Negli ultimi tempi il Governo italiano si è visto impegnato in un deciso rafforzamento dell’impianto di cybersicurezza nazionale sfociato, poi, in un nuovo disegno di legge (DDL Cybersicurezza) che si trova ora all’esame delle Commissioni Riunite Affari Costituzionali e Giustizia della Camera.
Questo nuovo DDL si colloca nell’ambito di un processo di evoluzione normativa con l’intenzione di adeguare la nostra legislazione alle necessità imposte dalle minacce digitali emergenti, sia nel settore penale sia in quello della sicurezza informatica.
Il DDL cybersicurezza mira, dunque, a contrastare gli ormai frequenti ed invasivi attacchi del fenomeno del cybercrime as service, fenomeno che, soprattutto attraverso l’uso di ransomware, colpisce le imprese e le organizzazioni statali danneggiandole a livello operativo e finanziario.
Il disegno di legge si compone di 18 articoli proponendo significative modifiche sia in termini sostanziali che procedurali. La normativa ha ad oggetto principalmente i reati informatici, l’innalzamento delle sanzioni, l’espansione dei criteri relativi al dolo specifico, l’introduzione di circostanze aggravanti e/o l’esclusione delle attenuanti per varie violazioni commesse tramite l’utilizzo di dispositivi informatici.
Per farsi un’idea, fra le sanzioni previste nella proposta del Consiglio dei Ministri, vi è l’accesso non autorizzato ai sistemi informatici, che potrebbe comportare una condanna fino a 10 anni di reclusione, raddoppiando il precedente limite di 5 anni (nei casi più gravi, la pena potrebbe essere aumentata fino a 12 anni di reclusione, specie se il responsabile occupa posizioni di particolare rilievo o se i dati ottenuti illegalmente sono di interesse per la sicurezza pubblica o nazionale).
Il disegno di legge, tra l’altro, in caso di attacchi informatici, stabilisce l’obbligo di notificare gli incidenti in capo alle Pubbliche Amministrazioni centrali, le Regioni, le Province autonome di Trento e Bolzano, estendendosi tale obbligo anche alle società di trasporto pubblico urbano con un’utenza non inferiore a centomila abitanti e alle aziende sanitarie locali. Qualora tale obbligo di notifica di un attacco informatico non fosse rispettato, si configurerà una violazione che comporterà una segnalazione da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), con la possibilità di ispezioni nell’anno successivo al rilevamento del ritardo o dell’omissione.
Tra gli elementi sottolineati dal DDL vi è inoltre uno specifico riferimento all’intelligenza artificiale, per la quale l’Agenzia Nazionale per la Cybersicurezza avrà un ruolo decisivo nella promozione di attività di collaborazione tra entri pubblici e privati. In tal senso vi è un’armonizzazione con la recente approvazione da parte del Parlamento Europeo dell’AI Act, che prevede l’istituzione da parte degli Stati membri di “spazi” di sperimentazione normativa e meccanismi di prova in condizioni reali. Questi spazi consentiranno alle PMI e alle start-up di sviluppare e testare sistemi di intelligenza artificiale innovativi prima di metterli sul mercato.
L’azione del governo si inserisce, in realtà, in un’iniziativa europea volta ad assicurare un maggiore livello e coordinamento nell’Unione Europea sul tema della cybersecurity. Recentemente, infatti, è stato approvato il Cyber Resilience Act, ossia una legislazione pensata al fine di proteggere i consumatori e le imprese che utilizzano prodotti o software con componenti digitali. L’obiettivo principale è, dunque, quello di eliminare le lacune nella sicurezza mediante l’implementazione di requisiti obbligatori di sicurezza informatica per i produttori e i rivenditori, estendendo tale protezione lungo l’intero ciclo di vita del prodotto.
In conclusione, il DDL Cybersicurezza rappresenta un impegno significativo verso la protezione dell’infrastruttura digitale italiana, ponendosi all’avanguardia nella lotta contro i crimini informatici.
Autore: Dott.ssa Marta Minnici