Sulla cybersicurezza il governo italiano sollecita un “cruciale” intervento normativo: questo l’obiettivo del disegno di legge contenente “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (ddl cybersicurezza), come evidenziato dal sottosegretario alla presidenza del Consiglio, Alfredo Mantovano, intervenuto ai lavori delle commissioni riunite Affari Costituzionali e Giustizia della Camera che stanno esaminando il testo.
Il provvedimento del governo, approvato in Consiglio dei ministri lo scorso 25 gennaio, è stato incardinato nelle due commissioni e ha come relatori il presidente della I Nazario Pagano (FI) e il presidente della II Ciro Maschio (FdI).
“Non si tratta di un testo blindato, non è questa l’intenzione del governo, è un testo aperto all’arricchimento del lavoro parlamentare che sono certo ci sarà. Mi pare che sia materia estranea a contrapposizioni ideologiche”, ha sottolineato Mantovano. “Tutti sul piano istituzionale, non solo il governo, abbiamo un’esigenza concreta di adeguamento normativo rispetto ad attacchi che sono sempre più preoccupanti. Diamoci una mano per realizzare questo adeguamento, non ci sono blindature”.
“Tutta la parte sanzionatoria” del disegno di legge del governo “rende più serio il fronte della risposta alle abusive intrusioni nelle banche dati, che oggi sono punite con sanzioni risibili”, ha aggiunto Mantovano.
Più poteri ad Acn e pene più severe per gli hacker
Il ddl, composto da 18 articoli, interviene “con modifiche (sostanziali e processuali) in relazione ai reati informatici, prevedendo l’innalzamento delle pene, l’ampliamento dei confini del dolo specifico, l’inserimento di aggravanti e/o il divieto di attenuanti per diversi reati commessi mediante l’utilizzo di apparecchiature informatiche e finalizzati a produrre indebiti vantaggi per chi li commette, a danno altrui o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche”, spiega una nota di Palazzo Chigi.
Inoltre, “si rafforzano le funzioni dell’Agenzia per la cybersicurezza nazionale (Acn) e il suo coordinamento con l’Autorità giudiziaria in caso di attacchi informatici, con specifiche procedure volte a rendere più immediato l’intervento dell’Agenzia a fini di prevenzione degli attacchi e delle loro conseguenze e del ripristino rapido delle funzionalità dei sistemi informatici”.
“Questo disegno di legge non è ovviamente la chiave risolutiva di tutti i problemi”, ha detto Mantovano, ma punta a “a incrementare, anche con la predisposizione di strutture di procedure di alert e di tempi certi, una maggiore consapevolezza del rischio cyber” portando “a superare comportamenti ingenui” e “debolezze troppo umane”, ad adottare “le misure organizzative e tecnologiche adeguate, a dotarsi di una governance centralizzata degli aspetti di sicurezza e a realizzare un incremento significativo anche sul piano sanzionatorio”.
In Ue via libera agli standard per la Cyber resilience
A livello Ue, il Parlamento ha approvato il Cyber-resilience act , che contiene i nuovi standard di resilienza informatica per proteggere tutti i prodotti digitali nell’Ue dalle minacce informatiche.
Il regolamento, già concordato con il Consiglio nel dicembre 2023, mira a garantire che i prodotti con funzionalità digitali siano sicuri da usare, resilienti alle minacce e forniscano informazioni sufficienti sulle loro proprietà di sicurezza.
I prodotti importanti e critici saranno messi in elenchi diversi in base alla loro criticità e al livello di rischio per la sicurezza informatica che rappresentano. Le due liste saranno proposte e aggiornate dalla Commissione europea. I prodotti che saranno ritenuti a rischio cyber elevato saranno esaminati più rigorosamente da un organismo notificato, mentre altri potrebbero passare attraverso un processo di valutazione della conformità più leggero, spesso gestito internamente dai produttori.
Durante i negoziati, i deputati si sono assicurati che prodotti come il software dei sistemi di gestione delle identità, i gestori di password, i lettori biometrici, gli assistenti domestici intelligenti e le telecamere di sicurezza private siano coperti dalle nuove regole. I prodotti dovrebbero anche avere aggiornamenti di sicurezza installati automaticamente e separatamente dagli aggiornamenti delle funzionalità.
I deputati hanno anche spinto per un maggior coinvolgimento dell’Agenzia Ue per la sicurezza informatica (Enisa) quando vengono trovate vulnerabilità e si verificano incidenti. L‘agenzia sarà informata dallo Stato membro interessato e riceverà informazioni in modo che possa valutare la situazione e, se identifica un rischio sistemico, informerà gli altri Stati membri in modo che siano in grado di adottare le misure necessarie.
I deputati hanno anche introdotto programmi di istruzione e formazione sulla cybersicurezza.
“Il Cyber resilience act rafforzerà la sicurezza informatica dei prodotti connessi, affrontando le vulnerabilità nell’hardware e nel software, rendendo l’Ue un continente più sicuro e resiliente. Il Parlamento ha protetto le catene di approvvigionamento assicurando che i prodotti chiave come i router e gli antivirus siano una priorità per la sicurezza informatica”, ha commentato il relatore, eurodeputato Nicola Danti (Renew, Italia). “Abbiamo assicurato il sostegno alle micro e piccole imprese, un migliore coinvolgimento delle parti interessate e affrontato le preoccupazioni della comunità open source, pur preservando le nostre ambizioni. Solo insieme saremo in grado di affrontare con successo l’emergenza della sicurezza informatica che ci aspetta nei prossimi anni”.
La legislazione è stata approvata con 517 voti a favore, 12 contrari e 78 astensioni. Ora dove essere formalmente adottata anche dal Consiglio, per entrare in legge.