Il testo del Disegno di Legge sulla Cybersicurezza, approvato dal Consiglio dei Ministri lo scorso 25 gennaio, segna un punto di svolta nell’approccio dell’Italia alla sicurezza informatica. Questa iniziativa legislativa intende rafforzare le misure nazionali contro i reati informatici, migliorando la resilienza delle infrastrutture critiche e delle pubbliche amministrazioni, in particolare di quelle che non sono incluse all’interno del Perimetro di Sicurezza Nazionale Cibernetica.
Gli obiettivi del Disegno di Legge sulla Cybersicurezza
L’obiettivo è duplice: da un lato, proteggere l’ecosistema digitale italiano dagli attacchi cyber sempre più sofisticati e, dall’altro, stabilire una cornice normativa aggiornata che risponda alle sfide del presente e del futuro. Attraverso il Ddl Cybersicurezza, l’Italia mira a consolidare le sue difese digitali, riconoscendo l’importanza di una solida infrastruttura cyber per la sicurezza nazionale.
Il Ddl Cybersicurezza punta quindi a implementare una serie di misure strategiche, tra cui l’introduzione di disposizioni che aumentano le capacità di risposta e prevenzione dell’Agenzia per la Cybersicurezza Nazionale (ACN), assicurando un coordinamento ottimale con le autorità giudiziarie e un’azione punitiva più severa contro i crimini informatici. Il Disegno di Legge introduce inoltre un inasprimento delle sanzioni per chi commette reati informatici, estendendo la portata del dolo specifico e integrando aggravanti per i reati compiuti tramite l’uso di tecnologie digitali. Le misure introdotte mirano a prevenire e sanzionare comportamenti illeciti finalizzati all’acquisizione di benefici non legittimi a danno di terzi, nonché a contrastare l’accesso illegale a sistemi informatici.
L’inasprimento delle pene per i reati informatici
Una delle novità più rilevanti riguarda il raddoppiamento delle pene per l’accesso abusivo ai sistemi informatici, che ora prevedono una reclusione da 2 a 10 anni, a fronte del precedente range da 1 a 5 anni. Per affrontare efficacemente l’escalation del Cybercrime-as-a-service, il disegno di legge stabilisce rigide penalità, inclusi fino a due anni di reclusione e multe superiori a 10.000 euro per coloro che distribuiscono o vendono software capaci di compromettere i sistemi informatici. Tuttavia, sono previste notevoli mitigazioni della pena, con riduzioni che possono raggiungere i due terzi per gli individui che decidono di collaborare attivamente con le forze dell’ordine, fornendo assistenza nella raccolta di prove o nel recupero sia dei guadagni illeciti che degli strumenti impiegati per commettere tali crimini. Un altro punto fondamentale è l’obbligo imposto alle Pubbliche Amministrazioni di segnalare attacchi informatici all’Agenzia per la Cybersicurezza Nazionale entro 24 ore dall’evento, un meccanismo che si pone l’obiettivo di migliorare la reattività e la resilienza dei sistemi pubblici di fronte alle minacce informatiche.
Maggiore cooperazione tra autorità giudiziaria e intelligence
Inoltre, nel caso in cui si verificassero cyber attacchi a sistemi informatici o telematici rilevanti per la difesa militare, l’ordine pubblico, la sicurezza nazionale, la sanità, la protezione civile o altri servizi essenziali al pubblico interesse, è prevista una stretta collaborazione tra le autorità giudiziarie e il Sistema di Informazione per la Sicurezza della Repubblica. Questo coordinamento è essenziale per gestire efficacemente le azioni di mitigazione dell’impatto dell’attacco e per condurre indagini approfondite sulle circostanze e sulle cause dell’incidente. In aggiunta a ciò, in situazioni di mancata tempestività nelle comunicazioni, l’Agenzia per la Cybersicurezza Nazionale ha l’autorità di effettuare ispezioni e, in caso di reiterata non conformità, imporre sanzioni pecuniarie comprese tra 25.000 e 125.000 euro. Anche le Pubbliche Amministrazioni che non rispettano le direttive dell’Agenzia riguardanti le vulnerabilità identificate saranno soggette a penalità.
