Luce verde alla Camera dei deputati per il disegno di legge sulle “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, che ora passa all’esame in aula al Senato: 149 i voti favorevoli, 109 gli astenuti e 8 i contrari.
Firmato dalla presidente del Consiglio, Giorgia Meloni, e dal ministro della Giustizia, Carlo Nordio, il Ddl ha l’obiettivo di “assicurare una più elevata capacità di protezione e risposta a fronte di emergenze cibernetiche”, rafforzando la sicurezza nazionale a favore delle Pubbliche amministrazioni, delle imprese e dei cittadini, grazie a una governance centralizzata degli aspetti di sicurezza e a disposizioni per la prevenzione e il contrasto dei reati informatici, anche grazie al rafforzamento delle funzioni dell’Agenzia per la Cybersicurezza nazionale e al suo coordinamento con l’autorità giudiziaria.
Le novità nel disegno di legge
Ventitre in tutto gli articoli che compongono il disegno di legge, cinque in più rispetto ai 18 della versione originaria, grazie alle aggiunte arrivate durante l’esame delle norme nelle commissioni Affari Costituzionali e Giustizia di Montecitorio. Tra le nuove disposizioni le più rilevanti riguardano la resilienza delle pubbliche amministrazioni e del settore finanziario, i contratti pubblici di beni e servizi informatici impiegati a tutela degli interessi nazionali strategici, il contrasto ai reati informatici e la sicurezza delle banche di dati degli uffici giudiziari.
L’obbligo di segnalazione degli incidenti entro 24 ore ad Acn
Tra i punti qualificanti del Ddl c’è l’obbligo di segnalazione entro 24 ore all’Agenza per la Cybersicurezza nazionale di alcuni tipi di incidenti che hanno impatto sulle reti. A definire il perimetro di questo obbligo, e quindi quali saranno gli enti pubblici e privati tenuti alla segnalazione, sarà la presidenza del Consiglio su proposta del Comitato interministeriale per la cybersicurezza. Si tratterà in ogni caso, in generale, di “operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato”.
Riunioni Ncs aperte ad Antimafia, Antiterrorismo e Banca d’Italia
Altra novità introdotta dal Ddl è la disposizione che alle riunioni del Nucleo per la cybersicurezza (Ncs) dell’Acn potranno partecipare, su specifiche questioni di particolare rilevanza, i rappresentanti della Direzione nazionale antimafia e antiterrorismo e della Banca d’Italia.
Strutture ad hoc per la cybersecurity nella PA
Il disegno di legge prevede inoltre, tra le nuove disposizioni introdotte alla Camera, che nelle PA che ancora non l’abbiano fatto venga istituita una struttura ad hoc per la cybersecurity che si doti di un referente unico per l’Acn. All’interno dell’Agenzia per la cybersicurezza nazionale verrà inoltre istituito il Centro nazionale di crittografia.
Il Ddl prevede inoltre, per i contratti pubblici, che Palazzo Chigi emani un decreto, su proposta dell’Acn e ascoltato il parere del Comitato interministeriale per la sicurezza della Repubblica, per individuare, per determinate categorie tecnologiche di beni e servizi, gli elementi essenziali di cybersicurezza da tenere in considerazione in relazione alle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici.
L’accesso alle banche dati della PA
Tra i suoi articoli il Ddl stabilisce anche le norme per l’accesso alle banche dati delle pubbliche amministrazioni da parte degli addetti tecnici, prevedendo precisi sistemi di autenticazione.
Secondo le nuove norme passate alla Camera i dipendenti dell’Acn che abbiano partecipato a specifici programmi di specializzazione non potranno assumere, per almeno due anni, incarichi presso soggetti privati con mansioni relative alla cybersecurity.
L’inasprimento delle pene
Secondo le disposizioni del secondo capo del Ddl vengono introdotti e definiti una serie di reati informatici grazie alla modifica di alcuni articoli correlati del Codice penale: dall’accesso abusivo ad un sistema informatico o telematico alla detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico.
Introdotte aggravanti sulla truffa aggravata, prevedendo la confisca obbligatoria dei beni e degli strumenti informatici o telematici utilizzati in tutto o in parte per la commissione del reato, oltre che dei profitto o il prodotto di questo genere di reati.
Il Ddl prevede che venga punita la fattispecie del delitto di estorsione mediante reati informatici, e l’innalzamento della pena per il danneggiamento di sistemi informatici o telematici di pubblica utilità, che potrà costare dai due ai sei anni di reclusione.
Emendamenti e Odg sui trojan
Tra le modifiche più recenti anche l’emendamento presentato da Enrtico Costa, deputato di Azione, approvato dalle commissioni competenti, che da’ la possibilità agli ispettori del ministero della Giustizia di fare controlli sull’accesso alle banche dati. Il governo ha inoltre espresso parere favorevole in aula alla Camera ad un ordine del giorno, presentato sempre da Costa, su disegno di legge che impegna l’esecutivo ad introdurre una disciplina organica dello strumento del trojan, “nel primo provvedimento utile”.
Il nodo delle risorse
Il provvedimento che ha appena ricevuto l’ok della Camera non prevede che siano stanziate risorse per l’attuazione del rafforzamento della sicurezza cibernetica, mentre dispone che i proventi delle sanzioni vengano indirizzati all’Agenzia per la cybersicurezza nazionale.
La Commissione Ue nomina il direttore cybersecurity della Dg Digit
E’ Saad Kadhi il direttore del “Servizio di cibersicurezza per le istituzioni, gli organi e gli organismi dell’Unione” alla direzione generale per i servizi digitali (dg Digit): a nominarlo è la Commissione europea, che però non ha ancora fissato la data di insediamento di Kadhi. L’esperto francese dirige dal 2019 il “Computer emergency response team for Eu institutions, bodies, and agencies” (Cert-Eu).