DPO IN RETE
Community DPO Enti Locali

I continui e frequenti attacchi cyber che si sono succeduti da marzo 2020 in poi con l’utilizzo sempre più massivo e pervasivo dei device collegati alla rete, in primis fra tutti gli smartphone, device ad oggi sempre più pervasivi ed ubiqui, hanno evidenziato con l’avvento della pandemia da Covid 19 le debolezze e le vulnerabilità nel nostro paese in termini di cultura alla cyber security awareness. Oggi la consapevolezza e la percezione da parte delle aziende, degli enti pubblici e cittadini in generale sul cyber risk, dopo l’avvento della pandemia è sempre più forte, ma ha evidenziato le carenze di natura formativa, a livello generale, degli strumenti di prevenzione alla cybersecurity. L’istituzione con la legge 4 agosto 2021 n° 109 della neonata Agenzia Nazionale sulla Cybersecurity ha testimoniato come l’attenzione su queste tematiche sia massima da parte del legislatore, anche se ha evidenziato come il sistema di istruzione italiano sia altamente carente in termini di prevenzione agli attacchi cyber sin dalle scuole primarie, dove i fenomeni di cyber bullismo dominano la scena nazionale.
Oggi la pa italiana, grazie anche alla spinta del Piano Nazionale di Ripresa e Resilienza, sta muovendo i primi passi in tal senso ma la mancanza diffusa di competenze IT, mescolata ad una scarsa formazione in tal senso sta rendendo la nostra pa estremamente vulnerabile al cyber risk con evidenti danni reputazionali notevoli al sistema pubblico, derivanti nella stragrande maggioranza da errori umani per mancata e scarsa formazione al dipendente pubblico. Ciò è ancor più vero nella situazione pandemica
Il governo italiano con il fiorire sempre più frequente di attacchi informatici di natura cyber alle strutture organizzative ed ICT delle pubbliche amministrazioni ha deciso di varare delle misure sempre più stringenti emanando, nel consiglio dei Ministri del 25 gennaio 2024, un importante ddl in materia di reati informatici e di rafforzamento della cybersicurezza nazionale anche alla luce del recepimento della direttiva NIS2. Dalla bozza del testo del ddl emerso nei giorni scorsi (nell’attesa dell’uscita del testo definitivo in Gazzetta Ufficiale alla data odierna non ancora pubblicato) ne viene fuori innanzitutto un inasprimento delle pene nei confronti dei cybercriminali come ad esempio per quanto concerne il reato di accesso abusivo ai sistemi informatici con pene raddoppiate da 1-5 a 2-10 anni di reclusione (articolo 615-ter del codice penale), fino a 2 anni di reclusione e sanzioni pecuniarie oltre la soglia dei diecimila euro per chi detiene o fornisce programmi per mettere fuori uso sistemi informatici.
Ma vediamo nel dettaglio i punti salienti del ddl cybersicurezza
– OBBLIGO DI NOTIFICA
Questa è la novità più importante del ddl con l’estensione dell’obbligo di notifica entro le 24 ore degli incidenti di sicurezza alle PA centrali e ad una pletora di soggetti pubblici che ora ricomprendono anche le regioni, i comuni e le Asl, le province autonome di Trento e Bolzano, i comuni con oltre 100 mila abitanti e i comuni capoluoghi di regione. Ma non solo: l’obbligo di notifica riguarda anche le società di trasporto pubblico urbano con utenza non inferiore ai 100 mila abitanti e le aziende sanitarie locali (articolo 8). Viene così esteso, al Capo II, il concetto di perimetro di pubbliche amministrazioni che comprende anche le Regioni e i comuni sopra i 100.000 abitanti per quanto riguarda un insieme di obblighi, fra cui la segnalazione di incidenti allo CSIRT (presente in ACN- Agenzia Nazionale sulla Cybersecurity) entro 24 ore. Nel caso di inosservanza dell’obbligo di notifica o della sua reiterazione, l’ACN potrà inviare delle ispezioni per verificare i sistemi di sicurezza applicati. Ove l’inosservanza dovesse ripetersi, a carico della P.A. e anche degli altri soggetti interessati, potrà essere irrogata una sanzione da 25.000 euro a 125.000 euro.
– INASPRIMENTO DELLE PENE
Le pene, dunque, si inaspriscono sia sul fronte reclusione per l’accesso abusivo ai sistemi informatici che introducendo maxi sanzioni pecuniarie anche per chi detiene o fornisce programmi in grado di danneggiare sistemi informatici. Inoltre lo scopo principale del ddl è stato quello di proporre, al passo con i tempi, un adeguamento ad una normativa non più attuale, e un’indicazione della direzione in cui si sta muovendo il governo, che può rappresentare un anticipo dell’impatto certamente più ampio che dovrà avere il recepimento della Direttiva NIS2. L’estensione del periodo detentivo vuole essere in deterrente importante e correttamente inasprisce le pene per coloro che attaccano sistemi informatici o telematici di interesse militare o di settori ritenuti critici.
Lo schema del ddl applica anche un inasprimento sanzionatorio per alcuni reati già esistenti, tra cui:
– accesso abusivo ai sistemi informatici (art. 615 ter c.p.) e punito con il carcere da 1 a 5 anni, ora viene raddoppiato con la pena da 2 a 10 anni;
– accesso abusivo a sistemi informatici di interesse militare, della P.A. e della sanità (art. 615 ter, co. 3, c.p.), viene innalzato da 3 a 10 anni e da 4 a 12 anni.
