Modifiche legislative sulla cybersecurity: nuove sanzioni e obblighi di notifica

Recenti modifiche legislative prevedono un aggravamento delle pene per l'accesso non autorizzato ai sistemi informatici e introducono l'obbligo per le amministrazioni pubbliche di notificare all'Agenzia per la Cybersicurezza Nazionale (ACN) qualsiasi attacco informatico subito entro 24 ore. Le pubbliche amministrazioni che non aderiscono a tali prescrizioni rischiano sanzioni amministrative che oscillano tra 25.000 e 125.000 euro. Stessa sanzione viene applicata qualora non si intervenga per risolvere le vulnerabilità segnalate entro 15 giorni. Queste nuove disposizioni mirano a migliorare la risposta istituzionale agli incidenti informatici e a garantire una maggiore sicurezza nei sistemi pubblici.

Ampliamento delle funzioni dell’ACN e comitato interministeriale

L'Agenzia per la Cybersicurezza Nazionale non sarà solo responsabile della raccolta, ma anche dell'elaborazione e della classificazione delle notifiche di incidenti informatici. A livello istituzionale, il Comitato interministeriale per la sicurezza della Repubblica vedrà la partecipazione di numerosi ministri, inclusi agricoltura, infrastrutture, trasporti, università e ricerca, oltre alle tradizionali figure di esteri, interno, difesa, giustizia, economia, e della sicurezza energetica. Questa composizione allargata permetterà una strategia più integrata e coordinata per la sicurezza nazionale.

Nuove responsabilità per la cybersecurity nelle amministrazioni pubbliche

Ogni ente pubblico dovrà costituire un’unità dedicata alla cybersicurezza e nominare un referente per queste attività entro un anno dall'entrata in vigore della legge. Queste strutture e ruoli dovranno essere creati utilizzando le risorse umane e finanziarie già disponibili, quindi senza gravare ulteriormente sulle finanze pubbliche. Il disegno di legge promuove inoltre l'uso della crittografia e istituisce un Centro nazionale di crittografia presso l’Agenzia. Per quanto riguarda i contratti pubblici di beni e servizi informatici, le amministrazioni dovranno tener conto degli elementi essenziali di cybersicurezza stabiliti da un DPCM, il quale premierà l’uso di tecnologie sviluppate in Italia o in Paesi alleati.

Modifiche al codice penale e nuove misure di controllo

Il raddoppio delle pene per l'accesso abusivo ai sistemi informatici è accompagnato dall'introduzione del reato di estorsione mediante reati informatici e da nuove aggravanti per le truffe commesse a distanza. Una nuova clausola di "ravvedimento" prevede attenuanti per gli hacker che collaborano per mitigare i danni e aiutano le autorità. La legge estende anche le intercettazioni previste per la criminalità organizzata ai reati informatici, sotto il coordinamento del procuratore nazionale antimafia e antiterrorismo. Durante le ispezioni agli uffici giudiziari, verrà verificato il rispetto delle norme di sicurezza nei database utilizzati. Infine, chi ha ricoperto ruoli di vertice in sicurezza nazionale avrà restrizioni sui nuovi incarichi per un periodo di tre anni dopo la cessazione del mandato, per prevenire possibili conflitti di interesse.