DDL cybersicurezza in Italia: tutte le novità introdotte dal disegno di legge 

Il panorama della cybersicurezza in Italia è destinato a un cambiamento epocale con l’approvazione dello schema di disegno di legge recante “Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale“.

Questa iniziativa, approvata dal Consiglio dei Ministri il 25 gennaio, è progettata per affrontare le sfide sempre crescenti del mondo digitale e rafforzare la protezione nazionale contro minacce informatiche sempre più sofisticate.

DDL sicurezza informatica: pene più rigide per i reati informatici

Una delle caratteristiche salienti del nuovo disegno di legge è l’inasprimento delle pene per i reati informatici.

Ad esempio, l’accesso illecito a sistemi informatici, che prima prevedeva una pena massima di 5 anni, ora potrebbe comportare una condanna fino a 10 anni di reclusione, addirittura 12 nei casi particolarmente gravi.

Questa mossa mira a dissuadere i potenziali criminali digitali, mettendo in evidenza la crescente importanza di una legislazione robusta per affrontare il fenomeno sempre più diffuso del cybercrime-as-a-service.

Il disegno di legge non si limita solo a infliggere pene più severe, ma introduce anche un elemento di collaborazione con le autorità inquirenti. Chiunque sia disposto a cooperare nella raccolta di prove o nel recupero dei proventi dei delitti potrebbe beneficiare di significative riduzioni della pena, fino a due terzi.

Questa prospettiva di collaborazione potrebbe rappresentare un nuovo paradigma nell’affrontare il crimine digitale, incoraggiando i responsabili a contribuire attivamente alla lotta contro il cybercrime.

Con il DDL sulla cybersecurity: rafforzamento degli obblighi per le Pubbliche Amministrazioni

Le Pubbliche Amministrazioni (P.A.) sono anch’esse al centro delle disposizioni del disegno di legge sulla cybersecurity. Le P.A. incluse nel testo, tra cui Pubbliche Amministrazioni centrali, Regioni e Province autonome, Comuni con oltre 100.000 abitanti e società di trasporto pubblico urbano con più di 100.000 utenti, sono soggette a nuovi obblighi.

Devono ora nominare un “referente per la cybersicurezza”, una figura chiave responsabile di coordinare con gli interlocutori esterni e sviluppare una strategia completa di sicurezza informatica.

Inoltre, le P.A. sono tenute a comunicare qualsiasi incidente informatico al Computer Security Incident Response Team (CSIRT Italia) entro 24 ore dalla scoperta. Questo impone un nuovo standard di tempestività e trasparenza nella gestione degli incidenti informatici, contribuendo a una risposta più rapida ed efficace alle minacce.

Coordinamento in caso di attacco e il ruolo chiave dell’Agenzia per la Cybersicurezza Nazionale (ACN)

il DDL per la Cybersicurezza prevede anche uno stretto coordinamento in caso di attacco informatico di rilevanza pubblica. Magistratura, Sistema di Informazione per la Sicurezza e altre autorità saranno chiamati a collaborare nella gestione congiunta delle fasi successive di mitigazione degli effetti e investigazione sulla dinamica dell’incidente.

Questa sinergia è essenziale per affrontare in modo efficace le minacce informatiche che possono avere impatti su sistemi cruciali come quelli relativi all’ordine pubblico, alla sicurezza pubblica, alla sanità e alla protezione civile.

L’Agenzia per la Cybersicurezza Nazionale (ACN), istituita nel 2021, assume un ruolo centrale in questo contesto. La nuova normativa amplia i suoi poteri ispettivi e sanzionatori, consentendole di infliggere multe fino a 125.000 euro agli enti che abbiano violato gli obblighi di comunicazione o che non abbiano adottato gli interventi risolutivi richiesti entro 15 giorni dalla segnalazione di un incidente.

L’ACN si posiziona come un baluardo cruciale nella difesa della cybersicurezza nazionale, promuovendo iniziative e sviluppando partnership pubblico-privato per valorizzare l’intelligenza artificiale come risorsa strategica.

Il ruolo dell’intelligenza artificiale nel DDL sulla cybersicurezza

Un aspetto notevole del disegno di legge è l’attenzione data all’intelligenza artificiale (IA) come risorsa per il rafforzamento della cybersicurezza nazionale. L’Agenzia per la Cybersicurezza Nazionale è incaricata di promuovere e sviluppare iniziative, anche di partenariato pubblico-privato, per valorizzare l’IA.

Questo approccio riflette la crescente consapevolezza dell’importanza dell’IA nel contrastare le minacce informatiche avanzate.

Tuttavia, il contesto sovranazionale aggiunge un elemento di incertezza. La decisione di elaborare nuove norme prima dell’approvazione del Regolamento europeo sull’IA e del Trattato ONU sul crimine informatico può sollevare domande sulla coerenza normativa a livello internazionale.

Sebbene il quadro delle minacce informatiche e la severità degli attacchi recenti siano preoccupanti, la scelta di anticipare le norme nazionali potrebbe portare a una mancanza di allineamento con i regolamenti globali.