– per chi detiene oppure fornisce programmi idonei a sabotare i sistemi informatici, viene disposto il carcere fino a 2 anni e una sanzione pecuniaria oltre 10.000 euro.
Il caso di reati contro “sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico”, le pene, rispettivamente, passano “da tre a dieci anni” e“ da quattro a dodici anni”.
Il Ddl prevede norme di carattere penale che non sono solo l’innalzamento sanzionatorio ma anche la configurazione di figure autonome di reato, come l’estorsione cibernetica. Non ci sono solo modifiche di carattere penale sostanziale, ma anche di carattere procedurale in quanto questi reati rientrano nella disciplina dei reati di criminalità organizzata e quindi permettono non soltanto l’utilizzo di strumenti più efficaci di indagine e accertamento ma anche di quel coordinamento che passa dalla Direzione distrettuale antimafia e dalla Procura Nazionale Antimafia, perché sono reati senza territorio.
– SCONTI DI PENA PER I CYBER CRIMINALI
Il provvedimento, con il precipuo intento deflattivo nei confronti dei cyber criminali pentiti, prevede sconti di pena, fino a due terzi per gli hacker che daranno una mano alle forze dell’ordine e all’autorità giudiziaria. Per il reato di accesso abusivo a un sistema informatico o telematico, le pene raggiungono fino a un massimo di 12 anni ma potrà essere diminuita fino a due terzi per l’hacker pentito e collaborativo anche offrendo un aiuto concreto all’autorità di polizia o all’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei reati o degli strumenti usi per la commissione degli stessi”.
– IL COINVOLGIMENTO DELLA MAGISTRATURA
Per la prima volta questo disegno di legge coinvolge la magistratura in caso di cyber attacchi (articolo 7) e tale coinvolgimento sembra un provvedimento doveroso per sottolineare l’importanza della lotta a al cybercrime. La prima novità è che i reati informatici entrano nella disciplina antimafia ed è forse l’aspetto più significativo in termini di visione più attuale dei reati, la possibilità di coinvolgere il procuratore antimafia e antiterrorismo, che mette nella giusta luce di attività di criminalità organizzata il cybercrime. La normativa approda così verso un intervento di modernizzazione che consentirà di coinvolgere il procuratore antimafia e antiterrorismo.
Le modifiche consentiranno l’adozione di strumenti di indagine e accertamento dei reati più efficaci e il coinvolgimento delle Direzioni distrettuali antimafia. I reati informatici, com’è noto, rientrano nella competenza della disciplina antimafia, anche grazie al necessario coordinamento che verrà attuato da parte della Direzione Distrettuale Antimafia e la Procura Nazionale Antimafia.
– IL REFERENTE PER LA CYBER SICUREZZA
L’articolo 13 prevede inoltre che le pubbliche amministrazioni centrali, le regioni, i comuni e le Asl, le province autonome di Trento e Bolzano, i comuni con oltre 100 mila abitanti e i comuni capoluoghi di regione, le società di trasporto pubblico urbano con utenza non inferiore ai 100 mila abitanti e le aziende sanitarie locali, dovranno dotarsi di un referente per la cyber sicurezza (CISO, CISP, etc). Questo articolo pertanto introduce la creazione di una struttura per la cyber sicurezza nei soggetti sopra descritti, presso la quale dovrà operare un referente per la cyber sicurezza. Questa struttura organizzativa sarà una struttura di governo delle tematiche, e non semplicemente di un ufficio per la gestione degli aspetti tecnologici. Il provvedimento stabilisce anche il “rafforzamento delle pubbliche amministrazioni, per cui si stabilisce che quelle interessate da queste norme debbano dotarsi di un proprio ufficio di cybersicurezza.. L’apporto consentirà di adeguare l’operatività agli standard richiesti dalla Direttiva NIS2. Infatti entro ottobre 2024 dovranno essere recepite due direttive europee nell’ordinamento nazionale. Si tratta della Cer, relativa alla cyber resilienza dei soggetti critici, e della Nis 2, con nuovi obblighi in tema di sicurezza dei dati e maggiori responsabilità per gli attori coinvolti.
– IL COORDINAMENTO ACN CON I SERVIZI DI INTELLIGENCE
Il Ddl cyber security prevede, infine, un coordinamento operativo tra i servizi di informazione per la sicurezza e l’Acn (articolo 12).
L’Acn potrà imporre sanzioni alle pubbliche amministrazioni anche in assenza di adeguamento alle direttive dell’Agenzia riguardo all’esposizione alle falle.
Prevede anche multe per le violazioni in tema di cyber sicurezza di competenza dell’Agenzia per la cybersicurezza nazionale. Introduce, infatti, sanzioni per chi non segnala gli incidenti (articolo 15).
L’articolo 18, infine, prevede la “Clausola di invarianza finanziaria” senza “nuovi e maggiori oneri a carico della finanza pubblica”. La bozza del Ddl, infatti, “le amministrazioni pubbliche interessate provvedono all’adempimento delle disposizioni della presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.