Il Senato ha approvato il 19 giugno 2024 il c.d. disegno di legge in materia di rafforzamento della cybersicurezza nazionale e reati informatici, nel testo approvato dalla Camera dei Deputati lo scorso 15 maggio (DDL cybersicurezza).
Il testo si compone di 24 articoli, alcuni dei quali prevedono interventi sul codice penale e sul codice di procedura penale.
Le modifiche al codice penale contenute nel DDL cybersicurezza
- Vengono introdotti significativi aumenti di pena per reati quali:
- l’accesso abusivo a sistema informatico (che, nel caso in cui il fatto sia commesso da un pubblico ufficiale, verrebbe sanzionato con la reclusione da due a dieci anni)
- il danneggiamento di informazioni, dati e programmi informatici (che verrebbe sanzionato con la reclusione da due a sei anni, mentre nell’ipotesi aggravata con la reclusione da tre a otto anni)
- Viene introdotto un terzo comma all’art. 629 C.p. (estorsione), a sua volta richiamato nell’art. 24-bis D. Lgs. 231/2001 in tema di responsabilità degli enti, che introduce la c.d. “estorsione informatica“.
Modifiche al codice di procedura penale
L’art. 17 del DDL reca modifiche al codice di procedura penale finalizzate a recepire gli interventi in materia di prevenzione e contrasto dei reati informatici introdotte dal precedente art. 16.
Per tali reati, in particolare, si prevedono:
- l’attribuzione della competenza sulle indagini alla procura distrettuale
- la deroga al regime ordinario per la proroga delle indagini preliminari
- termini di durata massima delle indagini preliminari pari a 2 anni
- l’estensione della disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici rimessi al coordinamento del procuratore nazionale antimafia e antiterrorismo: in queste ipotesi, l’autorizzazione all’intercettazione potrà essere concessa quando sussistono “sufficienti indizi” di reato (anziché gravi indizi) o quando è “necessaria per lo svolgimento delle indagini” (invece che assolutamente indispensabile).
Modifiche in materia di responsabilità amministrativa degli enti (D. Lgs. 231/2001)
L’art. 20 del DDL interviene sul catalogo dei reati presupposto della responsabilità amministrativa degli enti, contemplato dall’art. 24-bis del d. Lgs. 231/2001, ovvero:
- vengono aumentate le sanzioni previste al comma 1 che passano dalla cornice edittale compresa tra cento e cinquecento quote, a quella compresa tra duecento e settecento quote
- viene introdotto nell’art. 24-bis il nuovo comma 1-bis: si applicherà all’ente la sanzione pecuniaria da trecento a ottocento quote in relazione alla commissione della nuova fattispecie di estorsione informatica di cui all’art. 629, terzo comma, C.p.
- viene modificato il comma 2 dell’art. 24-bis, elevando la sanzione pecuniaria sino a quattrocento quote, e sostituendo tra i reati presupposto per i quali è prevista l’applicazione all’ente della sanzione pecuniaria suddetta il riferimento all’art. 615-quinquies c.p. (abrogato dall’art. 16, lettera d) del presente DDL), con il richiamo al nuovo delitto di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, di cui all’art. 635-quater.1;
- viene integrato il comma 4: nei casi di condanna per il delitto indicato nel comma 1-bis si applicheranno le sanzioni interdittive previste dall’art. 9, comma 2, per una durata non inferiore a due anni.
Gli obblighi di segnalazione degli incidenti informatici del DDL cybersicurezza
- Viene previsto un obbligo di segnalazione e notifica di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici in carico ai seguenti soggetti:
- pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle PA, previsto dall’art. 1, c. 3, della L. 196/2009
- regioni e province autonome di Trento e di Bolzano
- città metropolitane
- comuni con popolazione superiore a 100.000 abitanti e comunque i comuni capoluoghi di regione
- società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti
- società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane
- aziende sanitarie locali
- società in house degli enti richiamati che siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali ovvero servizi di gestione dei rifiuti.
Una prima segnalazione dovrà avvenire entro il termine massimo di 24 ore dal momento in cui l’ente ne è venuto a conoscenza; entro 72 ore dovrà poi seguire la notifica completa di tutti gli elementi informativi disponibili: entrambe le notifiche dovranno avvenire utilizzando le procedure disponibili sul sito internet dell’Agenzia per la cybersicurezza nazionale.
- Viene riconosciuta all’Agenzia per la cybersicurezza nazionale (ACN) la facoltà di segnalare, ad una serie di soggetti pubblici o che forniscono servizi pubblici, specifiche vulnerabilità cui essi risultano potenzialmente esposti: i destinatari di tali segnalazioni devono provvedere senza ritardo, e comunque non oltre 15 giorni dalla comunicazione, all’adozione degli interventi risolutivi indicati dalla stessa Agenzia.
- E’ prevista l’applicazione di una sanzione amministrativa pecuniaria comminata dall’ACN in caso di mancata o ritardata adozione degli interventi risolutivi indicati dall’ACN di cui al comma 1, che va da 25.000 a 125.000 euro: non si applica nel caso in cui motivate esigenze di natura tecnico-organizzativa, che devono essere tempestivamente comunicate all’ACN, ne impediscano l’adozione o ne comportino il differimento oltre il termine di 15 giorni.
Il procedimento amministrativo sanzionatorio per le violazioni di competenza dell’ACN
L’art. 11 del DDL definisce termini e modalità per l’adozione del regolamento che stabilirà i criteri, anche temporali, per l’accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l’irrogazione delle relative sanzioni di competenza dell’Agenzia.
Nelle more dell’adozione del regolamento, troverà comunque applicazione il capo I, sezioni I e II, della legge sulle sanzioni amministrative (legge n. 689/1981).
Il Referente per la cybersicurezza nelle PA
Il DDL istituisce per le PA indicate nell’art. 1 la struttura preposta alle attività di cybersicurezza ed il referente per la cybersicurezza, unico punto di contatto delle amministrazioni coinvolte con l’Agenzia per la cybersicurezza nazionale, da individuarsi in ragione di specifiche professionalità e competenze possedute in materia.
La struttura ed il referente potranno essere individuati nell’ufficio e nel responsabile per la transizione al digitale previsti dall’art. 17 del D Lgs. n. 82/2005 (codice dell’amministrazione digitale).