Il fenomeno degli attacchi Ransomware alla luce del nuovo rapporto di ACN: nuove tendenze di attacco, strategie e azioni di difesa

Negli ultimi anni, il ransomware si è consolidato come una delle minacce informatiche più gravi a livello globale e nazionale. Questo tipo di attacco, che consiste nel cifrare o sottrarre dati per estorcere denaro alle vittime, continua a evolversi sia per frequenza sia per sofisticazione^[1].

In Italia il fenomeno ha raggiunto proporzioni rilevanti: il Rapporto 2024 dell’Agenzia per la Cybersicurezza Nazionale (ACN) evidenzia che il nostro Paese si colloca stabilmente tra i più colpiti in Europa (circa il 12% dei casi europei), alle spalle di Regno Unito, Germania e Francia^[2].

Le aziende italiane, in particolare quelle di piccole dimensioni con scarsa cultura della sicurezza, risultano il bersaglio preferito dei cybercriminali, mentre il settore manifatturiero è il più colpito, seguito dal commercio al dettaglio e dal comparto tecnologico^[3].

Questa situazione pone rilevanti sfide non solo tecnologiche ma anche giuridiche e di governance: da un lato occorre comprendere le nuove tendenze degli attacchi ransomware e le strategie emergenti adottate dai criminali; dall’altro, bisogna valutare il ruolo delle normative vigenti e gli obblighi di governance aziendale, per evitare che solo i soggetti regolati si proteggano adeguatamente, lasciando vulnerabile il resto della catena del valore. Infine, va affrontato il delicato tema del pagamento del riscatto e dei rischi connessi, che spaziano dai profili contabili-fiscali fino alle possibili responsabilità ai sensi del d.lgs. 231/2001.

Evoluzione degli Attacchi Ransomware in Italia: Tendenze e Ransomware-as-a-Service (RaaS)

L’ecosistema del ransomware è in continua evoluzione. Dal 2019 in poi, si è assistito al passaggio da campagne massive e generiche (ad esempio email con allegati malevoli inviati a pioggia) a modelli di attacco mirati e “industriali”. In particolare, ha preso piede il modello del Ransomware-as-a-Service (RaaS): vere e proprie “franchising” del crimine informatico, in cui sviluppatori di malware, affiliati incaricati della diffusione, negoziatori e gestori delle infrastrutture di pagamento collaborano dietro compenso^[4].

Questo modello ha incrementato la professionalizzazione e la specializzazione degli attacchi, con aggiornamenti continui del malware, economie di scala e una maggiore accessibilità degli strumenti anche a gruppi criminali meno esperti^[5]. Parallelamente, le tattiche di selezione delle vittime si sono affinate: le cosiddette campagne di Big Game Hunting vedono le ransomware gang raccogliere informazioni sulle potenziali vittime e scegliere bersagli in base alla loro capacità finanziaria, calibrando il riscatto richiesto in proporzione alle risorse dell’azienda colpita^[6].

Il risultato è che le richieste di riscatto medie sono in aumento: nel 2023 il valore medio dei riscatti richiesti è cresciuto di circa il 7% rispetto all’anno precedente, anche se mediamente le vittime finiscono per pagare circa un terzo dell’importo originariamente domandato^[7]. A livello globale, i proventi illeciti dei ransomware hanno toccato nuovi record, superando la soglia del miliardo di dollari nel 2023^[8].

Inoltre, quasi la metà degli incidenti analizzati dall’ENISA nel periodo 2021-2022 ha comportato la pubblicazione dei dati rubati, segno della pervasività delle estorsioni legate alla diffusione di informazioni sensibili^[9].

Un altro elemento rilevante è la geografia del fenomeno. In Italia, come accennato, le zone maggiormente colpite sono quelle a elevata densità di attività produttive: i distretti industriali del Nord, dove l’alta concentrazione di imprese manifatturiere attrae gli attaccanti^[10].

