Il 17 luglio 2024 è entrata in vigore la c.d. nuova Legge italiana sulla Cybersicurezza (Legge n. 90/2024), già pubblicata in Gazzetta Ufficiale lo scorso 28 giugno a seguito dell’approvazione da parte di Camera e Senato
Come emerge dal rapporto dell’Associazione Italiana per la Sicurezza Informatica del 2024, il crescente numero e la complessità degli attacchi informatici hanno messo in luce la necessità di un quadro normativo più stringente e aggiornato per garantire la cybersicurezza del Paese e dei cittadini.
Maggiori poteri all’Autorità nazionale per la cybersicurezza
Tra le principali novità introdotte dalla Legge in materia di cybersicurezza si trova in primo luogo il decisivo aumento di poteri e lo stanziamento di risorse verso l’Agenzia Nazionale per la Cybersicurezza (ACN). Al fine di consentire lo svolgimento delle proprie funzioni di coordinamento e di controllo in maniera più efficace, viene infatti introdotto per le pubbliche amministrazioni un vero e proprio obbligo di segnalazione di alcune tipologie di incidenti informatici che hanno impatto sulle reti e che dovranno essere notificati entro 24 ore all’Agenzia per la Cybersicurezza nazionale.
Tra i soggetti destinatari di tale obbligo, a titolo esemplificativo, sono ricomprese: le regioni e le province autonome di Trento e di Bolzano; le città metropolitane; i comuni con popolazione superiore a 100.000 abitanti; i comuni capoluoghi di regione; le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti; le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane; le aziende sanitarie locali; le società in house degli enti fin qui richiamati, qualora siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, ovvero servizi di gestione dei rifiuti.
Occorre anche segnalare che alle riunioni del Nucleo per la cybersicurezza dell’Agenzia nazionale potranno inoltre partecipare, in relazione a specifiche questioni di particolare rilevanza, anche i rappresentanti della Direzione nazionale antimafia e antiterrorismo e della Banca d’Italia.
Inasprimento delle pene e nuovi reati
Le modifiche al codice penale vanno certamente nella direzione di una forte repressione dei crimini commessi attraverso l’utilizzo di mezzi informatici.
Le disposizioni introdotte nel secondo capo della Legge sulla cybersicurezza prevedono innanzitutto significativi aumenti di pena per la categoria dei reati informatici, tra cui si segnalano gli artt. 615-ter c.p. (accesso abusivo a un sistema informatico o telematico), 615-quater c.p. (detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all’accesso a sistemi informatici o telematici), 617-bis c.p. (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche), 617-quater c.p. (intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche), 617-quinquies c.p. (detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche), 617-sexies c.p. (falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche).
Per fare un esempio concreto il delitto di accesso abusivo a sistema informatico sopraindicato, se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, dalla cornice edittale precedente che prevedeva da uno a cinque anni di reclusione raddoppia fino ad arrivare agli attuali dieci anni di reclusione.
La risposta della Legge sulla cybersicurezza contro ricatti e truffe informatiche
Altra rilevante novità riguarda l’introduzione della nuova fattispecie delittuosa di estorsione mediante reati informatici di cui al novellato articolo 629 c.p. Con tale adeguamento, avvenuto introducendo un nuovo terzo comma in tale articolo, la Legge sulla cybersicurezza di intervenire in modo puntuale sul fenomeno del c.d. cyber extortion, attuato mediante attacchi informatici di tipo ransomware, in cui vengono bloccate ovvero limitate le funzioni di un dispositivo finché non si paga un riscatto. Infine non poteva mancare la previsione di un’aggravamento della pena per il reato di truffa quando questo viene commesso utilizzando strumenti informatici o telematici in modo da rendere difficile l’identificazione dell’autore. Questa previsione legislativa mira infatti a contrastare le frodi online, sempre più diffuse e sofisticate, e a tutelare le vittime di questi reati.
La Legge 90/2024 introduce inoltre una serie di norme di coordinamento processuale che estendono alle fattispecie di criminalità informatica più gravi alcune delle previsioni processuali riservate ai reati di maggiore allarme sociale. Tra queste, merita di essere segnalata la modifica all’articolo 51, comma 3-quinquies, del codice di procedura penale, che amplia l’elenco dei reati informatici rispetto ai quali le funzioni di pubblico ministero in primo grado sono svolte dalla procura distrettuale antimafia. Questa modifica è finalizzata a garantire un’indagine più efficace e coordinata su questi reati, spesso caratterizzati da una complessità tecnica e da un impatto economico e sociale particolarmente elevato.
Conclusioni sullo scenario della cybersicurezza italiana
La Legge 90/2024 rappresenta un punto di svolta nella storia della cybersicurezza italiana. Con l’introduzione di norme più stringenti, l’aggiornamento del quadro penale e il rafforzamento dell’Agenzia per la Cybersicurezza Nazionale, l’Italia si dota di uno strumento fondamentale per affrontare le sfide poste dal mondo digitale.
L’adeguamento alla nuova normativa da parte di pubbliche amministrazioni e aziende richiederà investimenti in tecnologia e formazione umana, rappresentando un’incredibile opportunità ed un passo necessario per costruire un ecosistema digitale sicuro e affidabile. La collaborazione tra il settore pubblico e quello privato sarà essenziale per affrontare le sfide poste dalla cybersicurezza in modo efficace e coordinato. Tuttavia, la sfida della cybersicurezza è in continua evoluzione e richiede un costante aggiornamento delle norme e degli strumenti di contrasto. Sarà fondamentale monitorare l’applicazione della nuova legge e valutarne l’efficacia nel prevenire e reprimere i reati informatici. Inoltre, sarà necessario investire nella formazione degli operatori del settore e nella diffusione di una cultura della sicurezza informatica.
Giuseppe Domingo per Questione Civile
Sitografia:
www.clusit.it
www.agendadigitale.eu
www.gazzettaufficiale.it
www.archiviopenale.it