Il crescente numero di attacchi cibernetici in Italia, con un aumento del 40% nel primo semestre del 2023 rispetto al 2022, ha spinto il governo a pensare di introdurre nuove misure legislative volte a contrastare gli hacker e migliorare la sicurezza informatica nel paese. Il disegno di legge, intitolato “Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale”, è attualmente in fase di valutazione e sarà discusso durante la riunione del Consiglio dei ministri.
Tra le principali disposizioni del disegno di legge, vi è un’importante revisione delle pene per gli hacker. Attualmente, chi accede abusivamente a un sistema informatico può essere condannato da 1 a 5 anni di reclusione; il nuovo disegno di legge propone un aumento delle pene da 2 a 10 anni di reclusione, rappresentando un giro di vite significativo contro chi commette reati informatici.
Inoltre, il provvedimento prevede sanzioni severe per chi detiene o fornisce programmi volti a danneggiare sistemi informatici, con pene fino a 2 anni di reclusione e multe salate che possono arrivare a 10.329 euro. Il governo si propone di disincentivare l’attività di coloro che sviluppano o diffondono strumenti dannosi per la sicurezza informatica.
Una delle criticità evidenziate dal disegno di legge riguarda la mancata notifica tempestiva degli attacchi informatici da parte di aziende e amministrazioni colpite. Al fine di migliorare la trasparenza e la reattività, le Pubbliche amministrazioni centrali, le Regioni, i Comuni, le Asl e le aziende del trasporto pubblico locale sono ora obbligate a notificare entro 24 ore gli incidenti informatici di cui vengono a conoscenza. L’Agenzia per la cybersicurezza nazionale sarà autorizzata a effettuare ispezioni in caso di ritardi nella notifica e a imporre multe significative, da 25.000 a 125.000 euro.
Il disegno di legge introduce anche nuove responsabilità per le Pubbliche amministrazioni, richiedendo loro di individuare un referente per la cybersicurezza e una struttura dedicata allo sviluppo delle politiche e procedure di sicurezza delle informazioni.
Il personale addetto al Csirt Italia, il team di risposta agli incidenti informatici, assume ora la qualifica di pubblico ufficiale, sottolineando l’importanza di un intervento tempestivo in caso di attacchi. Inoltre, l’Agenzia è incaricata di informare il procuratore nazionale antimafia e antiterrorismo in caso di attacchi informatici contro sistemi utilizzati dallo Stato o da enti pubblici.
Il disegno di legge prevede inoltre che l’Agenzia per la cybersicurezza nazionale promuova iniziative, anche di partenariato pubblico-privato, per valorizzare l’intelligenza artificiale come risorsa per rafforzare la cybersicurezza nazionale.
Infine, al fine di prevenire la fuga di competenze in un settore così delicato, il personale dell’Agenzia che ha partecipato a corsi di specializzazione per almeno due anni non potrà essere assunto o assumere incarichi presso soggetti privati per svolgere mansioni in materia di cybersicurezza. Questa misura mira a garantire la continuità delle competenze all’interno dell’Agenzia, preservando la sicurezza informatica del paese.
