29 gennaio 2024
Cybersecurity: approvato dal Consiglio dei Ministri il DDL in materia di reati informatici e di rafforzamento della sicurezza informatica nazionale
Nella riunione del 25 gennaio 2024, il Consiglio dei Ministri ha approvato un disegno di legge (DDL) che introduce disposizioni in materia di reati informatici e di rafforzamento della sicurezza informatica nazionale.
Il DDL, con riferimento ai reati informatici, nel prevedere sia modifiche di carattere sostanziale che novità sul piano processuale, come si legge nel comunicato della Presidenza del Consiglio dei Ministri, dispone:
- un inasprimento delle pene per i reati informatici e l'ampliamento del campo di applicazione di tali reati con una estensione dei confini del dolo specifico;
- l’inserimento di aggravanti e/o il divieto di attenuanti per diversi reati commessi mediante l’utilizzo di apparecchiature informatiche e finalizzati a produrre indebiti vantaggi per chi li commette, a danno altrui o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche.
Ai fini del rafforzamento sicurezza informatica nazionale, il DDL dispone:
- un potenziamento delle funzioni dell’Agenzia per la cybersicurezza nazionale (ACN) e il suo coordinamento con l’Autorità giudiziaria in caso di attacchi informatici, con specifiche procedure volte a rendere più veloce l’intervento dell’Agenzia a fini di prevenzione degli attacchi e delle loro conseguenze e del ripristino rapido delle funzionalità dei sistemi informatici;
- un obbligo, a carico dei soggetti pubblici individuati dalla norma (pubbliche amministrazioni centrali individuate dall’ISTAT, le regioni e le province autonome di Trento e Bolzano, i comuni con una popolazione superiore ai 100.000 abitanti e, comunque, i comuni capoluogo di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali, nonché le rispettive società in house), di segnalazione e notifica degli incidenti indicati in apposito provvedimento ACN, con impatto su reti, sistemi informativi e servizi informatici.
In caso di inosservanza del predetto obbligo di notifica, viene previsto che:
- il singolo inadempimento fa scattare la comunicazione da parte dell’Agenzia del possibile invio di ispezioni, nei 12 mesi successivi all’accertamento del ritardo o dell’omissione, anche al fine di verificare l’attuazione di interventi di rafforzamento della resilienza;
- la reiterata inosservanza dell’obbligo di notifica determina l’applicazione all’ente, da parte dell’Agenzia, di una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000.
Inoltre, per i dipendenti delle pubbliche amministrazioni, la violazione delle disposizioni può costituire causa di responsabilità disciplinare e amministrativo-contabile.
Per gli stessi soggetti, in presenza di segnalazioni puntuali dell’Agenzia circa specifiche vulnerabilità cui risultano potenzialmente esposti, è introdotto l’obbligo di provvedere senza ritardo, e comunque non oltre quindici giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia e, per la mancata o ritardata adozione di tali interventi risolutivi, l’applicazione delle medesime sanzioni.
E' stabilito che i soggetti indicati debbano individuare, laddove non già presente, una struttura, anche tra quelle esistenti, che provvede alle attività necessarie per il rafforzamento della resilienza delle pubbliche amministrazioni in materia di cybersicurezza e svolge la funzione di punto di contatto unico dell’amministrazione con l’Agenzia.
Infine, in relazione a specifiche questioni di particolare rilevanza concernenti le iniziative in materia di cybersicurezza del Paese, potrà essere convocato il Nucleo per la cybersicurezza, in composizione di volta in volta estesa alla partecipazione di un rappresentante della Procura nazionale antimafia e antiterrorismo, della Banca d’Italia o di altri operatori previsti dal del decreto-legge “perimetro” (21 settembre 2019, n. 105), nonché di eventuali altri soggetti, interessati alle stesse questioni.