Il Senato italiano sta esaminando un disegno di legge cruciale per il rafforzamento della cybersicurezza nazionale e il contrasto ai reati informatici. Questo provvedimento legislativo, approvato alla Camera lo scorso 15 maggio, rappresenta un passo significativo verso una maggiore resilienza del Paese di fronte alle crescenti minacce cibernetiche.
Nelle prossime settimane, il testo sarà sottoposto al vaglio di numerose Commissioni, tra cui Affari Costituzionali, Giustizia, Affari Esteri, Difesa, Bilancio e Finanze. Questo processo di revisione approfondita mira a garantire che il disegno di legge sia solido e completo, affrontando adeguatamente le sfide legate alla cybersicurezza.

Contesto e Necessità di Intervento

Negli ultimi anni, l'Italia ha assistito a un preoccupante aumento degli attacchi informatici, molti dei quali hanno preso di mira infrastrutture pubbliche critiche. Episodi come l'attacco all'ASL 1 – Avezzano Sulmona L'Aquila nel 2023 e quelli ai comuni di Torre del Greco e Gorizia hanno messo in luce la vulnerabilità dei servizi essenziali e la necessità di adottare misure più stringenti per proteggere i dati sensibili e garantire la continuità operativa.
I ransomware, software maligni che bloccano l'accesso ai dati vitali delle organizzazioni richiedendo un riscatto per lo sblocco, rappresentano una delle principali minacce. Parallelamente, gli attacchi DDoS (Distributed Denial of Service), che sovraccaricano i sistemi con richieste di traffico ingiustificate per renderli inoperabili, costituiscono un'altra sfida significativa.

Principali Novità Introdotte

Il disegno di legge sulla cybersicurezza si pone come una risposta strategica a queste minacce, introducendo una serie di novità volte a rafforzare la sicurezza informatica a livello nazionale.

Obbligo di Segnalazione degli Incidenti

Uno dei punti chiave del provvedimento è l'obbligo di segnalazione entro 24 ore all'Agenzia per la Cybersicurezza Nazionale (ACN) per specifici tipi di incidenti che impattano sulle reti. Questo obbligo riguarderà gli operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato.

Partecipazione di Antimafia e Antiterrorismo

In caso di questioni di particolare rilevanza, i rappresentanti della Direzione Nazionale Antimafia e Antiterrorismo e della Banca d'Italia potranno partecipare alle riunioni del Nucleo per la Cybersicurezza (NCS), rafforzando la collaborazione e il coordinamento tra le diverse autorità competenti.

Strutture Dedicate alla Cybersecurity nelle PA

Le pubbliche amministrazioni saranno tenute a dotarsi di strutture dedicate alla cybersecurity, con un referente unico per l'ACN. Questa misura mira a creare una governance centralizzata e a rafforzare le capacità di prevenzione e risposta agli attacchi informatici all'interno delle istituzioni pubbliche.

Norme per i Contratti Pubblici

Sarà emesso un decreto che definisca gli elementi essenziali di cybersicurezza per i contratti pubblici di beni e servizi informatici, specialmente quelli impiegati per la tutela degli interessi nazionali strategici. Questo garantirà che i fornitori rispettino standard di sicurezza adeguati.

Accesso alle Banche Dati

Il disegno di legge stabilisce norme precise per l'accesso alle banche dati delle pubbliche amministrazioni da parte degli addetti tecnici, prevedendo rigorosi sistemi di autenticazione. Questa misura mira a prevenire accessi non autorizzati e a proteggere la riservatezza dei dati sensibili.

Inasprimento delle Pene

Verranno introdotte nuove fattispecie di reato e aggravanti per reati informatici, tra cui l'accesso abusivo a sistemi informatici, la diffusione e l'installazione abusiva di software dannosi, e la truffa aggravata. Le pene per il danneggiamento di sistemi informatici di pubblica utilità saranno innalzate fino a sei anni di reclusione.

Emendamenti e Risorse Finanziarie

Tra le modifiche più recenti apportate al disegno di legge, è stato approvato un emendamento che consente agli ispettori del Ministero della Giustizia di controllare l'accesso alle banche dati. Inoltre, il governo si impegna a regolamentare l'uso del trojan entro il "primo provvedimento utile".
Un aspetto critico del provvedimento originale era l'assenza di stanziamenti di risorse aggiuntive per l'attuazione del rafforzamento della sicurezza cibernetica. Tuttavia, numerosi emendamenti mirano a risolvere questa lacuna, individuando fonti di finanziamento specifiche.

Copertura Finanziaria e Neutralità dei Costi

Inizialmente, il disegno di legge prevedeva che tutti gli adempimenti fossero attuati senza nuovi o maggiori oneri per la finanza pubblica, utilizzando le risorse umane, strumentali e finanziarie già disponibili. Tuttavia, come sottolineato dalla Corte dei Conti, la clausola di neutralità finanziaria non garantisce di per sé l'assenza di costi aggiuntivi per il bilancio dello Stato.
Per affrontare questa criticità, numerosi emendamenti mirano a riscrivere l'articolo 24, quello sulla neutralità finanziaria, e a identificare risorse specifiche per coprire le spese legate alle attività di segnalazione, alla realizzazione di strutture dedicate e all'individuazione dei referenti per la cybersicurezza.