Ciò conferma che i criminali informatici tendono a focalizzarsi su obiettivi redditizi, sfruttando spesso la minore preparazione delle PMI sul fronte della sicurezza informatica. Questa tendenza risulta preoccupante in quanto coinvolge l’ampio tessuto delle imprese medio-piccole, che costituiscono anelli cruciali nelle filiere produttive nazionali ma che spesso non dispongono di misure adeguate di protezione.

Strategie Avanzate di Cybercriminali negli Attacchi Ransomware: Encryption-less e Uso dell’IA

Le modalità operative dei gruppi ransomware si stanno diversificando. Oltre alla “doppia estorsione” – ormai diffusa da qualche anno – che combina la cifratura dei dati con la minaccia di pubblicarli (per aumentare la pressione sulla vittima), emergono oggi ulteriori varianti di attacco. Una tecnica recente consiste nell’attacco “encryption-less”, in cui gli aggressori evitano di cifrare i file, limitandosi a esfiltrare i dati riservati e a minacciarne la vendita o la diffusione^[11].

In alcuni casi addirittura i criminali rifiutano di decriptare i dati anche in caso di pagamento, convinti di poter guadagnare di più vendendo le informazioni nel dark web^[12].

Questa strategia, rinunciando del tutto all’uso di malware di cifratura, riduce il rischio per gli attaccanti (meno tracce tecniche e minore esposizione a contromisure delle forze di polizia) e abbassa i costi dell’operazione, a fronte però di un’eguale capacità di danneggiare la vittima.

Un esempio documentato è l’uso di malware non per criptare ma per corrompere o cancellare i file dopo averli rubati: tale espediente è più semplice da realizzare, non richiede la gestione di chiavi di decriptazione, e comunque impedisce alla vittima l’accesso ai propri dati^[13]. Siamo di fronte a un’evoluzione che potremmo definire estorsione informatica “pura”, dove il potere di coercizione deriva interamente dalla minaccia sull’integrità e riservatezza dei dati sottratti, anziché dalla indisponibilità tecnica degli stessi.

Accanto a queste tattiche, i cybercriminali sfruttano sempre più il contesto normativo e assicurativo per massimizzare il profitto. Come evidenziato dal rapporto ACN, durante le intrusioni viene spesso ricercata documentazione interna relativa a polizze cyber assicurative o a eventuali non conformità normative dell’azienda^[14].

Se vengono trovate polizze ransomware, gli attaccanti modulano il riscatto sapendo quanto l’assicurazione potrebbe coprire, spingendo la richiesta fino al massimale previsto^[15].

Al contempo, la scoperta di violazioni normative (ad es. mancata compliance a obblighi di sicurezza o di protezione dei dati) viene usata come leva ulteriore: i criminali minacciano di denunciare la vittima alle autorità competenti in caso di mancato pagamento^[16]. Questo stratagemma pone l’azienda di fronte a un ricatto duplice: non solo la pubblicazione di dati, ma anche l’innesco di possibili sanzioni legali o reputazionali (si pensi alla segnalazione a organi di vigilanza, con conseguente perdita di fiducia del mercato).

Un caso emblematico risale al 2023, quando un gruppo di hacker ha minacciato di riferire alle autorità di regolamentazione statunitensi l’avvenuta violazione ai danni di un’azienda quotata, sfruttando il timore delle ripercussioni finanziarie per forzare il pagamento^[17].

Infine, l’orizzonte delle nuove tecnologie offre opportunità anche ai criminali: l’uso di strumenti basati sull’Intelligenza Artificiale (IA) e su modelli linguistici avanzati (LLM) sta iniziando a manifestarsi nelle campagne ransomware. Gli esperti segnalano che tool di IA vengono già impiegati per automatizzare la generazione di e-mail di phishing altamente credibili e personalizzate, migliorando le probabilità di infezione iniziale^[18].

