Sono pronte nuove misure per quanto riguarda le pene contro i criminali informatici. Ecco tutto quello che bisogna sapere a proposito
Il Governo, riunito ieri a Palazzo Chigi, ha esaminato e discusso lo schema di disegno di legge concernente le normative sui reati informatici e il potenziamento della sicurezza informatica nazionale. Il disegno di legge propone, da un lato, un aumento delle sanzioni e delle pene previste dalla legislazione attuale e, dall’altro, impone alla Pubblica Amministrazione l’obbligo di segnalare tempestivamente gli attacchi informatici. Ecco come saranno le nuove pene e tutto quello che bisogna sapere della riforma discussa ieri.
Nuove pene per gli hacker, ecco come saranno inasprite
Una proposta legislativa sulla sicurezza informatica è stata esaminata ieri, giovedì 25 gennaio, durante la riunione del Consiglio dei Ministri, con l’obiettivo di contrastare gli hacker con ogni strumento possibile. Le sanzioni per i funzionari pubblici o gli operatori dei servizi pubblici che accedono illegalmente a un sistema informatico, attualmente comprese tra 1 e 5 anni di reclusione, verranno aumentate a 2-10 anni. Inoltre, sarà più severo il trattamento per chi possiede o fornisce software dannosi per i sistemi informatici, con pene fino a 2 anni di reclusione e una multa di 10.329 euro.
Le istituzioni centrali, le Regioni, i Comuni, le Aziende Sanitarie Locali e le società di trasporto pubblico locale hanno l’obbligo di notificare entro 24 ore dall’accertamento gli attacchi informatici subiti dai loro sistemi. In caso di ritardo, l’Agenzia per la sicurezza informatica nazionale potrebbe condurre ispezioni e, in caso di recidiva, comminare sanzioni pecuniarie da 25mila a 125mila euro. Le sanzioni si applicano anche alle Pubbliche Amministrazioni che non adottano le misure indicate dall’Agenzia per affrontare le vulnerabilità rilevate.
Il potenziamento delle misure diventa essenziale alla luce dei recenti avanzamenti tecnologici, che hanno portato l’intelligenza artificiale a livelli senza precedenti e a un livello di potenziale pericolo senza eguali, ed è anche imprescindibile che tutti gli organi si adoperino per avere un aggiornamento costante in materia di cyber sicurezza, in modo tale da essere certi di far diventare la minaccia sempre meno pericolosa.
Sul web, però, non tutti hanno accettato queste misure e si è acceso un forte dibattito a proposito, specialmente riguardo alla detenzione di software “per danneggiare i sistemi informatici“. La questione principale riguarda la definizione di “detenere o fornire” programmi dannosi, ma il disegno di legge stesso offre una chiara interpretazione: “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”.
In generale, chiunque “possieda” un malware, ad esempio, per finalità di studio, non è soggetto a rischi legali. Il focus del disegno di legge è piuttosto sulle persone che, avendo in loro possesso il malware, intendono danneggiare un sistema informatico.
L’approvazione dello schema del Ddl sulla cybersicurezza è stata annunciata dal Consiglio dei ministri. Riassumendo i punti principali esposti durante la conferenza stampa possiamo trovare:
– Si è resa necessaria una stretta contro gli attacchi hacker di tipo DDoS e ransomware, specialmente in seguito all’inizio dei conflitti in Ucraina e Medio Oriente. Vista l’obsolescenza della legislazione attuale, datata circa 20 anni fa, sono necessari il ricalcolo delle sanzioni, il coordinamento tra gli enti coinvolti dopo un attacco e la diffusione della consapevolezza sulla gravità della situazione, evitando ritardi e negligenze.
– Il Ddl estende l’obbligo di dotarsi di sistemi di cybersicurezza ai comuni con più di 100.000 abitanti, le ASL e i capoluoghi di regione. In caso di attacco, gli enti devono notificare immediatamente ad ACN per avviare la risposta. Il mancato rispetto della notifica comporta un richiamo, seguito da sanzioni pecuniarie da 25.000 a 125.000 euro. Inoltre, il responsabile della sicurezza cyber è soggetto a responsabilità disciplinare e amministrativo-contabile.
– Vengono stabilite norme per regolare i rapporti tra ACN, intelligence, Polizia Giudiziaria e autorità giudiziaria. Si fa riferimento ad un attacco alle sale operatorie di un ospedale come esempio, dove bisogna decidere se mantenere la scena del crimine intatta o ripristinare la funzionalità.
– Si prevede che ogni ente della Pubblica Amministrazione debba avere un ufficio di cybersicurezza.
– Viene introdotto un periodo di “raffreddamento” di 2 anni per i tecnici esperti di cybersicurezza che lasciano il servizio nella PA per passare al settore privato.
– Si applicano regole specifiche negli appalti con forniture cyber.
– Si aumentano le sanzioni.
– Si promuovono misure premiali per chi contribuisce al ripristino dell’ordine cibernetico.
– Si modificano aspetti procedurali penali: i reati cyber sono trattati come quelli della criminalità organizzata, consentendo l’uso di strumenti investigativi più specifici e coordinati.
In conclusione, il progetto di legge sulla sicurezza informatica, attualmente in esame presso il Consiglio dei ministri, rispecchia la crescente inquietudine per la diffusione del crimine informatico. Le nuove restrizioni e le sanzioni più severe per gli abusi informatici da parte di pubblici ufficiali e fornitori di software dannosi mirano a rafforzare la protezione dei sistemi informatici e a scoraggiare potenziali violatori.
L’obbligo di segnalare entro 24 ore gli incidenti informatici da parte delle pubbliche amministrazioni e le sanzioni in caso di ritardi mostrano la determinazione nel fronteggiare prontamente e con efficacia le minacce digitali. La collaborazione con l’Agenzia per la sicurezza informatica nazionale, unitamente alle ispezioni e alle multe previste, dimostra un impegno concreto nel garantire la conformità e la sicurezza nelle istituzioni pubbliche.
Questa iniziativa legislativa si adatta all’evolversi del crimine informatico, soprattutto considerando l’aumento delle minacce grazie alla crescente utilizzazione delle intelligenze artificiali. Riconoscere la necessità di adattare le leggi per affrontare queste sfide emergenti è un passo essenziale nella protezione delle infrastrutture digitali e nella difesa contro le sempre più sofisticate tattiche dei cattivi attori nel mondo virtuale.
Va sottolineato che, nonostante se ne stia parlando moltissimo negli ultimi anni, non sono inclusi accenni all’intelligenza artificiale, in quanto ci si aspetta ulteriori dettagli con l’emanazione del regolamento europeo relativo a questo settore.