL 2366, l'attenzione alla prevenzione culturale attraverso la scuola, un investimento a lungo termine necessario per colmare il gap di competenze digitali che affligge il nostro mercato del lavoro.
Tuttavia, la cultura da sola non basta se non è supportata da strumenti operativi immediati per le aziende più piccole, spesso prive di un CISO o di risorse dedicate alla sicurezza gestita.
Le due proposte portano entrambe del valore, ed è auspicabile che si fondano in un’unica norma che possa diventare legge il prima possibile.
Prima bisognerà tuttavia stabilire cosa fare - se è il caso di fare qualcosa - con le PMI e le imprese in generale. Probabilmente la strada giusta è quella della normativa NIS2: obblighi molto chiari come come vanno gestiti e protetti i dati.
Perché se è vero che un backup è quella cosa che dovevi farla prima, è verissimo il fatto che se nemmeno ci provi a fare un backup come si deve poi non puoi lamentarti se rischi la chiusura per colpa di un cyberattacco.