In prospettiva, si teme che sistemi di IA possano supportare la scrittura di malware sempre più sofisticati, abbassando l’asticella tecnica per condurre attacchi complessi^[19]. Sebbene allo stato attuale lo sviluppo di ransomware completi richieda ancora competenze avanzate, la diffusione di kit automatizzati potrebbe ampliare ulteriormente la platea di attori in grado di lanciare campagne ransomware, incrementando il rischio complessivo.

Framework Normativo NIS2 e Rapporto ACN: Obblighi di Cybersicurezza e Sistema a Doppia Velocità

A fronte di minacce così dinamiche, il quadro normativo si è recentemente rafforzato sia a livello europeo che nazionale. In ambito UE, la Direttiva NIS2 (UE 2022/2555) ha introdotto misure per un elevato livello comune di cybersicurezza, imponendo obblighi stringenti a un ampio novero di soggetti – denominati “essenziali” e “importanti” – operanti in settori critici e servizi chiave^[20].

La NIS2, nasce dalla constatazione che la digitalizzazione diffusa ha ampliato la superficie d’attacco e che gli incidenti informatici possono avere impatti sistemici sui servizi pubblici e sulla società^[21]. L’obiettivo è armonizzare gli standard di sicurezza nei vari Paesi e settori, superando frammentazioni normative e innalzando il livello minimo di protezione^[22].

In Italia, il recepimento della NIS2 è avvenuto con il D.Lgs. 4 settembre 2024, n. 138, che assegna all’ACN il ruolo di autorità competente e traspone gli obblighi di gestione del rischio cyber, adozione di misure tecniche e organizzative, e notifica degli incidenti per gli enti rientranti nel suo campo di applicazione^[23].

Una novità di rilievo è la responsabilità diretta del top management: gli organi di amministrazione delle imprese essenziali e importanti sono tenuti ad occuparsi in prima persona della sicurezza informatica, con doveri di diligenza e vigilanza che non possono essere delegati senza controllo^[24]. Questo implica che i vertici aziendali dovranno investire attivamente nella governance della cybersicurezza, pena sanzioni anche significative in caso di inadempienze.

Accanto alla NIS2, il legislatore italiano è intervenuto sul fronte penale con la Legge 28 giugno 2024, n. 90, mirata a potenziare la repressione dei reati informatici. Tale legge ha inasprito le pene per alcuni crimini (ad esempio, il reato di accesso abusivo a sistemi informatici ex art. 615-ter c.p. vede ora pene raddoppiate, da 1-5 anni a 2-10 anni di reclusione)^[25] ha ampliato i casi di confisca obbligatoria dei proventi e degli strumenti del reato (inclusi beni finanziari e criptovalute) per togliere ai criminali i benefici economici^[26], e ha introdotto nuove fattispecie o aggravanti per colmare lacune.

In particolare, è stata inserita un’aggravante specifica di estorsione riferita ai ransomware: ciò consente di punire più efficacemente chi, mediante malware, blocca o minaccia di diffondere dati altrui per ottenere denaro^[27]. Questa aggravante riconosce la gravità della coercizione digitale esercitata dal ransomware, equiparandola sul piano sanzionatorio all’estorsione violenta anche in assenza di minaccia fisica^[28].

Complessivamente, quindi, il quadro normativo disegna sia incentivi alla prevenzione (attraverso obblighi di sicurezza per gli operatori strategici) sia un rafforzamento della repressione penale verso gli aggressori. Tuttavia, questi sviluppi normativi sollevano il rischio di creare un sistema “a doppia velocità” nella cybersicurezza.

Da un lato, le organizzazioni soggette a obblighi (NIS2/D.lgs.138) saranno spinte ad adottare misure di sicurezza avanzate e a dotarsi di strutture di cyber difesa robuste. Dall’altro lato, una moltitudine di attori economici – in particolare PMI e fornitori lungo la filiera non rientranti tra i soggetti regolati – potrebbe restare esclusa da tali vincoli, continuando ad operare con livelli di protezione inadeguati.

