Sanzioni contro gli attacchi informatici
L'UE può imporre sanzioni per scoraggiare e contrastare gli attacchi informatici che costituiscono una minaccia esterna per l'UE o i suoi Stati membri.
Attacchi informatici che minacciano l'UE o i suoi Stati membri
Nel maggio 2019 il Consiglio ha istituito un quadro di sanzioni che consente all'UE di imporre misure restrittive mirate volte a scoraggiare e contrastare gli attacchi informatici che costituiscono una minaccia esterna per l'UE o i suoi Stati membri.
Più specificamente, per la prima volta questo quadro consente all'UE di imporre sanzioni a persone o entità responsabili di attacchi informatici o tentati attacchi informatici, che forniscono sostegno finanziario, tecnico o materiale per tali attacchi o che vi sono altrimenti coinvolte.
Il regime di sanzioni contempla gli attacchi informatici che hanno effetti significativi e che provengono o sono sferrati dall'esterno dell'UE, impiegano infrastrutture esterne all'UE, sono compiuti da persone o entità stabilite o operanti al di fuori dell'UE o sono commessi con il sostegno di persone o entità operanti al di fuori dell'UE.
Le sanzioni comprendono il divieto di viaggio verso l'UE per le persone e il congelamento dei beni per le persone e le entità. È vietato inoltre fornire fondi o risorse economiche, direttamente o indirettamente, alle persone o alle entità oggetto di sanzioni, o a loro beneficio.
Il regime di sanzioni si applica attualmente a 19 persone e sette entità ed è stato prorogato da ultimo fino al 18 maggio 2027.
Gli attacchi informatici che costituiscono una minaccia per i paesi dell'UE comprendono quelli che incidono su sistemi di informazione relativi a:
- infrastrutture critiche cruciali per il funzionamento essenziale della società o per la salute, l'incolumità, la sicurezza e il benessere economico o sociale dei cittadini
- servizi necessari per attività sociali ed economiche fondamentali, in particolare l'energia, i trasporti, il settore bancario, la finanza, il settore sanitario, l'acqua potabile e le infrastrutture digitali
- funzioni statali essenziali, in particolare la difesa, la governance e il funzionamento delle istituzioni, delle elezioni pubbliche, di infrastrutture economiche e civili, della sicurezza interna e delle relazioni esterne, come pure delle missioni diplomatiche
- conservazione o trattamento di informazioni classificate
- squadre di pronto intervento governative
Tra le persone sanzionate nell'ambito di tale regime di sanzioni figurano cittadini russi responsabili di una serie di attacchi informatici perpetrati a danno dell'UE e dei suoi Stati membri, tra cui l'attacco del 2015 contro il parlamento federale tedesco e gli attacchi del 2020 contro vari ministeri in Estonia.
Le entità oggetto di sanzioni comprendono imprese che forniscono servizi di pirateria informatica e prodotti utilizzati per compromettere dispositivi negli Stati membri e accedervi. Queste entità hanno sede in paesi terzi, come la Russia, la Cina e l'Iran.
Rafforzare la ciberdiplomazia
Nel giugno 2017 l'UE ha istituito un quadro relativo a una risposta diplomatica comune dell'UE alle attività informatiche dolose (il "pacchetto di strumenti della diplomazia informatica"). Il quadro consente all'UE e ai suoi Stati membri di utilizzare tutte le misure nell'ambito della politica estera e di sicurezza comune (PESC), comprese se necessario sanzioni, a fini di prevenzione, dissuasione, deterrenza e risposta in relazione alle attività informatiche dolose a danno dell'integrità e della sicurezza dell'UE e dei suoi Stati membri.
Il pacchetto di strumenti della diplomazia informatica è stato riesaminato nel 2023 per consentire lo sviluppo di strategie durature, mirate, coerenti e coordinate nei confronti degli autori di minacce informatiche persistenti.
La strategia dell'UE in materia di cibersicurezza adottata dalla Commissione europea e dal servizio europeo per l'azione esterna nel dicembre 2020 rafforza la risposta diplomatica dell'UE agli attacchi informatici.
Nell'ottobre 2024 il Consiglio ha istituito un nuovo quadro di sanzioni in risposta alle azioni destabilizzanti della Russia all'estero.
Questo quadro consente all'UE di adottare misure nei confronti delle persone e delle entità coinvolte in politiche e azioni, compresi attacchi informatici, del governo della Federazione russa che minano i valori fondamentali dell'UE e dei suoi Stati membri e compromettono la loro sicurezza, indipendenza e integrità, nonché quelle di organizzazioni internazionali e paesi terzi.
- Minacce ibride provenienti dalla Russia
- Linee guida di attuazione del pacchetto di strumenti della diplomazia informatica (8 giugno 2023)
- Comunicazione congiunta – Rafforzamento della resilienza e potenziamento delle capacità di affrontare minacce ibride (13 giugno 2018)
- Conclusioni del Consiglio su un quadro relativo ad una risposta diplomatica comune dell'UE alle attività informatiche dolose ("pacchetto di strumenti della diplomazia informatica") (19 giugno 2017)
- La strategia di cibersicurezza (Commissione europea)
Per maggiori informazioni
Perché l'UE adotta sanzioni?
Minacce ibride
Ciberdifesa
Ultima modifica: 11 maggio 2026