Il 29 febbraio 2024 è stato assegnato alle Commissioni riunite Affari Costituzionali e Giustizia della Camera, in sede Referente, a il disegno di legge C. 1717 (c.d. DDL cybersicurezza), recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
Il D.D.L. introduce modifiche rilevanti in merito ai reati informatici, con l’obiettivo di:
- aumentare le pene
- ampliare i confini del dolo specifico
- inserire aggravanti e/o il divieto di attenuanti per diversi reati commessi mediante l’utilizzo di apparecchiature informatiche, finalizzati a produrre indebiti vantaggi per chi li commette, a danno di terzi o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche.
Il ruolo dell’Agenzia per la cybersicurezza nazionale (ACN) viene potenziato, con un rafforzamento delle sue funzioni e una maggiore cooperazione con l’Autorità giudiziaria in caso di attacchi informatici: in particolare, sono previste procedure specifiche per garantire un intervento rapido dell’Agenzia nella prevenzione degli attacchi e nel ripristino delle funzionalità dei sistemi informatici.
Per quanto riguarda i soggetti pubblici viene imposto loro l’obbligo di segnalare e notificare incidenti informatici, con un impatto su reti, sistemi informativi e servizi informatici.
Gli enti coinvolti sono:
- le pubbliche amministrazioni centrali individuate dall’ISTAT
- le regioni e le province autonome di Trento e Bolzano
- i comuni con una popolazione superiore ai 100.000 abitanti
- i comuni capoluogo di regione
- le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti
- le aziende sanitarie locali, nonché le rispettive società in house.
La mancata notifica può comportare ispezioni da parte dell’Agenzia, con la possibilità di comminare sanzioni amministrative pecuniarie per gli enti inadempienti e conseguenze a livello disciplinare e amministrativo-contabile per i dipendenti delle PA coinvolte.
Gli stessi soggetti devono intervenire tempestivamente per risolvere specifiche vulnerabilità segnalate dall’Agenzia, e il mancato rispetto di tali interventi può comportare analoghe sanzioni.
Infine, nel c.d. DDL cybersicurezza è previsto che i soggetti pubblici debbano designare o istituire una struttura dedicata al rafforzamento della resilienza delle PA in materia di cybersicurezza e come punto di contatto con l’Agenzia.
Il testo introduce inoltre la possibilità di convocare il Nucleo per la cybersicurezza in situazioni di particolare rilevanza, coinvolgendo rappresentanti della Procura nazionale antimafia e antiterrorismo, della Banca d’Italia e altri operatori, in base al decreto-legge “perimetro” (d.l. 21 settembre 2019, n. 105).