Negli ultimi tempi, la cybersicurezza è diventata una priorità globale, suscitando crescente preoccupazione anche in Italia. Approda perciò, giovedì, sul tavolo del Consiglio dei ministri un disegno di legge sulla Cybersecurity.
La normativa mira a stabilire un quadro regolatorio più definito per l’Intelligenza artificiale e la sicurezza informatica, con l’obiettivo di introdurre sanzioni più severe per contrastare i cyber attacchi, in particolare quelli legati alla violazione dei dati informatici.
La prima bozza prevede pene più dure per gli hacker, con reclusione fino a 10 anni, multe per coloro che non segnalano gli attacchi informatici, e poi, sanzioni alle Pubbliche amministrazioni che non rispettano le indicazioni, una magistratura più coinvolta e infine, un maggior coordinamento tra Intelligence e Agenzia per la cybersicurezza (Acn).
Vediamo nel dettaglio i punti chiave contenuti nella bozza del ddl.
Pene più severe per gli hacker
Il disegno di legge propone un significativo inasprimento delle pene per gli hacker o per chi accede illegalmente a sistemi informatici. L’attuale pena (da 1 a 5 anni) verrebbe raddoppiata passando a un range compreso tra i 2 e i 10 anni. Le sanzioni possono raggiungere fino a dodici anni di reclusione in caso di danni gravi al sistema. Previste agevolazioni e sconti di pena per gli hacker che si “pentono” e scelgono di collaborare con le autorità. Le pene potrebbero essere ridotte dalla metà a due terzi per coloro che attivamente contribuiscono a prevenire ulteriori conseguenze criminali, assistendo le forze dell’ordine o l’autorità giudiziaria nella raccolta di prove o nel recupero dei proventi dei reati.
Stretta anche per coloro che detengono o forniscono programmi dannosi per i sistemi informatici rischiano una pena massima di 2 anni di reclusione e una multa a partire da 10.329 euro.
Obbligo di segnalare gli attacchi
Scatta anche l’obbligo di segnalare attacchi cyber entro 24 ore dal loro verificarsi. Le pubbliche amministrazioni, inclusi enti centrali, regionali, comunali, Asl e aziende di trasporto pubblico locale, saranno tenute a segnalare tempestivamente gli attacchi informatici dal momento in cui hanno conoscenza degli incidenti (articolo 8 del ddl).
Il mancato rispetto di questa norma potrebbe innescare ispezioni da parte dell’Agenzia per la cybersicurezza. In caso di persistente mancata notifica, sono previste sanzioni pecuniarie che variano da 25.000 a 125.000 euro.
Allo stesso modo, saranno applicate sanzioni alle pubbliche amministrazioni che non si conformano alle indicazioni dell’Agenzia riguardo alle vulnerabilità a cui sono esposte. Gli attori segnalati dovranno, inoltre, designare un referente per la cybersicurezza (articolo 13).
Magistratura più coinvolta
Un altra novità che verrà introdotta dal ddl è un maggiore coinvolgimento della magistratura in caso di cyberattacchi. Un modo per sottolineare l’importanza assegnata alla tutela legale in tali situazioni.
Maggiore coordinamento tra Intelligence e Acn
Il Ddl cyber prevede, infine, disposizioni per il coordinamento operativo tra i servizi di informazione per la sicurezza e l’Agenzia per la cybersicurezza nazionale (articolo 12).
Inoltre, attribuisce all’Acn la responsabilità di valorizzare l’intelligenza artificiale tramite partnership tra settore pubblico e privato, utilizzandola “come risorsa per il rafforzamento della cybersicurezza nazionale, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia”.
Dopo il Cdm di domani il testo passerà in Parlamento per la discussione e la conversione.
Intanto, entro ottobre, il governo dovrà recepire nel sistema legislativo nazionale due direttive europee: la Nis 2, che introduce nuovi obblighi sulla sicurezza dei dati per le aziende, e la Cer, focalizzata sulla resilienza delle infrastrutture critiche.