Il pericolo è che si crei un “anello debole” nella catena del valore: i criminali potrebbero colpire i partner meno protetti per infiltrarsi nei sistemi di aziende più grandi o comunque sfruttare le vulnerabilità degli attori non regolamentati, vanificando in parte gli sforzi complessivi.

I dati indicano che molte imprese italiane fanno fatica a tenere il passo con i requisiti di sicurezza: secondo un recente rapporto, il 39% delle grandi imprese lamenta l’entità degli investimenti tecnico-organizzativi necessari per la compliance, mentre oltre la metà delle medie imprese giudica eccessivi gli oneri burocratici connessi^[29]. Inoltre, pesa la carenza di competenze specializzate e una certa incertezza interpretativa di fronte alla proliferazione di norme diverse ma in parte sovrapponentisi^[30].

In questo contesto, le imprese già in difficoltà potrebbero rimanere indietro. Il rischio concreto è quindi una “doppia vittimizzazione” del sistema produttivo: le organizzazioni più piccole e non obbligate, già bersaglio privilegiato degli hacker, potrebbero subire danni gravi e al contempo non beneficiare delle tutele e dei piani di resilienza richiesti invece ai soggetti essenziali^[31]. Per evitare tale scenario, sarebbe auspicabile estendere cultura e pratiche di cybersecurity anche oltre i perimetri normativi, ad esempio tramite incentivi, standard volontari di filiera, e collaborazioni pubblico-privato che diffondano le buone prassi di sicurezza tra tutti gli attori economici.

Obblighi di Governance Aziendale nella Cybersicurezza: Art. 2086 c.c. e Responsabilità degli Amministratori

Le nuove minacce informatiche non impattano solo la sfera tecnica, ma incidono profondamente anche sulla governance aziendale e sui doveri degli organi sociali. In Italia, con la riforma del Codice della crisi d’impresa, è stato introdotto nel codice civile un principio di cruciale importanza: l’art. 2086, comma 2, c.c. impone all’imprenditore (società o ente collettivo) il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi e della continuità aziendale.

Ciò significa che la governance deve dotarsi di procedure e strutture idonee a monitorare costantemente l’andamento aziendale, individuare per tempo le criticità e porre in atto interventi correttivi per salvaguardare la continuità operativa. Nel concetto di “adeguato assetto organizzativo” rientrano a pieno titolo anche le misure di gestione del rischio e di sicurezza informatica: un grave incidente cyber può infatti compromettere la continuità aziendale tanto quanto (se non più di) una crisi finanziaria o gestionale. La cultura organizzativa richiesta dall’art. 2086 c.c. esige dunque che gli amministratori considerino i rischi cyber tra i rischi d’impresa da presidiare e che implementino controlli, politiche e risorse dedicate alla cybersecurity all’interno dell’assetto societario.

Dal punto di vista delle responsabilità, il mancato adempimento di tali obblighi può avere conseguenze serie per gli amministratori. La giurisprudenza ha chiarito che l’obbligo di predisporre assetti adeguati è un dovere legale preciso in capo agli organi gestori, la cui violazione costituisce di per sé inadempimento dei doveri di corretta amministrazione e diligenza ex art. 2392 c.c., con relativa responsabilità personale. In altri termini, se il consiglio di amministrazione omette di dotare la società di misure organizzative idonee (ad esempio trascurando totalmente la sicurezza informatica nonostante i rischi concreti), tale omissione può essere qualificata come cattiva gestione e generare responsabilità per danni verso la società.

Non solo: la mancata adozione di assetti adeguati può costituire una “grave irregolarità” nella gestione societaria. Ai sensi dell’art. 2409 c.c., i soci di minoranza o il collegio sindacale possono riferire al Tribunale le gravi irregolarità degli amministratori; nel caso in cui il giudice riscontri carenze organizzative gravi (ad esempio, assenza di protocolli di sicurezza basilari che abbia esposto l’azienda a violazioni devastanti), potrebbe nominare un amministratore giudiziario e perfino revocare gli amministratori in carica.

