Quali sanzioni può comminare l’Agenzia per la cyber security italiana

Il primo via libera è arrivato giovedì 5 maggio dal Consiglio dei Ministri. E adesso si potrà procedere con il passaggio parlamentare, ultimo step dell’iter per l’approvazione del decreto legge in cui sono inserite le norme con cui l’Italia si adeguerà al regolamento Europeo sulla cyber security. All’interno della bozza del documento si fa anche riferimento alle sanzioni (sia per tipologia che per quantitativo) che l’ACN potrà emettere in caso di violazioni. E le multe dell’Agenzia cyber italiana hanno dei paletti che ricalcano in pieno le linee guida continentali.

LEGGI ANCHE > La BRI (Banca dei regolamenti internazionali) adotta un documento che prende di mira la raccolta dei dati delle Big Tech

Il documento, approvato dal Consiglio dei Ministri, è stato visionato in anteprima da CybersecurityItalia che ne ha riportato alcuni dettagli. In particolare, il settore principale è quello della sanzioni che non risulta essere ancora attivo, anche se sembra essere tutto pronto anche grazie a questo decreto legge. Perché le multe Agenzia Cyber italiana prendono spunto dall’articolo 65 del regolamento Europeo approvato nel 2019.

«Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione del presente titolo e di violazione dei sistemi europei di certificazione della cyber sicurezza e adottano tutte le misure necessarie per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive. Gli Stati membri notificano senza indugio tali norme e misure alla Commissione e provvedono poi a dare notifica delle eventuali modifiche successive».

Questi paletti sembrano essere rispettati dalla bozza del decreto legge che regolamenta i casi di violazione da sanzionare, con tanto di quantitativo economico e destinazione dei fondi raccolti da queste multe.

Multe Agenzia cyber, ecco chi rischia e quanto rischia

Si tratta di sanzioni sia pecuniarie che accessorie che sono diversificate in base al tipo di violazione rilevata dall’Agenzia per la cibersicurezza nazionale. Si parte da una multa da 200mila a 1 milione di euro nei confronti di quei soggetti che, dopo una diffida (o un ordine) a tempo, non provvedono alle modifiche basate sul regolamento europeo. Ma questa è solamente la base. Le cifre, infatti, tendono a salire se la contestazione da parte dall’ACN è rivolta ad aziende con fatturato superiore ai 200 milioni di euro: in questi casi la sanzione comminata oscillerà (sarà effettuata una valutazione caso per caso) dallo 0,3% fino all’1,5% del fatturato. In ogni caso, le multe non potranno superare quota 5 milioni di euro per ogni singola azienda.

Questa è la cornice all’interno del quale l’Agenzia Cyber italiana potrà muoversi, secondo legge. All’interno del decreto, inoltre, c’è anche un capitolo dedicato alla destinazione dei fondi raccolti dallo Stato attraverso queste multe per le violazioni dei regolamenti sulla cyber security. Gli introiti finiranno direttamente nelle casse dello Stato e saranno versati nel fondo di bilancio del Ministero dell’Economia e della Finanze che poi valuterà la redistribuzione – sotto forma di investimenti – in progetti inerenti lo sviluppo di «di prodotti TIC (tecnologie dell’informazione e della comunicazione, ndr), servizi TIC e processi TIC» e per tutti gli altri comparti relativi alla cyber security in Italia.