Il governo italiano ha compiuto un significativo passo avanti nella lotta contro il cybercrime con l’approvazione del nuovo Disegno di Legge sulla cybersicurezza da parte del Consiglio dei Ministri.

Questo provvedimento legislativo rappresenta una risposta decisa e attenta all’urgente necessità di proteggere le infrastrutture digitali e i dati sensibili dall’aumento delle minacce informatiche in un’epoca fortemente digitalizzata.

Il nuovo Disegno di Legge si concentra principalmente sulla prevenzione e sulla gestione delle minacce emergenti nel contesto della cybersicurezza, con particolare attenzione agli attacchi ransomware e DDoS, che negli ultimi anni hanno dimostrato di essere sempre più incisivi e dannosi per le istituzioni pubbliche e le imprese private.

Tra i principali punti salienti del Disegno di Legge, vi è l’istituzione di misure specifiche per proteggere le infrastrutture critiche e i servizi digitali di interesse strategico nazionale. Si prevede anche l’implementazione di protocolli e procedure per la gestione delle crisi informatiche, al fine di garantire una risposta tempestiva ed efficace in caso di attacco.

Inoltre, il Disegno di Legge prevede l’istituzione di un quadro normativo più rigoroso per la raccolta, la conservazione e la condivisione dei dati relativi alla cybersicurezza, al fine di migliorare la capacità di individuare e contrastare le minacce in modo proattivo.

In particolare si prevede:

1. Implementazione della cybersicurezza

Il Consiglio dei Ministri, con la previsione della richiesta alle Camere di sollecita calendarizzazione, nel rispetto dei regolamenti dei due rami del Parlamento, ha dato l’ok a un disegno di legge proteso a introdurre norme in materia di reati informatici e di rafforzamento della cybersicurezza nazionale.

2. Reati informatici

Le novità normative, sostanziali e procedurali, toccano i reati informatici, prevedendo:

  • l’innalzamento delle pene,
  • l’ampliamento dei confini del dolo specifico,
  • l’inserimento di aggravanti e/o il divieto di attenuanti per diversi reati commessi tramite l’impiego di apparecchiature informatiche e indirizzati a produrre indebiti vantaggi per chi li commette, a danno altrui o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche.

3. A.C.N. Agenzia per la Cybersicurezza Nazionale

Rafforzate le funzioni dell’Agenzia per la Cybersicurezza Nazionale (ACN) e il relativo coordinamento con l’Autorità giudiziaria in ipotesi di cyberattacchi, con specifiche procedure dirette a rendere maggiormente immediato l’intervento dell’ACN a fini di:

  • prevenzione degli attacchi e delle loro conseguenze,
  • ripristino rapido delle funzionalità dei sistemi informatici.

4. Obbligo di segnalazione e notifica

A carico dei soggetti pubblici individuati dalla norma:

  • pubbliche amministrazioni centrali individuate dall’ISTAT,
  • le regioni e le province autonome di Trento e Bolzano,
  • i comuni con una popolazione superiore ai 100.000 abitanti,
  • i comuni capoluogo di regione,
  • le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti,
  • le aziende sanitarie locali e le rispettive società in house,

un obbligo di segnalazione e notifica degli incidenti indicati in apposito provvedimento ACN, con impatto su reti, sistemi informativi e servizi informatici, e si disciplina la relativa procedura.

5. Inosservanza dell’obbligo di notifica

Il singolo inadempimento fa scattare la comunicazione da parte dell’Agenzia del possibile invio di ispezioni, nei 12 mesi successivi all’accertamento del ritardo o dell’omissione, anche per verificare l’attuazione di interventi di rafforzamento della resilienza.

Nelle ipotesi di reiterata inosservanza dell’obbligo di notifica, si prevede l’applicazione all’ente, da parte dell’Agenzia, di una sanzione amministrativa da euro 25.000 a euro 125.000. Inoltre, per i dipendenti delle p.a., la violazione delle disposizioni può costituire causa di responsabilità disciplinare e amministrativo-contabile.

Per i medesimi soggetti, in presenza di segnalazioni puntuali dell’Agenzia su specifiche vulnerabilità cui risultano potenzialmente esposti, si prevede l’obbligo di provvedere non oltre 15 giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia e, per la mancata o ritardata adozione di tali interventi risolutivi, l’applicazione delle stesse sanzioni.

I soggetti indicati devono individuare, se non già presente, una struttura, anche tra quelle esistenti, che provvede alle attività necessarie per il rafforzamento della resilienza delle p.a. in materia di cibersicurezza e svolge la funzione di punto di contatto unico dell’amministrazione con l’Agenzia.

6. Altre questioni di rilevanza

Per le questioni di particolare rilevanza che afferiscono alle iniziative in materia di cibersicurezza del Paese, potrà essere convocato il Nucleo per la cybersicurezza, in composizione di volta in volta estesa alla partecipazione:

  • di un rappresentante della Procura nazionale antimafia e antiterrorismo,
  • della Banca d’Italia o di altri operatori previsti dal decreto-legge “perimetro” (Decreto legge 21 settembre 2019, n. 105),
  • di eventuali altri soggetti interessati alle medesime questioni.

Il nuovo Disegno di Legge sulla cybersicurezza sarà ora sottoposto al vaglio del Parlamento per l’approvazione definitiva, ma già si prospetta come un importante strumento per affrontare le sfide del cybercrime e garantire la sicurezza digitale dell’Italia nell’era moderna.