Il Senato ha approvato il ddl sulla cybersicurezza nazionale che garantirà i nostri sistemi informatici in maniera più adeguata
Con 80 voti favorevoli, 3 contrari e 57 astensioni l’aula del Senato ha approvato il disegno di legge di iniziativa governativa per il rafforzamento della cybersicurezza nazionale. Dopo l’ok della Camera di un mese fa, il testo diventa ora Legge. Il continuo sviluppo dei sistemi informatici e l’importanza che ricoprono oggi nel Mondo, ci impongono di salvaguardare con rigore la sicurezza dei cittadini e ad assicurarci di essere in grado di fronteggiare i possibili cyber attacchi, dotandoci di tutte le contromisure necessarie. Grazie a questo nuovo provvedimento, sono state inasprite le pene per i reati informatici ed è stato introdotto l’obbligo per le amministrazioni di segnalare, entro 24 ore, gli attacchi e di avere un responsabile della cybersicurezza.
Ecco cosa prevede la nuova Legge
L’Aula Senato ha approvato in via definitiva il disegno di legge di iniziativa governativa per il rafforzamento della Cybersicurezza nazionale e reati informatici. Il provvedimento mira ad offrire risposte a un tema in crescita esponenziale. Infatti, gli attacchi cibernetici sono sempre più frequenti e, oltre a creare insicurezza per i sistemi italiani, possono anche favorire la divulgazione di dati sensibili. Il testo quindi predispone strumenti aggiuntivi per le Pubbliche amministrazioni per cercare di prevenire, evitare e segnalare con tempismo gli attacchi cibernetici al fine di limitarne il più possibile i danni.
Il testo si compone di 24 articoli – alcuni dei quali prevedono interventi sul Codice penale e sul Codice di procedura penale – che introducono, tra le altre modifiche, significativi aumenti di pena per reati quali l’accesso abusivo a sistema informatico (che, nel caso in cui il fatto sia commesso da un pubblico ufficiale, viene sanzionato con la reclusione da due a dieci anni) o il danneggiamento di informazioni, dati e programmi informatici (che, nell’ipotesi semplice, verrebbe sanzionato con la reclusione da due a sei anni e, in quella aggravata, con la reclusione da tre a otto anni).
I reati informatici puniti più severamente
Inoltre, è stato introdotto il terzo comma nell’art. 629 del Codice penale (estorsione) – a sua volta richiamato nell’art. 24-bis decreto legislativo 231/2001 in tema di responsabilità degli Enti – ai sensi del quale “chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonchè nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità.
Nel dettaglio, l’articolo 4 del provvedimento prevede che i dati relativi a incidenti informatici siano raccolti sulla base degli adempimenti di notifica previsti a legislazione vigente dall’Agenzia per la Cybersicurezza nazionale, che ne cura la pubblicità come dati ufficiali di riferimento degli attacchi informatici. Possono partecipare alle riunioni del nucleo per la Cybersicurezza ulteriori soggetti, tra i quali rappresentanti della direzione nazionale Antimafia e Antiterrorismo e rappresentanti della Banca d’Italia (articolo 5). Inoltre il presidente del Consiglio dei ministri può disporre il differimento degli obblighi informativi e delle attività di resilienza in capo all’Agenzia per la Cybersicurezza nazionale, nei casi in cui questo sia considerato strettamente necessario dai servizi di sicurezza della Repubblica (articolo 6).
Più di 100 attacchi ai sistemi informatici al mese
Sono più di 100 gli attacchi ai sistemi informatici ogni mese, come riportato dal Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri, Alfredo Mantovano. Sono numeri che ci devono fare riflettere. Ed è per questo che l’approvazione di questo provvedimento sulla cybersicurezza rappresenta un passo in avanti per garantire i nostri sistemi informatici da eventuali attacchi.
Dobbiamo difendere i cittadini dall’eventuale uso improprio di questi strumenti, assicurandone il corretto funzionamento e la necessaria sicura conservazione dei dati. Grazie a questo provvedimento, infatti, saranno migliorate la resilienza delle infrastrutture, promuovere l’adozione di tecnologie avanzate e rafforzare la cooperazione tra enti e servizi. Alle opposizioni che lamentano l’insufficienza delle risorse, vorrei specificare che l’obiettivo principale per vincere questa partita deve essere non solo quello di incrementarle ma di indirizzarle, con provvedimenti normativi ad hoc, in chiave preventiva.
Il Regolamento unico per le infrastrutture e i servizi cloud per la PA
L’Agenzia per la cybersicurezza nazionale ha adottato il Regolamento unico per le infrastrutture e i servizi cloud per la PA, d’intesa con il Dipartimento per la trasformazione digitale. L’inizio della nuova fase regolatoria, (il cosiddetto “regime ordinario”) è fissato per l’1 agosto per consentire alle amministrazioni e alle aziende di familiarizzare con le novità. Il regolamento definisce, armonizzandole in un unico quadro normativo, le misure minime che le infrastrutture come i data center e i servizi cloud devono rispettare per supportare i servizi pubblici.
Descrive inoltre come classificare i dati e i servizi digitali, rappresentando, a seconda del livello di importanza e sensibilità delle informazioni, una guida sicura per le Pubbliche Amministrazioni nella individuazione delle soluzioni cloud da acquisire. Per agevolarne la scelta, le PA potranno accedere al catalogo delle infrastrutture cloud disponibili sul sito dell’Agenzia. Cambia anche il processo di qualificazione, che sarà tutto digitale. I fornitori dei servizi cloud, interessati a ottenere la qualificazione, potranno farlo attraverso il sito dell’Agenzia.