Inoltre, un default organizzativo in materia di cybersecurity potrebbe integrare giusta causa di revoca degli amministratori (ex art. 2383 c.c.) se viene giudicato come negligente e potenzialmente dannoso per la società. È quindi evidente l’impatto della cybersecurity sulla governance: i consigli di amministrazione devono affrontare il tema con approccio proattivo, inserendolo nei sistemi di controllo interno e nei piani strategici. Ad esempio, adottando policy di sicurezza, nominando figure responsabili (es. CIO/CISO), predisponendo piani di risposta agli incidenti e assicurazioni cyber, e assicurandosi periodicamente che l’assetto sia adeguato ai mutamenti delle minacce.

Laddove le società siano soggette a normative come NIS2 o abbiano obblighi pubblicistici, tali doveri si sommano a quello civilistico generale dell’art. 2086 c.c.: in pratica, la cyber resilienza diventa parte integrante del dovere di corretta amministrazione. Questo cambiamento eleva la sicurezza informatica da questione esclusivamente tecnica a elemento di legalità dell’azione degli amministratori, in linea con i principi di buona governance e di tutela degli stakeholder (soci, creditori, clienti) da eventi avversi prevedibili.

Pagamento del Riscatto Ransomware: Implicazioni Legali, Fiscali e Strategiche per le Aziende

Quando un attacco ransomware va a segno, l’azienda vittima si trova davanti a una scelta dolorosa: pagare o non pagare il riscatto richiesto dai criminali. Dal punto di vista giuridico-penale, è importante chiarire che pagare un riscatto non costituisce reato in sé e per sé^[32].

La vittima di ransomware è considerata parte offesa di un’estorsione (art. 629 c.p.) o di altri reati informatici (es. accesso abusivo ex art. 615-ter c.p.), e l’ordinamento non punisce chi, sotto la pressione di un ricatto, decide di sborsare una somma nella speranza di riottenere i propri dati^[33]. Questo principio è stato ribadito anche da fonti ufficiali: il Garante Privacy ha avvertito che “pagare il riscatto è solo apparentemente la soluzione più facile” (dunque sconsigliandolo in ottica di policy), e l’Agenzia delle Entrate, in una risposta ad interpello del 2023, ha confermato incidentalmente che il pagamento del ransomware di per sé non integra un illecito penale^[34].

Dunque, l’azienda che paga non commette un reato di favoreggiamento né altro, a meno che naturalmente non si configuri una fattispecie particolare (ad es. finanziamento al terrorismo, ipotesi però limite e intenzionalmente esclusa dal perimetro ordinario). È utile ricordare che esistono eccezioni esplicite solo in altri ambiti: ad esempio, la legge italiana vieta certi pagamenti in caso di sequestro di persona a scopo di estorsione, ma nulla di simile è previsto per i riscatti cyber^[35].

Ciò detto, pagare il riscatto comporta una serie di rischi e problemi collaterali da non sottovalutare. In primo luogo vi sono profili contabili e fiscali: come registrare in bilancio un esborso verso criminali? Se l’azienda tentasse di occultare o falsificare tale uscita di denaro (ad esempio contabilizzandola sotto voci fuorvianti), incorrerebbe in gravi irregolarità.

La citata risposta dell’Agenzia delle Entrate sottolinea che dal modo in cui il pagamento viene contabilizzato potrebbero discendere contestazioni di falso in bilancio o violazioni tributarie^[36].

Infatti, inserire il costo del riscatto come voce deducibile potrebbe non essere lecito: si tratta di un pagamento straordinario, potenzialmente non riconosciuto ai fini fiscali, e rappresentarlo impropriamente potrebbe configurare reati di natura societaria (false comunicazioni sociali) o fiscale. Tali reati, come noto, rientrano tra quelli presupposto del d.lgs. 231/2001 sulla responsabilità amministrativa degli enti.

