Il disegno di legge sulla cybersecurity è legge. Con 80 voti favorevoli, 3 contrari e 57 astensioni, il Senato ha approvato definitivamente il testo. I gruppi di M5s, Pd, Italia Viva e Azione si sono astenuti, mentre Alleanza Verdi e Sinistra (Avs) ha votato contro.
Il ddl cybersecurity rappresenta un passo importante per rafforzare la sicurezza informatica del paese, considerando che nel 2023 l’Acn ha gestito 1.411 attacchi cyber, con un aumento del 29% rispetto all’anno precedente e il nuovo pericolo derivante dagli attacchi rafforzati dall’Intelligenza artificiale. Tuttavia, permangono criticità legate alla mancanza di risorse aggiuntive nella nuova legge, che rendono difficile l’implementazione pratica delle misure. Ivan Scalfarotto di Italia Viva ha criticato questa carenza, definendo il ddl come “poco più di una elaborazione di buoni propositi”.
Soddisfatto, invece, il sottosegretario di Stato con deleghe alla sicurezza e alla cybersicurezza, Alfredo Mantovano, che ha espresso “apprezzamento per l’approvazione definitiva da parte del Senato del disegno di legge del governo sulla cybersecurity: è un testo che ha trovato arricchimento e positiva integrazione nel percorso parlamentare, grazie anche al contributo emendativo delle opposizioni. Da oggi l’intero sistema della sicurezza nazionale, e in particolare quello cyber, che è diventato il fronte principale di attacchi da parte di soggetti statuali ostili, viene finalmente dotato di strumenti operativi più adeguati a respingerli”
Ma vediamo ora in dettaglio la nuova legge sulla cybersecurity e quali sono le novità introdotte.
Cos’è la nuova legge sulla cybersecurity?
La nuova legge sulla cybersecurity è un testo legislativo che mira a potenziare la sicurezza informatica in Italia, soprattutto contro attacchi informatici sempre più sofisticati e frequenti. La legge amplia il “perimetro” dei soggetti obbligati a migliorare le proprie difese e introduce una procedura di allarme e collaborazione con l’Agenzia per la Cyber Sicurezza (Acn) per interventi riparatori. La normativa definisce anche le modalità di intervento in caso di competenze concorrenti, come tra Acn e la polizia giudiziaria, e introduce nuove fattispecie di reato con strumenti di indagine più efficaci.
Il ddl prevede l’inasprimento delle pene per i cybercriminali e obbliga le entità a rischio, come grandi comuni, ASL e capoluoghi di regione, ad adottare sistemi avanzati di cybersicurezza e a segnalare tempestivamente gli attacchi. Le sanzioni per la mancata notifica di un attacco passano da semplici richiami a multe significative.
L’obiettivo della nuova legge sulla cybersecurity è duplice: da un lato, intensificare le misure punitive contro i responsabili degli attacchi informatici, e dall’altro, promuovere una cultura di sicurezza informatica più robusta e diffusa.
Legge Cybersecurity: i punti chiave
Inasprimento delle pene per i reati informatici
Una delle principali novità del testo è l’inasprimento delle pene per i reati informatici. Questa misura mira a dissuadere comportamenti illeciti in ambito cibernetico e a garantire una risposta più severa e adeguata ai danni provocati. Le modifiche apportate al Codice penale prevedono pene più severe per reati come l’accesso abusivo a sistemi informatici, la diffusione e l’installazione abusiva di software dannosi, e la truffa aggravata: l’accesso abusivo ai sistemi informatici comporterà ora una reclusione che va da 2 a 10 anni, raddoppiando la pena precedente che variava da 1 a 5 anni. Inoltre, chi detiene o distribuisce software dannoso potrà essere punito con fino a 2 anni di reclusione e multe. Le pene per il danneggiamento di sistemi informatici di pubblica utilità saranno innalzate fino a sei anni di reclusione.
Viene anche introdotta una nuova figure di reato, tra cui l’estorsione cibernetica mentre vengono potenziati gli strumenti per investigare e accertare tali crimini informatici.
