Il 1° agosto 2025 è stato pubblicato nella Gazzetta Ufficiale il DPCM n. 111 del 4 giugno 2025 (di seguito, il “DPCM”), il quale aggiorna l’elenco degli incidenti informatici che i soggetti rientranti nel Perimetro di Sicurezza Nazionale Cibernetica sono tenuti a notificare. Il DPCM costituisce un punto di riferimento centrale per i soggetti designati quali parte del Perimetro, in quanto individua con chiarezza le tipologie di incidenti soggette all’obbligo di notifica al CSIRT.
Quadro Normativo
Il Perimetro di Sicurezza Nazionale Cibernetica (di seguito, il “Perimetro”), istituito attraverso il Decreto-Legge n. 105/2019 (convertito nella Legge n. 133/2019), impone stringenti obblighi in capo a soggetti pubblici e privati da cui dipende l’esercizio di una funzione essenziale o la fornitura di un servizio essenziale per lo Stato e dal cui malfunzionamento, interruzione, anche parziali o utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale. Tali soggetti operano in settori critici quali energia, finanza, trasporti, comunicazioni, difesa e sanità.Gli obblighi previsti dal Perimetro comprendono l’identificazione e la protezione degli asset informatici critici, nonché la tempestiva notifica al CSIRT Italia di qualsiasi incidente che possa compromettere la riservatezza, l’integrità o la disponibilità delle infrastrutture digitali.
Incidenti da Notificare
Il DPCM aggiorna la classificazione degli incidenti informatici contenuta nell’Allegato A del precedente DPCM n. 81/2021. In particolare, il DPCM definisce le seguenti macro-categorie di incidenti che devono essere segnalati:
- Infezione (Initial exploitation): include eventi come l’esecuzione di malware tramite e-mail di phishing, lo sfruttamento di vulnerabilità note nei servizi esposti o l’esecuzione remota di codice non autorizzata (ad esempio, ICP-A-1). Questi rappresentano spesso le fasi iniziali di un attacco più ampio.
- Guasto (Fault): include il degrado o la perdita dei livelli di servizio attesi in termini di risorse di calcolo, larghezza di banda e backup, nonché la perdita o compromissione delle credenziali utente e delle chiavi crittografiche.
- Installazione (Establish Persistence): riguarda attività connesse all’installazione di codice malevolo o a metodi volti a mantenere accessi non autorizzati. Ad esempio, l’escalation di privilegi non autorizzata all’interno dei sistemi interni o il dispiegamento di tecniche per ottenere permessi di livello superiore o per eludere i sistemi di sicurezza (e.g. ICP-A-11, ICP-A-12).
- Movimenti Laterali (Lateral Movement): comprende attività finalizzate a muoversi all’interno della rete o a raccogliere informazioni, come il furto di credenziali o l’uso di tecniche per accedere o eseguire codice su diversi sistemi interni (e.g. ICP-A-15, ICP-A-17).
- Azioni sugli Obiettivi (Actions on objs): riguarda l’utilizzo di tecniche volte a raccogliere o esfiltrare dati dai sistemi compromessi (e.g. ICP-A-18, ICP-A-19), tipicamente dopo aver stabilito una presenza persistente.
Un’aggiunta significativa introdotta dal DPCM è l’inclusione esplicita – nella categoria ICP-A-20 – degli incidenti che comportano “accessi non autorizzati o con abusi dei privilegi concessi“, indipendentemente dall’intento dell’attore o dall’obiettivo perseguito. Rientrano in questa categoria tutti i casi, identificati mediante indicatori qualitativi o quantitativi, in cui l’accesso alle risorse digitali avviene:
- senza alcuna autorizzazione legittima; o
- attraverso l’uso improprio di credenziali autorizzate, ad esempio nei casi di movimenti laterali da parte di personale interno, uso di privilegi eccessivi o accesso oltre i compiti operativi assegnati.
Gli indicatori qualitativi possono includere, ad esempio, accessi effettuati in orari insoliti, accesso a dati o sistemi non correlati al ruolo dell’utente o schemi anomali quali l’uso di interfacce a riga di comando nascoste o tecniche di persistenza. Gli indicatori quantitativi possono invece riguardare volumi insolitamente elevati di interrogazioni sui dati, tentativi di autenticazione inattesi o uso sproporzionato di funzioni amministrative.
È interessante notare che un evento può rientrare nella categoria sopra menzionata anche qualora l’accesso sia stato effettuato da un dipendente o da un soggetto comunque autorizzato, nel caso in cui ciò comporti una perdita di riservatezza o si discosti dai comportamenti operativi previsti, come identificato tramite indicatori qualitativi o quantitativi.
In altre parole, lo scopo perseguito o l’identità dell’attore non sono rilevanti; qualsiasi accesso al di fuori delle autorizzazioni esistenti è sufficiente a far scattare l’obbligo di notifica.
L’introduzione di questa categoria risponde alla crescente rilevanza operativa delle minacce interne e delle intrusioni basate su credenziali, entrambe comunemente utilizzate come fasi preliminari di campagne di attacco complesse. L’obiettivo è dunque di innalzare il livello di attenzione e valutare attentamente anche tentativi preliminari di accesso.
Conclusioni
Il DPCM rafforza la centralità degli obblighi di notifica ed espande l’ambito di applicazione del Perimetro, con l’obiettivo primario di anticipare le minacce informatiche emergenti attraverso requisiti di segnalazione più ampi e precisi.
