Cosa prevede il ddl Cybersicurezza approvato in consiglio dei ministri

Il fatto che l’esecutivo e, di conseguenza, anche l’organo legislativo di un Paese si occupino con grande frequenza del panorama digitale è sicuramente una presa di coscienza importante. C’è sempre però quel gap che rende evidente la differenza tra l’evoluzione tecnologica e la lentezza burocratica dei processi, con conseguenze che possono essere rilevanti per l’efficacia degli eventuali provvedimenti legislativi in materia. Per questo, infatti, il consiglio dei ministri (su proposta di Giorgia Meloni e del Guardasigilli Carlo Nordio) hanno chiesto al parlamento una rapida calendarizzazione del cosiddetto ddl Cybersicurezza, che si propone come la prima legge nazionale che punta a perimetrare ulteriormente il campo della sicurezza informatica e la difesa rispetto ai crimini che avvengono attraverso l’ecosistema digitale.

LEGGI ANCHE > Come un attacco ransomware ha colpito la PA italiana

Nel ddl Cybersicurezza prosegue l’assimilazione tra cybercrime e criminalità organizzata

«Il testo – si legge nel comunicato stampa del Consiglio dei Ministri – interviene con modifiche (sostanziali e processuali) in relazione ai reati informatici, prevedendo l’innalzamento delle pene, l’ampliamento dei confini del dolo specifico, l’inserimento di aggravanti e/o il divieto di attenuanti per diversi reati commessi mediante l’utilizzo di apparecchiature informatiche e finalizzati a produrre indebiti vantaggi per chi li commette, a danno altrui o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche».

Stando a quanto previsto dalla bozza, si prefigura anche un ruolo diverso per l’Agenzia per la cybersicurezza nazionale, attualmente guidata dall’ex prefetto di Roma Bruno Frattasi. Se nel testo del consiglio dei ministri si parla di “rafforzamento” dell’ACN, è pur vero che nella bozza che è stata approvata pare scomparso il riferimento al ruolo dell’ACN nei processi di innovazione e di evoluzione che caratterizzeranno, per forza di cose, i nuovi progetti legati all’intelligenza artificiale. Quello che sarà affidato all’ACN è da individuare in un ruolo di maggiore prevenzione relativamente agli attacchi informatici e a un coordinamento sempre più stretto con l’autorità giudiziaria.

Le pubbliche amministrazioni saranno ora obbligate a comunicare il fatto di essere state bersaglio di eventuali attacchi informatici, una prassi che – adesso – era solo fortemente consigliata (e che, in verità, l’uso comune ha implementato). Adesso, però, il singolo inadempimento di questo avviso «fa scattare la comunicazione da parte dell’Agenzia del possibile invio di ispezioni, nei 12 mesi successivi all’accertamento del ritardo o dell’omissione, anche al fine di verificare l’attuazione di interventi di rafforzamento della resilienza». Ci sono rischi di sanzione pecuniaria, da 25mila euro a 125mila euro, per le PA che dovessero continuare a omettere queste comunicazioni e, inoltre, sono previste azioni disciplinari e responsabilità amministrativo-contabili per i dipendenti delle pubbliche amministrazioni responsabili delle omesse comunicazioni.

«In relazione a specifiche questioni di particolare rilevanza concernenti le iniziative in materia di cybersicurezza del Paese – conclude la comunicazione del cdm -, potrà essere convocato il Nucleo per la cybersicurezza, in composizione di volta in volta estesa alla partecipazione di un rappresentante della Procura nazionale antimafia e antiterrorismo, della Banca d’Italia o di altri operatori previsti dal del decreto-legge “perimetro cyber”, nonché di eventuali altri soggetti, interessati alle stesse questioni». Task force più ampie e verticali, insomma, per cercare di fronteggiare i rischi informatici. Il problema, tuttavia, resta sempre lo stesso: il ddl Cybersicurezza insiste molto sulla “cura” di eventuali attacchi informatici, ma sembra ancora molto lacunoso sulla loro prevenzione.