Report dell'Agenzia per la cybersicurezza nazionale. Ecco tutti i dati "Il settore sanitario, a livello…
Cosa prevede il ddl sulla cybersicurezza sul tavolo del Cdm
Sul tavolo del Cdm il ddl sulla cybersicurezza che interviene su diversi articoli del codice penale in materia di reati informatici. Ecco i dettagli dalla bozza del testo
In arrivo nuove disposizioni sul rafforzamento della cybersicurezza nazionale. Giovedì il Consiglio dei Ministri approverà un disegno di legge ad hoc, disucsso già mercoledì dai tecnici in pre-consiglio.
Ecco in pillole cosa prevede la bozza del provvedimento, come rilanciato sulle agenzie di stampa.
MODIFICHE A DETENZIONE E DIFFUSIONE ILLECITA
La bozza del ddl cybersicurezza, sul tavolo del pre Cdm, interviene su diversi articoli del codice penale in materia di reati informatici. Tra questi, il 615-quater che riguarda la detenzione e la diffusione abusiva di codici di accesso a sistemi informatici o telematici. La norma prevede che la pena si applichi non più nel caso in cui la condotta procuri “a sé o ad altri un profitto”, ma se ne derivi un “vantaggio” oltre all’ipotesi in cui si arrechi ad altri un danno.
La pena, inoltre, “è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici” di interesse pubblico. Si applica, invece, la pena “della reclusione da due anni a sei anni” se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema.
MODIFICA A CODICE PENALE, PENE RAFFORZATE
La pena della reclusione, prevista dall’articolo 615-ter del codice penale per alcuni reati informatici, va “da due a dieci anni”. Il provvedimento, quindi, inasprisce la pena – per alcune ipotesi di reato – che attualmente è fissata “da uno a cinque anni”. Nei casi in cui, invece, i reati commessi riguardano “sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico”, la pena è rispettivamente quella della reclusione “da tre a dieci anni e da quattro a dodici anni”.
La bozza del testo del ddl sulla cybersicurezza, inoltre, prevede che la pena si applichi anche se dal fatto derivi “la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare” del sistema oltre alle ipotesi già previste dal codice penale di “distruzione o danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”.
AUMENTO PENE REATI INFORMATICI INTERCETTAZIONI
Per i reati di detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche si applica la pena “della reclusione da due a sei anni” se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema. E’ quanto prevede la bozza del ddl cybersicurezza.
Sempre in materia di intercettazioni, viene modificato l’articolo 617-quater che punisce “chiunque fraudolentamente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe”. In particolare, nelle ipotesi in cui si può procedere d’ufficio, si applica la pena della reclusione “da quattro a dieci anni” e non più da “tre a otto anni”.
ATTENUANTE SE SI COLLABORA DOPO REATO
“Le pene previste per i delitti di cui agli articoli 615-ter, 615-quater, 617-quater, 617-quinquies e 617-sexies (reati informatici disciplinati dal codice penale; Ndr) sono diminuite dalla metà a due terzi per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi”. La norma in questione, quindi, introduce una circostante attenuante ad hoc per i reati informatici.
BOZZA: DA 6 A 12 ANNI PER ESTORSIONE CON REATI INFORMATICI
“Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies (reati informatici disciplinati dal codice penale; Ndr), ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000”.
PENE AUMENTATE PER DANNEGGIAMENTO DATI
Nell’ipotesi del reato di danneggiamento di informazioni, dati e programmi informatici previsto dall’articolo 635-bis del codice penale – salvo che il fatto costituisca più grave reato – è punito a querela della persona offesa con la reclusione “da due a sei anni” e non più con quella, attualmente prevista, “da sei mesi a tre anni”.
La norma, inoltre, individua due ipotesi in cui “la pena è della reclusione da tre a otto anni”. Si tratta dei casi in cui “il colpevole per commettere il fatto usa minaccia o violenza, ovvero se è palesemente armato” oppure se “il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema”.