Fondi per la Formazione e l'Acquisto di Strumentazione

Alcuni emendamenti prevedono stanziamenti specifici per la formazione del personale e l'acquisto di strumentazione tecnologica atta al rafforzamento della cybersicurezza. Questo aspetto è cruciale per garantire che le risorse umane e tecnologiche siano adeguatamente preparate ad affrontare le sfide legate alla sicurezza informatica.

Fondo per la Sicurezza Informatica

Un emendamento propone l'istituzione di un Fondo per la Sicurezza Informatica, alimentato dalle risorse annualmente stanziate dalla legge di bilancio, con un importo non inferiore all'1,2% degli investimenti nazionali lordi. Questi fondi sarebbero assegnati all'ACN mediante decreto del Ministro dell'Economia e delle Finanze.

Coperture di Spesa

Varie proposte di emendamento individuano possibili coperture di spesa mediante corrispondente riduzione di fondi esistenti, come il Fondo per interventi strutturali di politica economica, il Fondo per far fronte ad esigenze indifferibili o il progetto di collegamento stabile tra la Sicilia e la Calabria.

Formazione e Sensibilizzazione

Il disegno di legge sulla cybersicurezza non si limita a introdurre misure normative e sanzionatorie, ma prevede anche un'attenzione particolare alla formazione e alla sensibilizzazione sulla sicurezza informatica.

Attività Formativa per il Personale

È prevista un'attività formativa specifica diretta al personale che opera nelle strutture della Pubblica Amministrazione e nelle aziende. L'obiettivo è incrementare la consapevolezza dei rischi e delle competenze specialistiche, nonché divulgare buone pratiche per prevenire e gestire possibili minacce.

Iniziative Congiunte con il Ministero dell'Istruzione

Il disegno di legge prevede iniziative congiunte di ACN con il Ministero dell'Istruzione per promuovere la realizzazione di corsi specifici al fine di favorire, a tutti i livelli del sistema educativo, una progressiva familiarizzazione degli studenti con la sicurezza informatica.

Diffusione della Cultura della Sicurezza Informatica

Verranno incentivate iniziative di diffusione della cultura della sicurezza informatica tra i cittadini, con il coordinamento di ACN e AgID e il coinvolgimento di università, centri di ricerca e di formazione specializzata, anche attraverso partenariati tra soggetti pubblici e privati.

Cooperazione e Coordinamento a Livello Europeo

In un contesto di crescente attenzione alla sicurezza informatica a livello europeo, la Commissione europea ha nominato Saad Kadhi come direttore del "Servizio di Cibersicurezza per le Istituzioni, gli Organi e gli Organismi dell'Unione" alla Direzione Generale per i Servizi Digitali (DG DIGIT). Questa nomina sottolinea l'importanza di una cooperazione e un coordinamento efficaci tra gli Stati membri dell'UE per affrontare le minacce cibernetiche.

Prospettive Future e Sfide Rimanenti

Il disegno di legge sulla cybersicurezza rappresenta un passo significativo nella lotta contro il cybercrime in Italia. Tuttavia, la prevenzione rimane un aspetto cruciale e ancora parzialmente inesplorato. Mentre il provvedimento si concentra principalmente sulla risposta e sulle sanzioni relative agli attacchi informatici, un'attenzione maggiore dovrebbe essere rivolta alla prevenzione di tali attacchi.
Questo implica non solo miglioramenti a livello legislativo e di policy e governance, ma anche un impegno costante nella formazione e nell'aggiornamento delle competenze del personale, nonché nell'adozione di tecnologie avanzate per la sicurezza informatica.
In questo contesto, si segnala che è rimasto fuori dal disegno di legge ogni accenno alle competenze dell'Agenzia per la Cybersicurezza Nazionale in materia di intelligenza artificiale, che aveva tra i suoi compiti quello di promuoverne l'utilizzo come strumento fondamentale per rafforzare la sicurezza informatica del Paese. L'esclusione è stata motivata con la necessità di attendere la legislazione europea definitiva sull'intelligenza artificiale, il che dimostra quanto ancora ci sia da fare in termini di sicurezza informatica e di legislazione applicata alle nuove tecnologie.

Conclusioni

L'approvazione di questo disegno di legge rappresenta un passo fondamentale per la sicurezza informatica del nostro Paese. Alla luce dei sempre più numerosi attacchi informatici, è essenziale che le nostre infrastrutture siano protette e che vi siano misure efficaci per prevenire e contrastare i reati informatici. La speranza è che questo provvedimento, una volta approvato definitivamente, possa garantire una maggiore protezione dei dati per tutti i cittadini e le imprese italiane.