Ddl cybersicurezza: legge approvata per rafforzare la sicurezza informatica

Modifiche al Codice Penale e di Procedura Penale

Le modifiche apportate dal Ddl Cybersicurezza al codice penale e di procedura penale mirano a contrastare in modo più efficace i reati informatici. Il testo è composto da 24 articoli, alcuni con modifiche al codice penale e al codice di procedura penale. Queste modifiche includono aumenti significativi delle pene e aggravanti per la truffa aggravata, oltre alla confisca obbligatoria dei beni utilizzati per commettere tali reati. L’obiettivo è dissuadere le attività criminali e proteggere meglio le infrastrutture critiche. Tra le principali modifiche citiamo:

• Aumento delle pene per reati come l’accesso abusivo a un sistema informatico e il danneggiamento di informazioni, dati e programmi informatici.
• Obbligo di notifica degli attacchi informatici entro 24 ore da parte delle amministrazioni pubbliche all’Agenzia per la Cybersicurezza.
• Nomina di un Responsabile della Cybersicurezza in ogni amministrazione, per garantire una gestione proattiva della sicurezza informatica.

Misure introdotte dal Ddl Cybersicurezza

Il Ddl Cybersicurezza introduce diverse misure per migliorare la sicurezza informatica e la difesa contro gli attacchi informatici. 

1. Aumento delle pene per reati informatici

Le pene per reati come l’accesso abusivo a un sistema informatico sono state aggravate (reclusione da due a dieci anni se commesso da un pubblico ufficiale). Anche il danneggiamento di informazioni, dati e programmi informatici subisce un inasprimento con reclusione da due a sei anni e, se aggravata, da tre a otto anni.

Inoltre, il codice penale viene aggiornato con una nuova norma (articolo 629) riguardante l’estorsione realizzata attraverso reati informatici.
Chiunque “costringe qualcuno a fare o omettere qualcosa, procurando a sé o ad altri un ingiusto profitto con danno altrui, è punito con la reclusione da sei a dodici anni e con una multa da 5.000 a 10.000 euro. La pena aumenta a reclusione da otto a ventidue anni e multa da 6.000 a 18.000 euro, se sussistono le circostanze indicate nel terzo comma dell’articolo 628 o se il reato è commesso nei confronti di una persona incapace per età o infermità”.

2. Ampliamento della composizione del CISR

Il Comitato Interministeriale per la Sicurezza della Repubblica (CISR) si arricchisce con nuovi membri: il Ministro delle Imprese e del Made in Italy, il Ministro dell’Ambiente e della Sicurezza Energetica, il Ministro dell’Agricoltura, della Sovranità Alimentare e delle Foreste, il Ministro delle Infrastrutture e dei Trasporti, e il Ministro dell’Università e della Ricerca. Attualmente, il CISR è guidato dal Presidente del Consiglio dei Ministri e include l’Autorità Delegata, se presente, il ministro degli Affari Esteri, il ministro dell’Interno, il ministro della Difesa, il ministro della Giustizia, il ministro dell’Economia e delle Finanze, il ministro dello Sviluppo Economico e il ministro della Transizione Ecologica.

Il CISR svolge funzioni di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell’informazione per la sicurezza.

3. Ddl Cyber: stretta sull’accesso alle banche dati

Per garantire una protezione adeguata dai rischi di accesso abusivo ai dati nei sistemi informativi delle pubbliche amministrazioni, l’accesso alle banche dati pubbliche richiede l’uso di specifici sistemi di autenticazione digitale basati su almeno due tecnologie differenti, una delle quali deve essere biometrica.

Gli addetti tecnici, definiti come operatori tecnici con funzioni di amministratore di sistema, rete o archivio dati, possono accedere solo per interventi indifferibili legati a malfunzionamenti, guasti, installazioni hardware e software, aggiornamenti e riconfigurazione dei sistemi, anche senza le due tecnologie di autenticazione o autenticazione biometrica, se l’intervento richiede la presenza fisica vicino al sistema di elaborazione.

