I ministri del Regno Unito stanno valutando la possibilità di esentare il servizio sanitario nazionale e altri enti dal loro piano per vietare agli operatori di infrastrutture nazionali critiche di pagare riscatti ai criminali informatici per motivi di sicurezza nazionale.
Il ministro della Sicurezza Dan Jarvis ha affermato che il governo sta esaminando “con molta attenzione le esenzioni per motivi di sicurezza nazionale” alla proposta di rendere un reato per ospedali, società idriche e gruppi di telecomunicazioni risolvere le richieste di riscatto in caso di hack.
Mercoledì, quando gli è stato chiesto se preferirebbe che un ospedale chiudesse o che il suo personale finisse in prigione per aver pagato un riscatto, Jarvis ha detto al MagicTech: Summit sulla resilienza informatica: “Non vogliamo che le persone si trovino di fronte a una scelta odiosa [between having to choose between a hospital shutting down or going to jail for paying a ransom].”
“Ciò che non vogliamo che facciano è fornire ingenti somme di denaro ai criminali informatici, senza alcuna garanzia che ottengano effettivamente il risultato che desiderano”, ha aggiunto.
L’introduzione di un’esenzione per la sicurezza nazionale segnerebbe una diluizione del piano del governo, annunciato a luglio sulla scia di una serie di attacchi informatici contro le principali aziende britanniche, tra cui Marks and Spencer e Co-op.
L’anno scorso un attacco ransomware contro Synnovis, un fornitore di servizi di laboratorio, ha portato a una delle più grandi violazioni recenti dei dati dei pazienti del sistema sanitario nazionale e alla morte di un paziente. Anche migliaia di operazioni e appuntamenti in diversi ospedali del servizio sanitario nazionale e ambulatori medici di Londra sono stati cancellati o ritardati.
A luglio, Jarvis ha affermato che il ransomware è un “crimine predatorio” che “minaccia i servizi da cui dipendiamo” e che il divieto è stato progettato per rimuovere l’incentivo finanziario per i criminali ad attaccare organismi critici del Regno Unito.
Ma gli esperti informatici hanno avvertito che le proposte – che richiederebbero un atto del parlamento – rischiano un “collasso dei servizi essenziali” se attuate, poiché rimuoverebbero uno strumento prezioso nei colloqui in cui dati altamente sensibili o servizi essenziali potrebbero essere compromessi.
Secondo il rapporto State of Ransomware 2025 del gruppo di sicurezza informatica Sophos, quasi il 50% delle aziende vittime di attacchi hacker nel 2024 ha pagato un riscatto.
Jarvis ha affermato che è “in procinto di cercare un accordo tra i governi” sulle proposte e che “si consulterà ulteriormente” con l’industria prima di trarre conclusioni definitive sulla portata del divieto.
Descrivendo la politica come una “priorità personale”, ha aggiunto che spera di avere maggiori dettagli su una tempistica per la sua attuazione il prossimo anno.
“Dobbiamo prendere di mira questo tipo di regole e assicurarci che i criminali informatici comprendano che il Regno Unito è l'obiettivo più difficile possibile”, ha affermato Jarvis. «Ma le disposizioni attuali [including no ban on payments] non sono sostenibili”.