Obbligo di segnalazione degli incidenti
Altra grande novità della legge è l’obbligo per le amministrazioni pubbliche di segnalare, entro 24 ore, alcuni tipi di incidenti informatici che hanno impatto sulle reti. La segnalazione deve essere effettuata all’Agenzia per la Cybersicurezza Nazionale. L’obbligo di segnalazione riguarda anche gli operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato, assicurando una risposta tempestiva e coordinata alle minacce informatiche. Sarà la presidenza del Consiglio, su proposta del Comitato interministeriale per la cybersicurezza, a definire il perimetro dell’obbligo di segnalazione degli incidenti, determinando quali enti pubblici e privati saranno tenuti ad adempiere a tale obbligo.
Strutture ad hoc nella Pubblica Amministrazione
Le pubbliche amministrazioni saranno tenute a dotarsi di strutture dedicate alla cybersecurity, con un referente unico per l’Acn, in linea con la Direttiva NIS2 europea. Il referente avrà il compito di gestire e coordinare tutte le attività relative alla sicurezza informatica all’interno dell’amministrazione. Inoltre, verrà istituito un Centro nazionale di crittografia all’interno dell’Agenzia per la Cybersicurezza Nazionale, che si occuperà di sviluppare e implementare tecnologie di crittografia avanzate per proteggere le comunicazioni e i dati sensibili.
Il ddl prevede che per i contratti pubblici relativi a beni e servizi informatici, specialmente quelli impiegati per la tutela degli interessi nazionali strategici, saranno definiti requisiti specifici di cybersicurezza. Un decreto emesso su proposta dell’Acn e del Comitato interministeriale per la sicurezza della Repubblica individuerà gli elementi essenziali di cybersicurezza da tenere in considerazione nelle attività di approvvigionamento di beni e servizi informatici.
Partecipazione di antimafia e antiterrorismo e accesso alle banche dati
Alle riunioni del Nucleo per la cybersicurezza (Ncs) dell’Acn potranno partecipare, in relazione a specifiche questioni di particolare rilevanza, anche i rappresentanti della Direzione nazionale antimafia e antiterrorismo e della Banca d’Italia. La misura garantisce un approccio integrato e coordinato nella gestione delle minacce cibernetiche, coinvolgendo tutte le autorità competenti in materia di sicurezza.
La normativa stabilisce norme precise per l’accesso alle banche dati delle pubbliche amministrazioni da parte degli addetti tecnici, prevedendo rigorosi sistemi di autenticazione.
Il lato umano: periodo di raffreddamento per tecnici e stop alle porte girevoli nell’intelligenze
Il disegno di legge introduce un periodo di “raffreddamento” per i tecnici specializzati che passano dal settore pubblico al privato, al fine di prevenire potenziali conflitti di interesse. Inoltre, i dipendenti dell’Acn che hanno partecipato a programmi di specializzazione non potranno assumere incarichi presso soggetti privati nella cybersecurity per almeno due anni.
Il testo normativo include anche disposizioni per fermare le porte girevoli nell’intelligence: gli ex dirigenti di Dis, Aisi e Aise non potranno lavorare all’estero o in aziende soggette al golden power per tre anni, salvo autorizzazione del presidente del Consiglio.
Il nodo delle risorse
Il disegno di legge sulla cybersicurezza è stato criticato per la mancanza di stanziamenti finanziari aggiuntivi necessari per implementare efficacemente le misure di sicurezza cibernetica. I proventi delle sanzioni per esempio saranno destinati solo all’Agenzia per la cybersicurezza nazionale per migliorare le sue operazioni.
Questo ha portato alcuni esponenti politici a definire la nuova legge come “poco più di una elaborazione di buoni propositi“, sottolineando che senza risorse adeguate potrebbe non essere efficace nel contrastare i rischi informatici sempre più sofisticati.
Basterà questa legge a migliorare e rendere più consapevoli aziende e PA nella lotta alla cybercriminalità? L’approvazione definitiva del disegno di legge sulla cybersecurity è sicuramente un primo passo significativo per rafforzare la difesa nazionale contro le crescenti minacce cibernetiche. Resta da vedere se queste disposizioni saranno sufficienti a garantire una protezione efficace e a promuovere una cultura di sicurezza informatica diffusa tra enti pubblici e privati. Sarà comunque necessario investire maggiormente in un settore sempre più decisivo per preservare l’integrità delle infrastrutture digitali e la sicurezza dei dati sensibili, affrontando le sfide future con risorse adeguate e strategie innovative.
