È stato approvato dal Governo il Disegno di Legge recante “Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale”, ora allo studio del Parlamento.

A seguito dell’entrata in vigore, lo scorso il 7 gennaio 2024, del nuovo regolamento Ue 2023/2841 sulla cybersicurezza,e prima ancora, della Direttiva NIS2 e del Cyber Resilience Act,anche il nostro Paese si allinea ai più elevati standard di sicurezza e resilienza imposti agli Stati membri.

Vediamo le novità più significative.

La normativa proposta dal Consiglio dei Ministri inasprisce, innanzitutto, le pene per i reati connessi alla violazione dei dati informatici. In base al Disegno di Legge, l’accesso abusivo ad un sistema informatico o telematico (articolo 615-ter del Codice Penale) sarà punito con la reclusione da due a dieci anni (rispetto all’attuale pena che va da uno a cinque anni), aumentata a 12 anni nelle ipotesi aggravate, allorché il responsabile rivesta particolari cariche ovvero i dati a cui si è avuto illecitamente accesso siano di interesse pubblico o, comunque, rilevanti per la sicurezza pubblica.

Le pene si applicheranno anche nel caso in cui l’atto criminale conduca alla sottrazione di dati, anche mediante riproduzione o trasmissione, o all’inaccessibilità al titolare del sistema, oltre alle ipotesi già contemplate dal Codice Penale, quali la distruzione o danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.

Sono però ammesse significative riduzioni di pena, che possono arrivare anche a due terzi, a favore dei responsabili che siano disposti a collaborare con le autorità nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi.

Il Disegno di Legge amplia il perimetro di sicurezza nazionale cibernetica, coinvolgendo anche alcuni attori pubblici, sempre più nel mirino di cyber attacchi: le Pubbliche Amministrazioni centrali individuate dall’Istat con le relative in-house, le Regioni e Province autonome, i Comuni sopra i 100.000 abitanti e/o i capoluoghi di regione, le società di trasporto pubblico urbano con più di 100.000 utenti, le ASL dovranno infatti dotarsi di un “referente per la cybersicurezza” responsabile della gestione e del governo delle tematiche relative alla sicurezza informatica.

A ciò si aggiunga l’obbligo di segnalazione degli attacchi entro 24 ore al Computer Security Incident Response Team, istituito presso l’Agenzia Nazionale per la cybersicurezza.

In caso di ritardi, l’Agenzia potrà inviare ispezioni ed applicare sanzioni da 25mila a 125mila euro. Sono inoltre previste sanzioni per le Pubbliche Amministrazioni che non si adeguino alle indicazioni dell’Agenzia sulle vulnerabilità alle quali sono esposte.

Tra gli elementi posti in evidenza dal DDL vi è, da ultimo, uno specifico riferimento all’intelligenza artificiale, per la quale l’Agenzia Nazionale per la Cybersicurezza avrà un ruolo cardine nella promozione di attività di collaborazione tra entri pubblici e privati.