Cosa c’è e cosa manca nel ddl sulla Cybersicurezza

Giovedì 25 gennaio è stata una giornata piena di impegni per il Consiglio dei Ministri. Oltre all’approvazione del cosiddetto Ddl Beneficenza – di cui abbiamo parlato nella giornata di ieri -, il governo ha dato anche il via libera al ddl Cybersicurezza. Il testo è stato leggermente modificato rispetto alla bozza iniziale, ma la schema è rimasto lo stesso. In attesa della discussione parlamentare e dell’approvazione definitiva da parte di Camera e Senato, possiamo sottolineare due aspetti “positivi”: l’aumento delle pene per i criminali informatici e l’obbligo per le Pubbliche Amministrazioni (e non solo) di notificare ad ACN di aver subito un attacco entro 24 ore dall’attacco stesso (o da quando ce se ne accorge).

Ddl Cybersicurezza, cosa c’è e cosa manca

Pene più severe e maggiori responsabilità. Ma c’è anche un cambio di paradigma anche a livello procedurale: a coordinare le indagini non saranno più le singole Procure locali, ma tutto sarà centralizzato. Un ruolo fondamentale l’avranno la Procura Nazionale Antimafia e la Direzione Distrettuale Antimafia. Il motivo è semplice: la maggior parte degli attacchi informatici è condotto dalla criminalità organizzata e questo tipo di reato, per definizione, è “senza territorio.

In attesa dell’AI Act, il governo ha deciso di rimuovere un articolo dedicato alla cybersecurity, all’intelligenza artificiale e al ruolo – di divulgazione e valorizzazione – di ACN sul tema. Mentre sono stati dissolti i dubbi su una modifica al Codice Penale: è vero che sarà perseguibile chiunque detenga dei malware e codici malevoli, ma solo se “allo scopo di danneggiare illecitamente un sistema informatico”. Mancano, però, tutti i riferimenti alla prevenzione, alla formazione di skill specifiche e riferimenti alla tutela della privacy, vero problema in occasione dei data breach conseguenza di attacchi ransomware.

• Cosa prevede il ddl Cybersicurezza approvato in consiglio dei ministri
• L’aumento delle pene per i pirati informatici e gli obblighi per le PA
• Cosa vuol dire che sarà punito anche chi «detiene» malware?
• Perché le indagini sugli attacchi informatici saranno coordinate dall’Antimafia
• Nel ddl Cybersicurezza è sparito il riferimento all’intelligenza artificiale