4. Restrizioni sui ruoli post-servizio per ex funzionari dei Servizi Segreti

Gli ex direttori generali, vicedirettori generali del DIS, direttori e vicedirettori di AISE o AISI, nonché coloro che hanno ricoperto incarichi dirigenziali di prima fascia, non possono, senza autorizzazione del Presidente del Consiglio dei Ministri o dell’Autorità Delegata, svolgere attività lavorativa, professionale o di consulenza, né ricoprire cariche presso enti esteri, pubblici o privati, per tre anni dopo la cessazione dell’incarico.

5. ACN e raccolta dati sulla sicurezza informatica

L’Agenzia per la Cybersicurezza Nazionale (ACN) si occuperà della raccolta, elaborazione e classificazione dei dati relativi alle notifiche di incidenti di sicurezza informatica, come previsto dalla legge.
Questi dati saranno inclusi nella relazione annuale dell’Agenzia, fornendo una panoramica ufficiale degli attacchi informatici subiti dai settori cruciali per gli interessi nazionali nel campo della cybersicurezza.

Per le Pubbliche Amministrazioni, indicate nell’articolo 1, comma 1, sarà istituita una struttura dedicata alle attività di cybersicurezza, ove non sia già presente.

6. DDL Cyber e Crittografia: potenziare la sicurezza informatica

L’articolo 10 del DDL promuove l’uso della crittografia come strumento fondamentale per la difesa contro gli attacchi informatici e istituisce il Centro Nazionale di Crittografia presso l’Agenzia per la Cybersicurezza Nazionale.

7. Intercettazioni e antiterrorismo: nuove normative e coordinamento

Il ddl introduce nuove normative sulle intercettazioni, estendendole ai reati informatici sotto il coordinamento del procuratore nazionale Antimafia e Antiterrorismo. L’articolo 21 del testo modifica le procedure per l’applicazione delle speciali misure di protezione per i testimoni di giustizia e altri protetti, richiedendo il parere del procuratore nazionale Antimafia e Antiterrorismo. Inoltre, viene definito il rapporto tra l’Agenzia di Cybersicurezza Nazionale, il procuratore nazionale Antimafia e Antiterrorismo, la Polizia Giudiziaria e il pubblico ministero, garantendo una collaborazione efficace per la sicurezza nazionale.

Impatto e implicazioni della nuova legge

L’approvazione del Ddl Cybersicurezza rappresenta un passo avanti decisivo nella protezione della sicurezza informatica in Italia. Le nuove misure, tra cui l’inasprimento delle pene per i reati di sicurezza informatica, l’obbligo di segnalare gli attacchi entro 24 ore e la nomina di responsabili della cybersicurezza nelle amministrazioni, rafforzano la capacità di risposta e difesa contro le minacce digitali.

Questa legge non solo aumenta la protezione contro gli attacchi informatici ma promuove anche una cultura della sicurezza informatica proattiva e responsabile, contribuendo a creare un ambiente digitale più sicuro per tutti.

Ecco il testo completo.

Le lamentele dell’opposizione

Le opposizioni continuano a lamentare l’assenza di fondi, sostenendo che un provvedimento di questa portata non si può implementare a costo zero.
Da un lato, il provvedimento si concentra sull’aumento delle sanzioni amministrative e penali; dall’altro lato, l’aumento delle responsabilità per le pubbliche amministrazioni e altri soggetti privati rischia di rappresentare un problema senza corrispondenti risorse economiche per formazione e acquisizione di competenze in materia di cybersecurity.

“Questo ddl sulla cybersicurezza è l’ennesimo provvedimento bandiera: evidenzia i problemi e qualche possibile soluzione, ma rischia di rimanere solo un elenco di misure”, ha detto in Aula, nel suo intervento, il senatore PD Walter Verini, capogruppo dem della Commissione antimafia, sottolineando come “il governo e la maggioranza hanno deciso di approvare la legge ad invarianza finanziaria”. In modo più pungente Roberto Scarpinato del M5S, convinto che la legge sia “una scatola vuota” e che “questo modo di legiferare è un metodo da piazzisti della politica”.