Il 25 gennaio 2024 il Consiglio dei Ministri ha approvato il nuovo Ddl Cyber. Il disegno di legge punta ad introdurre nuove misure per rafforzare la sicurezza informatica in Italia. La bozza dovrà essere discussa in Parlamento, ma è chiara l’urgenza che ha sentito il governo di intervenire su questo argomento, in linea con gli altri paesi europei. La sicurezza informatica è un tema che non si può procrastinare né si può eludere. La dimostrazione della necessità di normare la cybersicurezza è data dai numeri elevati degli attacchi informatici a danno del nostro paese. Il vertiginoso e spaventoso aumento degli ultimi anni ha portato l’Italia ad avere una media di attacchi gravi dell’80% circa nel 2023 e registrare un incremento del 169% rispetto al 2021, posizionandosi al quarto posto come paese più vulnerabile. La nuova legge introduce novità in materia di cybersicurezza e amplia il perimetro cibernetico, perché include anche le aziende sanitarie locali e gli enti amministrativi comunali. Di fatto, la legge obbligherebbe tutti questi organi della Pubblica Amministrazione a notificare all’Agenzia per la Cybersicurezza nazionale (ACN) ogni incidente informatico subìto che potrebbe compromettere i dati in suo possesso. In questo contesto, si dà più spazio alla cybersicurezza ampliando i poteri e gli ambiti di competenza dell’ente ACN, istituito nel 2021, tra cui quelli di emettere direttive in materia di cybersicurezza, effettuare controlli e sanzionare. In più, all’
Pene più severe per i criminali informatici
Un altro argomento di intervento è la questione penale: il Ddl apporta alcune modifiche al Codice penale, inasprendo le pene per i reati informatici. Il governo, dunque, non transige e aumenta il periodo di reclusione da 2 a 10 anni rispetto ai precedenti 1-5 (art. 615-ter del codice penale), prevedendo anche maxi sanzioni per chi detiene programmi che possono compromettere i sistemi informatici (fino a 10.329 euro). Stando a quanto scritto nella bozza del Ddl, i reati informatici saranno inclusi nella disciplina antimafia. L’Italia, dunque, considererà gli attacchi cyber come crimini terroristici o alla stregua di attività di criminalità organizzata ed essi saranno trattati con gli stessi strumenti, coordinati dalla Direzione distrettuale antimafia e dalla Procura nazionale antimafia. Inoltre, verranno introdotte nuove figure di reato, come l’estorsione cibernetica e l’interruzione di un servizio pubblico essenziale mediante attacchi informatici.
La cybersecurity nella PA
L’obiettivo del governo è quello di rendere più efficiente il sistema contro i cyber crimini e tutelare da eventuali attacchi le pubbliche amministrazioni e il sistema economico del paese, ancora troppo vulnerabili ad incursioni cyber. Ad essere soggetti ad attacchi hacker e fughe di dati non sono solo aziende e imprese, ma anche il sistema sanitario e il settore finanziario, oltre alle pubbliche amministrazioni.
I dati sugli attacchi cyber mostrano quanto l’Italia venga presa di mira dai criminali informatici, forse per il suo mancato adeguamento in termini di sicurezza informatica e per le scarse risorse economiche che si investono nel settore. A gravare è anche lo scarso peso che si dà ancora oggi a queste tematiche. Nonostante la tecnologia informatica faccia parte del nostro quotidiano, le piccole e medie imprese (PMI) e le amministrazioni sembrano essere poco consapevoli dei rischi reali che si corrono.
I dati sugli attacchi cyber mostrano quanto l’Italia venga presa di mira dai criminali informatici, forse per il suo mancato adeguamento in termini di sicurezza informatica e per le scarse risorse economiche che si investono nel settore. A gravare è anche lo scarso peso che si dà ancora oggi a queste tematiche. Nonostante la tecnologia informatica faccia parte del nostro quotidiano, le piccole e medie imprese (PMI) e le amministrazioni sembrano essere poco consapevoli dei rischi reali che si corrono.
Per questo motivo, la nuova normativa obbliga le
L’Italia si adegua alla normativa europea
Entro ottobre 2024 devono essere recepite due direttive europee, NIS 2 e CER, ed è probabile che troveranno spazio in questa legge. La NIS 2 sostituisce la NIS, è entrata in vigore nel gennaio 2023 e delinea misure più stringenti in termini di cyber risk management, di segnalazione e condivisione delle informazioni relative agli incidenti di sicurezza a cui gli stati devono armonizzarsi. La nuova direttiva amplia anche i soggetti a cui si rivolge la normativa, includendo ulteriori settori ad alto rischio e criticità che dovranno adeguarsi adottando misure di prevenzione e sicurezza. Un aggiornamento si è reso necessario proprio perché, come nella natura stessa della direttiva europea, che lascia ai paesi libertà su come recepire una normativa, la precedente direttiva ha determinato diversi livelli di sicurezza informatica tra i paesi membri. Come si è visto con l’AI Act, anche in termini di cybersicurezza Bruxelles vuole uniformare il quadro normativo nell’area dell’Unione, per garantire una minore vulnerabilità possibile ed eliminare le divergenze tra i diversi paesi e ordinamenti. La decisione del governo di rafforzare la sicurezza cyber nazionale è un passo verso un adeguamento al panorama europeo. Contrastare i crimini informatici è una materia che gode ancora di pochi riferimenti e margini normativi, mentre negli ultimi anni il progresso tecnologico è avanzato in modo sproporzionato. Il risultato è stato un aumento costante ed eccezionale dei crimini compiuti nel cyber spazio, tra malware, ransomware e altri reati. Il testo dei 18 articoli del Ddl Cybersicurezza dovrà passare all’esame e alla approvazione del Parlamento, ma non dovrebbe creare tensioni politiche, dato che si tratta di un tema il cui impegno legislativo è volto alla sicurezza e alla prevenzione del paese e delle sue istituzioni e amministrazioni.
