Il Consiglio dei Ministri del 25 gennaio ha discusso e poi approvato il nuovo disegno di legge in tema di reati informatici e sicurezza cibernetica nazionale.
Gli sviluppi normativi sul tavolo di Palazzo Chigi potranno introdurre un inasprimento delle pene già previste per gli hacker e innalzare il livello di sicurezza necessario a contrastare la minaccia dei cyber attacks.
Ma anche strumenti di indagine più efficaci, il coordinamento da parte dell’Antimafia e l’ampliamento della platea di soggetti obbligati a dotarsi di sistemi di cybersicurezza.
Vediamo cosa prevede il DdL Cybersecurity e quali saranno le possibili regole per chi commette reati informatici.
Ddl cybersicurezza e reati informatici cosa prevede
Lo schema di disegno di legge approvato dal Consiglio dei Ministri in tema di sicurezza cibernetica, intitolato “Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale”
Il preoccupante incremento degli attacchi informatici (come ransomware, malware, phishing, social engineering ecc.), nonostante il proporzionale aumento degli investimenti nel settore, continua a rappresentare una minaccia pericolosa per l’Italia (4 volte superiori a quelli che si verificano nel resto del mondo) e ciò specialmente se si volge lo sguardo ai target colpiti negli ultimi anni (Rapporto Clusit):
- Multiple targets, ovvero bersagli appartenenti a diversi settori, colpiti contemporaneamente per massimizzare il numero di vittime nel minor tempo possibile (circa 20%);
- Ospedali e ambito sanitario in genere (circa 14,5%);
- Istituzioni governative e militari (circa 11,7%);
- ICT, cioè Tecnologie dell'informazione e della comunicazione (circa 11,4%).
Il sottosegretario Alfredo Mantovano, Autorità delegata ai Servizi di informazione e sicurezza, ha confermato che il DDL Cybersicurezza licenziato dal CdM prevede “norme di carattere penale che non sono solo l'innalzamento sanzionatorio ma anche la configurazione di figure autonome di reato, come l'estorsione cibernetica”.
Le modifiche che potranno essere apportate anche dal punto di vista procedurale consentiranno l'adozione di strumenti di indagine e accertamento dei reati più efficaci e il coinvolgimento delle Direzioni distrettuali antimafia.
Ecco punto per punto gli aspetti fondamentali previsti.
Obbligo di notifica degli incidenti e innalzamento della sicurezza informatica
Lo schema di disegno in tema di misure di cybersicurezza discusso e approvato dal CdM, rappresenta un contenuto innovativo in termini di obblighi per la Pubblica Amministrazione.
In tema di incidenti informatici si pensi, infatti, che la normativa vigente risale a circa 20 anni fa e pertanto allo stato attuale si dimostra inefficace e non rispondente alle esigenze di protezione e tutela della quotidianità.
Gli Uffici centrali della P.A., le Regioni, le Province, i Comuni sopra i 100 mila abitanti, le ASL e le aziende di trasporto pubblico locale avranno l’obbligo di comunicare all’Agenzia per la Cybersicurezza Nazionale l’attacco informatico subito ai danni dei propri sistemi, entro e non oltre le 24 ore.
Nel caso di inosservanza dell’obbligo di notifica o della sua reiterazione, l’ACN potrà inviare delle ispezioni per verificare i sistemi di sicurezza applicati.
Ove l’inosservanza dovesse ripetersi, a carico della P.A. e anche degli altri soggetti interessati, potrà essere irrogata una sanzione da 25.000 euro a 125.000 euro.
Ulteriormente, al fine di assicurare la resilienza dei sistemi informatici delle pubbliche amministrazioni ma anche il rafforzamento della cybersicurezza nazionale, viene reso obbligatorio l’implementazione del livello di sicurezza attraverso l’introduzione (se già non presenti) di veri e propri uffici si cybersicurezza.
L’apporto consentirebbe di adeguare l’operatività agli standard richiesti dalla Direttiva NIS2.
La disciplina antimafia per i reati informatici e inasprimento delle pena
I reati informatici rientrano nella competenza della disciplina antimafia, anche grazie al necessario coordinamento che verrà attuato da parte della Direzione Distrettuale Antimafia e la Procura Nazionale Antimafia.
Si tratta di una vera e propria svolta in termini di perseguibilità dei reati informatici che, per loro natura, sono “reati senza territorio”.
La normativa approda così verso un intervento di modernizzazione che consentirà di coinvolgere il procuratore antimafia e antiterrorismo.
Lo schema del ddl applica anche un inasprimento sanzionatorio per alcuni reati già esistenti, tra cui:
- Accesso abusivo ai sistemi informatici (art. 615 ter c.p.) e punito con il carcere da 1 a 5 anni, ora viene raddoppiato con la pena da 2 a 10 anni;
- nel caso di accesso abusivo a sistemi informatici di interesse militare, della P.A. e della sanità (art. 615 ter, co. 3, c.p.), viene innalzato da 3 a 10 anni e da 4 a 12 anni.
Inoltre, per chi detiene oppure fornisce programmi idonei a sabotare i sistemi informatici, viene disposto il carcere fino a 2 anni e una sanzione pecuniaria oltre 10.000 euro.
Sconti di pena per gli hacker pentiti
Il disegno di legge approvato da Palazzo Chigi in tema di cybersecurity intende anche assumere un atteggiamento deflattivo nei confronti dei criminali cibernetici che, dopo la commissione del reato, intendano collaborare con le Autorità.
Si tratta di veri e propri sconti di pena per gli hacker pentiti che si adoperino dal lato dell’Autorità Giudiziaria nell’attenuazione delle conseguenze del fatto illecito commesso.
Nel caso del reato di accesso abusivo a un sistema informatico o telematico, la cui pena massima raggiunge la soglia dei 12 anni di reclusione, potrà essere diminuita fino a due terzi per l’hacker pentito e collaborativo.