Dunque, paradossalmente, un’azienda potrebbe esporsi a sanzioni ex 231/01 qualora, a seguito di un attacco informatico, cercasse di mascherare il pagamento del riscatto violando la legge (si pensi all’alterazione di bilancio per coprire perdite, oppure all’omessa segnalazione di movimenti di denaro sospetti in ambito antiriciclaggio).

Un ulteriore rischio finanziario riguarda l’eventualità che il pagamento del riscatto finisca verso soggetti inseriti in liste di sanzioni internazionali (ad esempio gruppi hacker legati a stati canaglia o terrorismo): in tal caso l’ente potrebbe incorrere, seppur involontariamente, in violazioni di normative sul congelamento di capitali o sul finanziamento illecito, con possibili implicazioni legali molto serie. Anche sul piano assicurativo, il pagamento del riscatto pone problemi: molte polizze cyber vincolano l’indennizzo alla denuncia alle autorità e scoraggiano esplicitamente il pagamento diretto ai criminali.

Oltre agli aspetti legali, vi sono considerazioni strategiche: pagare non garantisce affatto la risoluzione del problema e anzi potrebbe peggiorare la posizione dell’azienda. Empiricamente, è noto che i fondi pagati alimentano l’industria del cybercrime, finanziando nuovi attacchi^[37]. Una vittima che paga viene spesso etichettata come “pagatore affidabile” e rischia di essere colpita di nuovo in futuro, magari dalla stessa gang o da altri gruppi che condividono l’informazione^[38]. Inoltre, non c’è certezza che i criminali, una volta incassato il denaro, forniscano realmente la chiave di decrittazione o mantengano la promessa di cancellare i dati rubati^[39].

Numerosi casi hanno visto aziende pagare, per poi scoprire che i dati erano comunque stati diffusi o venduti. Dunque, la scelta di pagare può rivelarsi inutile o addirittura dannosa sul lungo periodo. Dal punto di vista morale e di policy aziendale, molte imprese adottano una linea dura, rifiutando di pagare con la motivazione che ciò equivarrebbe a finanziare attività criminali e perpetuare il ciclo di attacchi^[40].

Questa posizione, per quanto eticamente encomiabile, va però gestita con trasparenza e preparazione: è fondamentale investire in backup sicuri, piani di disaster recovery e collaborazione con le forze dell’ordine, in modo da avere alternative concrete al pagamento.

In sintesi, pur non essendo di per sé illegale, il pagamento di un riscatto non è mai una soluzione priva di conseguenze. Le autorità (ACN, forze dell’ordine, Garante) scoraggiano tale opzione e incoraggiano invece la denuncia dell’attacco, così da attivare i meccanismi di indagine e magari recupero dei dati^[41]. Un’adeguata resilienza e preparazione può mettere l’azienda nella condizione di resistere al ricatto, minimizzando sia l’interruzione operativa sia i rischi legali derivanti dalla gestione post-attacco.

Strategie di Resilienza Cyber per PMI e Grandi Imprese: Best Practices e Conclusioni

Il fenomeno ransomware rappresenta oggi una sfida multidimensionale, che richiede risposte integrate sul piano tecnologico, normativo e organizzativo. Le nuove tendenze di attacco delineano uno scenario in cui i cybercriminali innovano costantemente le loro tecniche – dal modello RaaS all’uso di estorsioni senza crittografia, fino allo sfruttamento delle lacune normative delle vittime – mettendo in difficoltà anche organizzazioni strutturate.

A ciò si è risposto con un rafforzamento del framework normativo: la Direttiva NIS2 e la sua attuazione in Italia mirano a elevare la resilienza dei soggetti cruciali, mentre la L. 90/2024 colpisce più duramente i responsabili di attacchi informatici. Rimane però aperta la questione di come non lasciare indietro l’ampia platea di imprese non direttamente obbligate da queste normative, per evitare una pericolosa spaccatura nella sicurezza collettiva.