OBBLIGO NOTIFICA INCIDENTI INFORMATICI PER PA
La bozza del ddl cyberisucrezza introduce per le Pubbliche amministrazioni l’obbligo di segnalare e notificare gli incidenti informatici “aventi impatto su reti, sistemi informativi e servizi informatici”. I soggetti su cui grava l’obbligo sono “le pubbliche amministrazioni centrali, le Regioni e le Province autonome di Trento e Bolzano, i Comuni con una popolazione superiore ai 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore ai 100.000 abitanti e le aziende sanitarie locali”.
La disposizione, inoltre, riguarda anche “le rispettive società in house”. La norma prevede che questi soggetti segnalino l’incidente “senza ritardo, e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute”.
DNA E BANKITALIA IN NUCLEO PER QUESTIONI RILEVANTI
Per questioni di particolare rilevanza, in cui il Nucleo per la cybersicurezza può “formulare proposte di iniziative in materia di cybersicurezza del Paese, anche nel quadro del contesto internazionale in materia”, il Nucleo può essere convocato “in composizione ristretta con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati”. Tale composizione può essere “di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d’Italia”, nonché di eventuali altri soggetti, “interessati alle stesse questioni. La norma, infine, precisa che “le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice”.
BOZZA: REFERENTE E STRUTTURA AD HOC IN PA
Le pubbliche amministrazioni per le quali viene introdotto l’obbligo di segnalazione e notifica di incidenti informatici devono individuare “una struttura, anche tra quelle esistenti” che si occupi della sicurezza informatica dei loro sistemi. In tale struttura “opera il referente per la cybersicurezza, individuato in ragione delle qualità professionali possedute”.
Il referente, precisa la norma, “svolge anche la funzione di punto di contatto unico dell’amministrazione con l’Agenzia per la cybersicurezza nazionale”. A tal fine, quindi, “il nominativo del referente per la cybersicurezza è comunicato all’Agenzia per la cybersicurezza nazionale”.
DA AGENZIA NAZIONALE ANCHE INIZIATIVE SU IA
Tra le funzioni affidate all’Agenzia per la cybersicurezza nazionale rientra anche il compito di promuovere e sviluppare “ogni iniziativa, anche di partenariato pubblico-privato, volta a valorizzare l’intelligenza artificiale come risorsa per il rafforzamento della cybersicurezza nazionale, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia”.
NOVITÀ INCARICHI PERSONALE AGENZIA NAZIONALE
I dipendenti appartenenti al ruolo del personale dell’Agenzia per la cybersicurezza nazionale “che abbiano partecipato, nell’interesse e a spese dell’Agenzia, a specifici percorsi formativi di specializzazione, per la durata di due anni a decorrere dalla data di completamento dell’ultimo dei predetti percorsi formativi, non possono essere assunti, né assumere incarichi, presso soggetti privati al fine di svolgere mansioni in materia di cybersicurezza”.
Il testo, inoltre, precisa che “i contratti stipulati in violazione” della previsione normativa “sono nulli”. In ogni caso, la disposizione “non si applicano al personale cessato dal servizio presso l’Agenzia secondo quanto previsto dalle disposizioni del regolamento adottato in attuazione del presente articolo relative al collocamento a riposo d’ufficio al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, alla cessazione a domanda per inabilità, ovvero alla dispensa dal servizio per motivi di salute”.
BOZZA: NOVITÀ SU CONTRATTI PA PER BENI E SERVIZI INFORMATICI
“Con decreto del presidente del Consiglio dei ministri, da adottarsi entro 120 giorni dalla data di entrata in vigore della presente legge, su proposta dell’Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la cybersicurezza, sono individuati gli elementi essenziali di cybersicurezza” che le pubbliche amministrazioni, i gestori di servizi pubblici e le società a controllo pubblico “tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”.
La norma, infine, precisa che “per elementi essenziali di cybersicurezza si intende l’insieme di standard e regole tecniche la cui conformità da parte di beni e servizi informatici da acquisire garantisce la confidenzialità, l’integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo”.