Il Consiglio dei Ministri, nella seduta n. 66 del 25 gennaio, ha approvato il Ddl che introduce disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale.
In merito ai reati informatici il testo prevede l’innalzamento delle pene, l’ampliamento dei confini del dolo specifico, l’inserimento di aggravanti e/o il divieto di attenuanti per diversi reati commessi mediante l’utilizzo di apparecchiature informatiche e finalizzati a produrre indebiti vantaggi per chi li commette, a danno altrui o ad accedere abusivamente a sistemi informatici e/o a intercettare/interrompere comunicazioni informatiche e telematiche.
Previsto anche il rafforzamento dele funzioni dell’Agenzia per la cybersicurezza nazionale (ACN) e il suo coordinamento con l’Autorità giudiziaria in caso di attacchi informatici, con specifiche procedure volte a rendere più immediato l’intervento dell’Agenzia a fini di prevenzione degli attacchi e delle loro conseguenze e del ripristino rapido delle funzionalità dei sistemi informatici.
Obbligo di segnalazione e notifica per determinati soggetti pubblici
Il Ddl prevede l’obbligo, a carico di amministrazioni centrali, Regioni, Province, Comuni sopra i 100 mila abitanti, ASL e aziende di trasporto pubblico locale, di segnalazione e notifica all’Agenzia degli incidenti con impatto su reti, sistemi informativi e servizi informatici.
L’inosservanza di tale obbligo comporta:
- per il singolo inadempimento, la comunicazione da parte dell’Agenzia del possibile invio di ispezioni, nei 12 mesi successivi all’accertamento del ritardo o dell’omissione, anche al fine di verificare l’attuazione di interventi di rafforzamento della resilienza;
- per la reiterata inosservanza dell’obbligo di notifica, l’applicazione all’ente, da parte dell’Agenzia, di una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000;
- per i dipendenti delle pubbliche amministrazioni, la violazione delle disposizioni può costituire causa di responsabilità disciplinare e amministrativo-contabile.
I suddetti enti pubblici, quando individuati come esposti a specifiche vulnerabilità, devono provvedere senza ritardo e comunque non oltre i 15 giorni dalla comunicazione, ad adottare interventi risolutivi indicati dalla stessa ACN al fine di migliorare la loro resilienza alla cybersicurezza.
In caso di specifiche questioni di particolare rilevanza, come le iniziative in materia di cybersicurezza del Paese, potrà essere convocato il Nucleo per la cybersicurezza, includendo rappresentanti della Procura nazionale antimafia e antiterrorismo, della Banca d’Italia e altri operatori previsti dalla normativa vigente.
