Via libera alla Camera dei Deputati per il disegno di legge A.C. 1717, focalizzato sui reati informatici e sul rafforzamento della cybersicurezza nazionale, che adesso passa all’esame del Senato. Il provvedimento intende “assicurare una più elevata capacità di protezione e risposta a fronte di emergenze cibernetiche”, dando forza alla sicurezza a favore delle PA, delle imprese e dei cittadini.
Per farlo, persegue una governance incentrata sugli aspetti della sicurezza e su disposizioni per la prevenzione e il contrasto dei reati informatici, anche grazie al rinforzo delle funzioni dell’Agenzia per la Cybersicurezza nazionale e al suo coordinamento con l’autorità giudiziaria.
Il disegno di legge è composto da 23 articoli in tutto, quindi 5 in più rispetto alla versione originaria. Le integrazioni sono arrivate durante l’esame delle norme da parte delle commissioni Affari Costituzionali e Giustizia di Montecitorio. Tra le nuove disposizioni le più rilevanti riguardano la resilienza delle pubbliche amministrazioni e del settore finanziario, i contratti pubblici di beni e servizi informatici impiegati a tutela degli interessi nazionali strategici, il contrasto ai reati informatici e la sicurezza delle banche di dati degli uffici giudiziari.
Un primo gruppo del Capo I del disegno di legge (articoli 1-15), ad esempio, riguarda le misure da adottare in caso di incidenti informatici. In dettaglio, si introduce un obbligo di segnalazione di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici in carico alle pubbliche amministrazioni. Allo stesso tempo, le pubbliche amministrazioni qualora siano oggetto di segnalazioni dell’Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultano potenzialmente esposti, devono provvedere tempestivamente all’adozione degli interventi risolutivi indicati dalla stessa Agenzia.
Un secondo gruppo di disposizioni interviene invece sull’architettura della sicurezza cibernetica e sui rapporti tra i diversi attori del sistema, prevedendo tra le altre: la possibilità di far partecipare alle riunioni del Nucleo per la cybersicurezza ulteriori soggetti quali rappresentanti della Direzione nazionale antimafia e antiterrorismo e rappresentanti della Banca d’Italia; l’istituzione per le pubbliche amministrazioni, dove non sia già presente, della struttura preposta alle attività di cyber-sicurezza e del referente per la cyber-sicurezza.
Vengono anche rafforzate le misure di sicurezza dei dati attraverso la crittografia, con l’istituzione del Centro nazionale di crittografia, e l’attribuzione alle strutture preposte alle attività in quest’ambito nelle pubbliche amministrazioni della funzione di verificare che programmi e applicazioni informatiche e di comunicazione elettronica rispettino delle specifiche linee guida sulla crittografia. Il provvedimento reca anche altre disposizioni relative all’Agenzia per la cybersicurezza nazionale, con specifiche indicazioni sugli incarichi e le loro attribuzioni, ma anche sui contratti pubblici.
Il Capo II del provvedimento (articoli da 16 a 23) include una serie di “Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari“.
Interviene, ad esempio, sul codice penale, rafforzando le previsioni in materia di prevenzione e contrasto dei reati informatici e prevedendo inasprimenti di pene o ulteriori circostanze aggravanti rispetto alle fattispecie di reati informatici previste a legislazione vigente, da un lato, e, dall’altro, introducendo nuove fattispecie delittuose quali, ad esempio, l’estorsione mediante reati informatici di cui al novellato articolo 629 c.p..
Prevede anche il rafforzamento della collaborazione tra l’Agenzia per la cybersicurezza nazionale (ACN), il procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria ed il pubblico ministero e include l’introduzione dell’obbligo di immediata trasmissione delle notizie dei delitti informatici, per procedere all’azione di contrasto.