Tutte le novità del DDL cybersecurity

Lo scorso 25 gennaio il Consiglio dei Ministri ha approvato uno schema di disegno di legge recante “Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale”, che nei mesi a venire sarà calendarizzato per la discussione parlamentare.

Pene più elevate per i reati cyber

La normativa proposta dal CdM inasprisce anzitutto le pene previste per diverse tipologie di reati digitali. Ad esempio, raddoppiando il precedente limite di 5 anni, l’accesso illecito a sistemi informatici potrebbe ora comportare una condanna a 10 anni di reclusione; addirittura 12 nelle ipotesi aggravate, allorché il responsabile rivesta particolari cariche ovvero i dati a cui si è avuto illecitamente accesso siano rilevanti per la sicurezza pubblica o l’interesse nazionale.

All’evidente scopo di contrastare la rapida espansione del fenomeno Cybercrime-as-a-service, si impongono severe conseguenze (fino a due anni di detenzione e multe superiori ai 10.000 €) anche per chi fornisca o commercializzi “programmi in grado di danneggiare sistemi informatici”.

Sono però ammesse significative riduzioni, che possono arrivare anche a due terzi della pena, a favore dei responsabili che siano disposti a collaborare con le autorità inquirenti “nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi”.

Maggiori obblighi per le Pubbliche Amministrazioni

Tutte le P.A. ricomprese nel disegno di legge – Pubbliche Amministrazioni centrali individuate dall’Istat con le relative in-house, Regioni e Province autonome, Comuni da oltre 100.000 abitanti e/o capoluoghi di regione, società di trasporto pubblico urbano con più di 100.000 utenti, ASL – vengono assoggettate all’obbligo di nominare un “referente per la cybersicurezza” che funga da raccordo con tutti gli interlocutori esterni, oltre che da responsabile per la definizione e attuazione di una compiuta strategia di sicurezza informatica.

Le medesime amministrazioni saranno inoltre tenute a comunicare al Computer Security Incident Response Team (CSIRT Italia) ogni incidente informatico entro 24 ore dalla sua scoperta.

Qualora un cyber attacco coinvolga “sistemi informatici o telematici di interesse militare, relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico”, si prevede uno stringente coordinamento tra magistratura, Sistema di Informazione per la Sicurezza e per la gestione congiunta delle successive fasi di mitigazione degli effetti e investigazione sulla dinamica dell’incidente.

Il ruolo dell’Agenzia per la Cybersicurezza Nazionale

L’ACN, istituita nel 2021, con la nuova normativa vedrebbe un significativo ampliamento dei propri poteri ispettivi e sanzionatori: potrà infatti comminare fino a 125.000 euro di multa agli Enti che abbiano violato gli obblighi di comunicazione a loro carico ovvero che, pur avendo tempestivamente comunicato il verificarsi di un incidente, non abbiano adottato entro 15 giorni gli “interventi risolutivi” richiesti dall’ACN stessa.

Per di più, a norma del DDL, l’Agenzia “promuove e sviluppa ogni iniziativa, anche di partenariato pubblico-privato, volta a valorizzare l’intelligenza artificiale come risorsa per il rafforzamento della cybersicurezza nazionale”.

Una funzione da esercitare tenendo conto anche del Regolamento europeo sull’AI, di cui si attende a breve l’approvazione e che definirà il ruolo degli Stati membri nella gestione dell’impatto dirompente dell’intelligenza artificiale entro il quadro comunitario.

In effetti – per quanto il quadro delle minacce informatiche e la severità degli attacchi di cui è stato vittima il nostro Paese negli ultimi mesi appaiano preoccupanti – lascia perplessi la scelta di elaborare nuove norme in materia prima di poter conoscere le innovazioni apportate nel panorama sovranazionale da tale Regolamento, come anche dal Trattato ONU sul crimine informatico, che prevedibilmente sarà adottato già nel corso del 2024.

Tuttavia, considerate le lunghe tempistiche dell’iter legislativo, è probabile che tali novità regolamentari avranno comunque occasione di essere incluse nel dibattito parlamentare relativo alla nuova legge italiana sulla cybersecurity.

A cura della Redazione