In tale contesto, assumono rilievo gli obblighi di buona gestione aziendale: attraverso l’art. 2086 c.c. il legislatore impone alle imprese un salto di qualità culturale, riconoscendo che anche la sicurezza informatica rientra nei doveri di diligente amministrazione e che la sua omissione può costare caro in termini di responsabilità.

Infine, il dilemma del pagamento del riscatto evidenzia come le decisioni durante una crisi cyber abbiano implicazioni legali complesse e potenzialmente di lunga durata, che i decisori (manager e giuristi) devono valutare attentamente in anticipo. Per i giuristi, i professionisti cybersecurity e i decision-maker, questi sviluppi suggeriscono alcune linee d’azione.

In primis, l’importanza di basarsi su fonti autorevoli e dati aggiornati (come i rapporti ACN, ENISA, Clusit) per comprendere la minaccia e orientare sia le strategie di difesa sia le politiche di compliance^[42]. In secondo luogo, la necessità di rafforzare la cooperazione interdisciplinare: gli esperti legali devono dialogare con i tecnici per tradurre gli obblighi normativi in misure concrete e per inserire la gestione del rischio cyber nei modelli 231 e nei sistemi di controllo interno.

Infine, occorre promuovere una cultura della resilienza dove la prevenzione (attraverso formazione del personale, backup, aggiornamento continuo delle difese) e la preparazione alla crisi (incident response plan, canali di comunicazione con le autorità) riducano il ricorso a soluzioni emergenziali come il pagamento di riscatti. Solo così sarà possibile affrontare il fenomeno ransomware in modo organico, mitigandone l’impatto e proteggendo l’innovazione e il valore generato dal nostro tessuto economico anche alla luce delle nuove sfide digitali.

Fonti

Rapporto ACN 2024 sui ransomware

Rapporto Clusit 2024;

Direttiva (UE) 2022/2555 (NIS2) e D.Lgs. 138/2024

Legge 90/2024

art. 2086 c.c. (D.Lgs. 14/2019)

Cass. pen. Sez. II n.32033/2019

Garante Privacy, Ransomware: istruzioni per l’uso, 2022;

Agenzia Entrate, Risposta Interpello n.149/2023

Articolo 4cLegal “Ransomware ed il pagamento del riscatto”

AgendaDigitale.eu “NIS2, la responsabilità dei vertici”

ComplianceHub “Incidenti informatici e obblighi di segnalazione”

Note

[1] Cfr. Rapporto ACN 2024 sui ransomware. https://www.acn.gov.it/portale/documents/20119/728444/ACN_Ransomware_2024_CLEAR.pdf/76f76c2e-4c5e-e3cf-e76c-9f8032eea749?t=1734622549825

[2] Ibidem

[3] Ibidem

[4] Ibidem

[5] Ibidem

[6] Ibidem

[7] Ibidem

[8] Ibidem

[9] Cfr. ENISA Threat Landscape for Ransomware Attacks 2022, Luglio 2022 disponibile al link https://www.enisa.europa.eu/publications/enisa-threat-landscape-for-ransomware-attacks (Ultimo accesso in data 28 febbraio2025)

[10] Cfr. Rapporto ACN 2024 sui ransomware, cit

[11] Ibidem

[12] Ibidem

[13] Ibidem

[14] Ibidiem

[15] Ibidiem

[16] Ibidem

[17] Cfr. M. Trashaj, “Incidenti informatici e cyber attack: obblighi di segnalazione”, marzo 2024, dispoibile al link https://www.compliancehub.it/2024/03/14/incidenti-informatici-cyber-attack-obblighi-di-segnalazione-megi-trashaj/ (Ultimo accesso in data 28 febbraio 2025).

[18] Cfr. Rapporto ACN 2024 sui ransomware, cit.

[19] Ibidem

[20] Cfr. ENISA Threat Landscape for Ransomware Attacks 2022.

[21] Cfr. Megi Trashaj, cit.

