Raddoppio delle pene per l`accesso abusivo ai sistemi informatici, obbligo per le Pubbliche amministrazioni di notificare entro 24 ore all’Agenzia per la Cybersicurezza (Acn) gli attacchi informatici subiti, nomina di un referente per la cybersecurity in ogni ente pubblico, rafforzamento delle funzioni dell’Agenzia ma nessuno stanziamento di risorse. Sono le novità del ddl cybersicurezza aprovato in aula alla Camera. Queste le principali novità:
OBBLIGO NOTIFICA Le Pubbliche Amministrazioni sono obbligate a segnalare gli attacchi informatici all`Acn entro 24 ore dall`accaduto. Se non lo fanno rischiano una sanzione amministrativa da 25.000 a 125.000 euro. Stessa sanzione se non intervengono per sanare le vulnerabilità cui sono esposti entro 15 giorni dalla segnalazione dell’Agenzia.
FUNZIONI AGENZIA Spetta all’Acn provvedere non solo alla raccolta ma anche alla elaborazione e classificazione dei dati relativi alle notifiche di incidenti informatici, ricevute dai vari soggetti.
COMITATO INTERMINISTERIALE Del Comitato interministeriale per la sicurezza della Repubblica (CISR), presieduto dal premier, faranno parte, oltre ai ministri di esteri, interno, difesa, giustizia, economia, imprese del Made in Italy, ambiente e della sicurezza energetica, anche il Ministro dell`agricoltura, il Ministro delle infrastrutture e dei trasporti e il Ministro dell`università e della ricerca.
REFERENTE PER CYBERSECURITY Nelle pubbliche amministrazioni, dove non sia già presente, vanno istituiti una struttura preposta alle attività di cybersicurezza e un referente per la cybersicurezza, unico punto di contatto delle amministrazioni coinvolte con l`Agenzia per la cybersicurezza nazionale. Tali misure devono essere adottate entro 12 mesi dall`entrata in vigore della legge, senza nuovi o maggiori oneri per la finanza pubblica quindi avvalendosi delle risorse umane e finanziare disponibili.
RAFFORZAMENTO MISURE Il ddl valorizza l`utilizzo della crittografia quale strumento di difesa cibernetica, anche a vantaggio della tecnologia blockchain, e istituisce il Centro nazionale di crittografia presso l`Agenzia.
CONTRATTI PUBBLICI Nel caso di approvvigionamento di specifiche categorie di beni e servizi informatici, le pubbliche amministrazioni, le società pubbliche e i soggetti privati compresi nel perimetro di sicurezza cibernetica devono tenere in considerazione gli elementi essenziali di cybersicurezza individuati da un Dpcm da emanarsi entro 120 giorni. Il Dpcm deve prevedere criteri di premialità per le proposte o per le offerte che contemplino l’uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all’Unione europea o di Paesi aderenti alla NATO o di paesi terzi che hanno accordi di collaborazione con l’Ue o con la Nato. L’estensione ai paesi terzi è stata inserita durante l’esame in aula per far sì che nelle premialità fosse inserito anche l’uso delle tecnologie delle aziende israeliane.
CODICE PENALE Raddoppio delle pene per l`accesso abusivo ai sistemi informatici. È prevista inoltre la fattispecie del delitto di estorsione mediante reati informatici. Viene inserita una nuova circostanza aggravante del reato di truffa nel caso in cui il fatto sia commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui individuazione. Altra novità il ‘ravvedimento dell’hacker’ per cui sono previste delle attenuanti se si adopera per evitare che l`attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente la polizia o l`autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati.
INTERCETTAZIONI Viene estesa la disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici rimessi al coordinamento del procuratore nazionale antimafia e antiterrorismo.
ISPEZIONI UFFICI GIUDIZIARI In occasione delle ispezioni presso gli uffici giudiziari deve essere verificato il rispetto delle prescrizioni di sicurezza negli accessi alle banche dati in uso. La norma, inserita in sede referente, è stata osteggiata dalle opposizioni che la ritengono un modo “per aprire la strada a forme di controllo improprio delle indagini da parte del ministro della Giustizia”, come ha sottolineato il dem Andrea Orlando.
PERSONALE ACN Per il personale dell’agenzia per la cybersecurity fino al 31 dicembre del 2026 il requisito di permanenza minima nell’area operativa ai fini del passaggio all’area manageriale e alte professionalità è fissato in tre anni.
TRE ANNI DI STOP A NUOVI INCARICHI Chi ha ricoperto incarichi di vertice del DIS, di Aise o di Aisi non può, salvo autorizzazione del Presidente del Consiglio o dell’Autorità Delegata, nei tre anni successivi alla cessazione dell’incarico svolgere attività lavorativa, professionale, o consulenziale, o ricoprire cariche presso soggetti esteri, pubblici o privati, o presso soggetti privati italiani nei settori della difesa e della sicurezza nazionale, dell’energia, dei trasporti e delle comunicazioni.
