Il "ddl cybersecurity" punta a rendere il Paese più resiliente alle minacce informatiche

Dopo quello della Camera, mercoledì 19 giugno 2024 è arrivato il voto positivo del Senato al ddl “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.

Cosa prevede la nuova legge nazionale sulla cybersicurezza

La nuova legge nazionale sulla cybersicurezza mira, da un lato, alla prevenzione e al contrasto dei reati informatici e, dall’altro, ad aumentare la resilienza della pubblica amministrazione di fronte alle minacce telematiche.

Nuove fattispecie di reati informatici e inasprimento delle pene

Tra i ventiquattro articoli che compongono il “ddl cybersecurity” – così la stampa ha già ribattezzato la nuova legge nazionale sulla cybersicurezza – ce ne sono che introducono e definiscono, tramite modifiche al Codice Penale, nuovi reati informatici, per esempio la detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico.

La legge introduce anche la fattispecie di estorsione mediante reati informatici.

Vengono innalzate le pene già previste in caso di danneggiamento di sistemi informatici o telematici di pubblica utilità: ora si rischia fino a sei anni di reclusione.

Nel caso di truffa aggravata commessa tramite l’uso di strumenti informatici o telematici si prevede la confisca degli stessi, oltre che di beni e profitti provenienti dalle attività illecite.

L’obbligo di segnalazione degli incidenti informatici e le altre previsioni per le PA

È sulla capacità di PA e altri enti pubblici di prevenire e rispondere agli incidenti informatici che si concentra, però, il grosso delle novità introdotte dalla legge nazionale sulla cybersicurezza: diversi studi di settore hanno individuato, del resto, nei soggetti pubblici uno dei principali destinatari degli attacchi informatici portati a termine negli ultimi anni.

Viene introdotto, in particolare, l’obbligo di segnalare entro ventiquattro ore all’ Agenzia per la cybersicurezza nazionale – ACN  alcune tipologie di incidenti che possono avere impatto sulle reti informatiche e telematiche. Tale obbligo vale sia per soggetti pubblici e sia per soggetti privati che saranno individuati dalla Presidenza del Consiglio dei Ministri su parere del Comitato interministeriale per la cybersicurezza tra quelli che – si legge nel “ddl cybersicurezza” – «svolgono funzioni istituzionali o essenziali per gli interessi dello Stato».

Le pubbliche amministrazioni che non lo abbiano ancora fatto devono dotarsi di un’apposita struttura per la cybersicurezza e nominare un referente unico per l’ACN.

Per accedere alle banche dati delle PA saranno previsti, anche per tecnici e addetti ai lavori, speciali sistemi di autenticazione.

Più attenzione alla sicurezza digitale anche nei contratti pubblici

Per quanto riguarda i contratti pubblici, specie se finalizzati all’approvvigionamento di beni e servizi informatici impiegati a scopo di tutela di interessi nazionali strategici, è previsto che la Presidenza del Consiglio di Ministri definisca in accordo ancora con ACN e Comitato interministeriale per la cybersicurezza criteri ed elementi essenziali che concernono la sicurezza digitale.

Novità all’interno dell’Agenzia per la cybersicurezza nazionale

Sono previste anche novità direttamente in seno all’Agenzia per la cybersicurezza nazionale.

Al suo interno sarà istituito, innanzitutto, il Centro nazionale di crittografia.

Viene allargato il numero di soggetti ammessi a partecipare alle riunioni del Nucleo per la cybersicurezza: quando le questioni da discutere avranno particolare rilevanza nazionale potranno essere coinvolti anche la Direzione nazionale antimafia e antiterrorismo e la Banca d’Italia.

È previsto, ancora, che i dipendenti dell’ACN che abbiano partecipato a specifici programmi di formazione e specializzazione non possano assumere incarichi inerenti alla cybersecurity presso soggetti privati per almeno due anni.

Non sono previste risorse economiche per la nuova legge nazionale sulla cybersicurezza

La nuova legge sulla cybersicurezza nazionale non prevede, comunque, lo stanziamento di apposite risorse per l’attuazione dei punti appena citati e per rafforzare – qual è la ratio esplicita del ddl – sicurezza e resilienza digitale del Paese: è in particolare su questo punto che c’è stato disaccordo tra le forze politiche e che si sono concentrate le ragioni di chi ha votato negativamente il disegno di legge.

È previsto, invece, che i proventi delle sanzioni comminate a chi non rispetti le previsioni della legge o legate ai reati informatici di nuova e vecchia definizione siano impiegati per finanziare le attività dell’ACN.                  .