Importante anche l’introduzione di una figura dedicata alla cybersecurity nelle Pubbliche Amministrazioni, che avrà il compito di coordinare la gestione e l’orientamento strategico in materia di sicurezza informatica, in conformità con le direttive europee.
L’introduzione dell’estorsione cibernetica
Tra le innovazioni legislative, spicca l’introduzione dell’estorsione cibernetica – che consiste nella minaccia di divulgare i dati sottratti a seguito di un attacco informatico – come nuova figura di reato, segnando un passo avanti significativo nel tentativo di codificare e sanzionare specifiche condotte criminali attuate nel cyberspazio.
L’IA per potenziare la cybersicurezza nazionale
Il nuovo Disegno di Legge enfatizza inoltre l’importanza dell’intelligenza artificiale (IA) per il rafforzamento delle strategie di cybersicurezza. In particolare, l’articolo 7 arricchisce le competenze dell’Agenzia per la Cybersicurezza Nazionale (ACN) anche in questo senso, includendo tra i compiti istituzionali dell’ACN la promozione e il sostegno di iniziative e collaborazioni tra enti pubblici e privati, finalizzate a valorizzare l’intelligenza artificiale come strumento per il potenziamento della cybersicurezza nazionale, includendo tra gli obiettivi, anche la promozione di un impiego etico e responsabile della IA. Questa novità va di pari passo con gli sforzi nazionali di promuovere l’IA all’interno della Pubblica Amministrazione, come delineato nella Strategia italiana sull’intelligenza artificiale, elaborata a fine novembre 2021 da vari ministeri con l’obiettivo di potenziare l’ecosistema IA in Italia per il triennio 2022-2024. La strategia enfatizza l’importanza di un’implementazione responsabile e trasparente dell’IA, che risponda alle sfide sociali garantendo sicurezza in tutti i settori. Anche il Piano triennale per l’informatica nella PA 2024-2026, pubblicato dall’AGID a dicembre 2023, integra l’IA come elemento centrale, indirizzando gli investimenti verso l’esplorazione di nuovi modelli di commercializzazione e l’acquisto di sistemi avanzati di intelligenza artificiale. Questo piano prevede anche lo sviluppo delle capacità industriali nel settore IA, sottolineando l’importanza delle collaborazioni internazionali. L’ACN con la collaborazione del Dipartimento per la Trasformazione Digitale e l’AGID si stanno impegnando a migliorare i livelli di cybersicurezza nell’IA, assicurando che sia progettata, sviluppata e utilizzata in maniera sicura, in linea con le linee guida internazionali sulla sicurezza dell’IA.
L’adozione delle linee guida del National Cyber Security Centre del Regno Unito
In questo quadro, l’ACN ha inoltre adottato le Linee guida per uno sviluppo sicuro dell’IA, promosse dal National Cyber Security Centre del Regno Unito. Il documento, condiviso a livello globale il 27 novembre 2023 e sottoscritto da 23 agenzie di 18 paesi, è rivolto a tutti i fornitori di sistemi IA, sia che questi siano sviluppati ex novo sia basati su servizi o strumenti preesistenti. Queste misure e iniziative si propongono insieme di creare un ambiente digitale più sicuro per cittadini e istituzioni, mettendo in campo azioni concrete contro le minacce cyber.
Conclusioni
L’impatto atteso del Ddl Cybersicurezza sulla sicurezza informatica nazionale è significativo. Con la promulgazione di queste misure, l’Italia punta a elevare il livello di protezione contro gli attacchi informatici, attraverso una maggiore capacità di prevenzione, rilevazione e risposta. L’integrazione di normative più stringenti e la cooperazione rafforzata tra l’Agenzia per la Cybersicurezza Nazionale e le autorità giudiziarie sono passi importanti verso una resilienza digitale più efficace, capace di tutelare le infrastrutture critiche e i dati sensibili dei cittadini.
