Il tema della cybersecurity sta diventa ogni giorno più importante grazie alla crescita esponenziale del numero di normative in materia, adottate sia a livello europeo che a livello nazionale.
L’ultima novità del panorama cyber italiano è datata 25 gennaio 2024, giorno in cui il Consiglio dei Ministri ha ufficialmente adottato il testo di un disegno di legge che, potenzialmente, andrà a sancire nuovi obblighi in materia di sicurezza informatica, soprattutto per la Pubblica Amministrazione, e introdurre modifiche al codice penale e di procedura penale per l’inasprimento del quadro sanzionatorio per i reati “informatici” oltre che strumenti per un migliore coordinamento delle procure per una più efficace repressione di tali crimini.
Nuovi obblighi di notifica per la Pubblica Amministrazioni e attribuzione di ulteriori funzioni all’ACN in materia di AI per il rafforzamento della cybersicurezza nazionale
Tra le novità principali dello schema di disegno di legge “recante disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale” (“DDL Cybersicurezza”) assume certamente un ruolo preminente quello relativo alle notifiche degli incidenti informatici.
Come noto, le aziende sono già soggette a numerosi obblighi di notifica, sia nel caso in cui il breach riguardi dati personali (in tal caso, con la notifica della violazione al Garante per la protezione dei dati personali) ma anche nel caso in cui il breach impatti le entità che rientrano nel Perimetro di sicurezza cibernetica nazionale.
Benché gli obblighi di notifica degli incidenti informatici debbano essere presto ampliati per il tramite della trasposizione di direttive europee (prima tra tutte la Direttiva NIS 2 che amplia il numero di settori di applicazione delle norme cyber), il DDL Cybersicurezza introduce già delle novità importanti, soprattutto per la Pubblica Amministrazione, estendendo di fatto il Perimetro nazionale cibernetico.
Queste ultime, ivi incluse le pubbliche amministrazioni centrali e le aziende sanitarie locali, saranno ora obbligate a notificare all’Agenzia per la cybersicurezza nazionale (“ACN”) eventuali incidenti aventi un impatto su reti, sistemi informativi e servizi informatici. Il termine della notifica è di 24 ore dalla conoscenza dell’incidente nel caso di incidenti gravi, fermo restando che la mancata notifica può portare ad una attività ispettiva e quindi all’obbligo di adozione di specifiche misure di sicurezza informatiche. A questo si aggiunge inoltre l’applicazione di sanzioni amministrative sino a 125.000 euro.
In una ottica di innalzamento delle misure di sicurezza, inoltre, la bozza di DDL Cybersicurezza richiede alla Pubblica Amministrazione di individuare, ove non sia già nominato, un referente per la cybersicurezza. Quest’ultimo, oltre ad essere il punto di contatto per l’ACN, dovrà provvedere, tra l’altro, allo sviluppo di policy e procedure in materia di sicurezza, alla pianificazione ed implementazione di misure idonee ed al monitoraggio e valutazione continua delle minacce cyber nonché delle vulnerabilità dei sistemi.
Inoltre, la bozza di DDL Cybersicurezza potrebbe introdurre ulteriori prerogative in capo all’ACN. Infatti, tra le varie funzioni, potrebbe andare ad annoverarsi anche quella di promuovere e sviluppare ogni iniziativa, anche di partenariato pubblico-privato, volta a valorizzare l’intelligenza artificiale come risorsa per il rafforzamento della cybersicurezza nazionale, sempre con un occhio di riguardo verso l’utilizzo etico e corretto dei sistemi basati su tale tecnologia.
Le modifiche al Codice penale e di procedura penale
Le misure sopra richiamate sono solo una parte delle possibili novità che potrebbero venire introdotte nel nostro ordinamento grazie al DDL Cybersicurezza. Infatti, al fine di identificare strumenti più forti e deterrenti per contrastare gli attacchi cyber, l’esecutivo intende introdurre diverse modifiche al Codice penale, in particolare, grazie all’inasprimento delle pene per i reati “informatici”.
In particolare, il DDL Cybersicurezza potrebbe innalzare le pene per i pubblici ufficiali o gli addetti a pubblico servizio che accedono abusivamente ad un sistema informatico, attualmente da 1 a 5 anni di reclusione, a 2-10 anni. Questo giro di vite dell’esecutivo non risparmia nemmeno chi detiene o fornisce programmi per danneggiare sistemi informatici: infatti, anche in tal caso è prevista la reclusione fino a 2 anni e multa da 10.329 euro.
Inoltre, il DDL Cybersicurezza prevede sia norme di carattere penale che non sono solo l’innalzamento sanzionatorio ma anche la configurazione di figure autonome di reato, come l’estorsione cibernetica, oltre che di carattere procedurale. Infine, è presente una disposizione che riguarda il “ripensamento” dei cyber criminali, prevedendo misure premiali per chi consente di ripristinare l’ordine cibernetico dopo un attacco.
Il DDL Cybersicurezza vorrebbe far rientrare tutti questi reati nella disciplina dei reati di criminalità organizzata e quindi permettere non soltanto l’utilizzo di strumenti più efficaci di indagine e accertamento ma anche quel coordinamento che passa dalla Direzione distrettuale antimafia e dalla Procura Nazionale Antimafia, visto che tali reati non sono ancorati ad uno specifico territorio.
Alcune considerazioni
Il DDL Cybersicurezza è la dimostrazione che il governo nazionale, anche spinto dalle esigenze europee, sta prendendo in forte considerazione il tema della cybersecurity. Questo anche alla luce dell’obbligo, entro la fine dell’anno, di recepire anche altre direttive in materia di sicurezza informatica, quali, per citarne una, la Direttiva NIS 2 (di cui potrete leggere il nostro articolo CyberItalia: Dalla Direttiva NIS 1 alla NIS 2 in pillole).
Quindi, non rimane altro che seguire la discussione del DDL Cybersicurezza presso il Parlamento e il dispiegarsi del conseguente iter legislativo.
Su un tema simile potrebbero interessarvi “In arrivo il nuovo NIST Cybersecurity Framework 2.0: come cambierà il panorama cyber italiano” e “DLA Piper GDPR Fines and Data Breach Survey: January 2024 | DLA Piper”.
Autrici: Giulia Zappaterra e Giorgia Carneri
Autore: Giulia Zappaterra