[22] Ibidiem

[23] Cfr. F. Di Maio, NIS2, la responsabilità diretta dei vertici nella cybersicurezza: è svolta Febbraio 20205, disponibile al link https://www.agendadigitale.eu/sicurezza/nis2-la-responsabilita-diretta-dei-vertici-nella-cybersicurezza-e svolta/#:~:text=pi%C3%B9%20del%20decreto%20legislativo%20di,%E2%80%9COrgani%20di%20amministrazione%20e%20direttivi%E2%80%9D (ultimo accesso in data 28 Febbraio 2025).

[24] Ibidem

[25] Cfr. Rossi, Copparoni, “Nuove norme per il contrasto ai crimini informatici”, Novembre 2024, diponibile al link https://www.rpcstudiolegale.it/2024/11/15/nuove-norme-contrasto-crimini-informatici/ (Ultimo accesso in data 28 febbraio 2025).

[26] ibidem

[27] Ibidem

[28] Ibidem

[29] Cfr. M. Trashaj, “Incidenti informatici e cyber attack: obblighi di segnalazione”, marzo 2024, disponibile al link https://www.compliancehub.it/2024/03/14/incidenti-informatici-cyber-attack-obblighi-di-segnalazione-megi-trashaj/ (Ultimo accesso in data 28 febbraio 2025)

[30] Ibidem

[31] Ibidem

[32] Cfr. V. Corino, “Ransomware ed il pagamento del riscatto: il confine tra il disvalore morale e il disvalore penale”, Maggio 2032 disponibile a link https://www.4clegal.com/opinioni/ransomware-pagamento-riscatto-confine-disvalore-morale-disvalore-penale#:~:text=Ebbene%2C%20se%20attraverso%20l%E2%80%99uso%20superficiale,attacco%20ramsoware%20non%20costituisce%20reato (Ultimo accesso in data 28 febbraio 2025)

[33] Ibidem

[34] Ibidem

[35] Ibidem

[36] Ibidem

[37] Ibidem

[38] Ibidem

[39] Ibidem

[40] Ibidem

[41] Ibidem

[42] Cfr. Rapporto ACN 2024 sui ransomware, cit.

Avvocato presso Università di Torino, si occupa del diritto delle nuove tecnologie, docente del master cybersecurity dell’Università di Torino, vicedirettore del master in alto apprendistato in innovazione digitale e legal compliance dell’Università di Torino, già professore a contratto presso l’ Università Statale di Milano, coordinatore del corso di perfezionamento in materia di dati personali dell’Università degli Studi di Torino, si occupa del diritto delle nuove tecnologie presso l’Avvocatura di Ateneo di Torino, autore di pubblicazioni in materia di GDPR, cyber sicurezza e videosorveglianza, presidente del Centro Studi di Informatica Giuridica di Ivrea Torino (https://www.csigivreatorino.it/), formatore

Gianluca Rotino, professionista con oltre 20 anni di esperienza in corporate compliance, cybersecurity, proprietà intellettuale, protezione del copyright e governance dei dati.
Ha ricoperto ruoli dirigenziali e consulenziali in settori globali come farmaceutica, ICT, energie rinnovabili e finanza, lavorando in sistemi di civil e common law.
Laureato in Giurisprudenza presso l’Università di Milano, è esperto di normativa GDPR, DORA, NIS/NIS2, governance aziendale e innovazione strategica. A/LA ISO/IEC 27001:2022 e 42001:2023. Informatico professionista ex L.4/2013. Fellow dell’Informazione Society Law Center (ISLC) della Università degli studi di Milano, Membro del Centro Studi Informatica Giuridica di Torino-Ivrea.Maestro della Protezione dei Dati & Data Protection Designer®- Istituto Italiano Privacy Professionista della Privacy- iscritto albo Expert di ANORC (Associazione Nazionale Operatori e Responsabili della Custodia di contenuti digitali),
Socio degli Stati Generali della Innovazione, del Cub Nazionale Cybersecurity (giàGPDRday).