Con 80 voti favorevoli, 3 contrari e 57 astensioni l’aula del Senato ha approvato ieri il ddl cyber. Dopo l’ok della Camera di un mese fa, il testo diventa ora legge. Le principali misure e le critiche dell’opposizione.
Ieri l’Aula del Senato ha approvato il ddl cyber. I voti favorevoli sono stati 80, 3 i contrari, 57 gli astenuti. Il provvedimento, già licenziato, dalla Camera, diventa legge. Come annunciato in aula poco prima, i gruppi di M5s, Pd, Italia viva e Azione si sono astenuti mentre Avs ha votato contro il provvedimento. Tra le misure introdotte c’è anche l’inasprimento delle pene per i reati informatici e l’obbligo per le amministrazioni di segnalare, entro 24 ore, gli attacchi e di avere un responsabile della cybersicurezza.
“Esprimo apprezzamento e soddisfazione per l’approvazione definitiva del disegno di legge del governo sulla cybersecurity: è un testo che ha trovato arricchimento e positiva integrazione nel percorso parlamentare, grazie anche al contributo emendativo delle opposizioni. Da oggi l’intero sistema della sicurezza nazionale, e in particolare quello cyber, che è diventato il fronte principale di attacchi da parte di soggetti statuali ostili, viene finalmente dotato di strumenti operativi più adeguati a respingerli” ha commentato il sottosegretario Alfredo Mantovano.
“Viene allargato il cosiddetto perimetro dei soggetti tenuti a rafforzare le proprie difese – ha proseguito Mantovano -; è individuata una procedura di allarme e di collaborazione con l’Agenzia per la cybersicurezza per gli interventi riparatori; viene definita la modalità di intervento quando ci sono competenze concorrenti, per esempio di Acn e della polizia giudiziaria; viene rafforzata l’azione contro i cyber crime, con l’individuazione di nuove fattispecie di reato e l’uso di più efficaci strumenti di indagine. Da oggi la responsabilità passa dal Parlamento, che ha meritoriamente licenziato il testo a pochi mesi dal suo varo da parte del Consiglio dei ministri, a tutti i protagonisti del sistema cyber, ciascuno per quanto di propria competenza”.
Ddl cyber: le principali misure
Il testo si snoda in 24 articoli. Queste alcune delle nuove misure introdotte:
Aumenti di pena per reati come l’accesso abusivo
Aumenti di pena per reati come l’accesso abusivo a un sistema informatico (se commesso da un pubblico ufficiale la reclusione va da due a dieci anni); il danneggiamento di informazioni, dati e programmi informatici (reclusione da due a sei anni e, se aggravata, da tre a otto anni). Al codice penale viene aggiunta (articolo 629) una nuova previsione con la disciplina in tema di estorsione realizzata attraverso la «consumazione di reati informatici». Chiunque “costringe taluno a fare o ad omettere qualche cosa, procurando a sè o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonchè nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità”.
Si allarga la composizione del CISR
Del Comitato interministeriale per la sicurezza della Repubblica (CISR) sarà parte anche il ministro delle Imprese e del Made in Italy, il ministro dell’Ambiente e della sicurezza energetica, il ministro dell’Agricoltura, della sovranità alimentare e delle foreste, il ministro delle Infrastrutture e dei trasporti e il ministro dell’Università e della ricerca. Attualmente il CISR è presieduto dal presidente del Consiglio dei ministri e composto dall’Autorità delegata, ove istituita, dal ministro degli Affari esteri, dal ministro dell’Interno, dal ministro della Difesa, dal ministro della Giustizia, dal ministro dell’Economia e delle finanze, dal ministro dello Sviluppo economico e dal ministro della Transizione ecologica.
Il comitato ha funzioni di consulenza, proposta e deliberazione sugli indirizzi e sulle finalità generali della politica dell’informazione per la sicurezza.
Ddl cyber: stretta sull’accesso delle banche dati
Per “garantire un’adeguata tutela e protezione dai rischi di accesso abusivo ai dati contenuti in sistemi informativi delle pubbliche amministrazioni, l’accesso alle banche dati pubbliche da parte di addetti tecnici e degli incaricati del trattamento” si legge, avviene “previo utilizzo di specifici sistemi di autenticazione informatica basati sull’utilizzo combinato di almeno due differenti tecnologie di autenticazione, una delle quali deve essere basata sull’elaborazione di caratteristiche biometriche”. Gli addetti tecnici vanno individuati come “gli operatori tecnici aventi funzioni di amministratori di sistema, di rete o di archivio di dati”. L’accesso alle banche dati pubbliche è consentito «nei soli casi legati a indifferibili interventi relativi a malfunzionamenti, guasti, installazioni hardware e software, aggiornamento e riconfigurazione dei sistemi, che possano determinare la necessità di accesso informatico ai sistemi informatici anche in assenza di due differenti tecnologie di autenticazione o in assenza di autenticazione biometrica per operazioni che comportano la presenza fisica dell’addetto che procede all’intervento in prossimità del sistema di elaborazione”.
Limiti di incarichi per chi è ha lavorato nei Servizi
Coloro che “hanno ricoperto la carica di direttore generale e di vicedirettore generale del Dis e di direttore e di vicedirettore di Aise o di Aisi, ovvero abbiano svolto incarichi dirigenziali di prima fascia di preposizione a strutture organizzative di livello dirigenziale generale non possono, salvo autorizzazione del presidente del Consiglio dei ministri o dell’Autorità Delegata ove istituita, nei tre anni successivi alla cessazione dell’incarico svolgere attività lavorativa, professionale, o consulenziale, ovvero ricoprire cariche presso soggetti esteri, pubblici o privati”.
ACN e raccolta dati
L’Agenzia per la cybersicurezza nazionale (Acn) provvederà alla «raccolta, all’elaborazione e alla classificazione dei dati relativi alle notifiche di incidenti ricevute dai soggetti che a ciò siano tenuti» dalla legge. Dei dati vene data contezza nella relazione sull’attività svolta dall’Agenzia nell’anno precedente «quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza».
Viene istituito per le Pubbliche amministrazioni, “indicate nell’articolo 1, comma 1, ove non sia già presente, la struttura preposta alle attività di cybersicurezza”.
Ddl cyber e Crittografia
L’articolo 10 del ddl stabilisce di valorizzare l’utilizzo della crittografia quale strumento di difesa cibernetica e istituisce il Centro nazionale di crittografia presso l’Agenzia per la Cybersicurezza nazionale.
Intercettazioni e antiterrorismo
Il ddl estende la disciplina delle intercettazioni previste per i fatti di criminalità organizzata ai reati informatici rimessi al coordinamento del procuratore nazionale Antimafia e Antiterrorismo e con l’articolo 21 del testo modifica il procedimento di applicazione delle speciali misure di protezione per i testimoni di giustizia e per gli altri protetti, prevedendo che la Commissione centrale debba chiedere il parere al procuratore nazionale Antimafia e Antiterrorismo sulla proposta di ammissione alle speciali misure. Viene quindi regolato il rapporto tra l’Agenzia di cybersicurezza nazionale, il procuratore nazionale Antimafia e Antiterrorismo, la Polizia giudiziaria e il pubblico ministero.
Le criticità sollevate dall’opposizione
Le opposizioni hanno e continuano a lamentare l’assenza di fondi, argomentando che un provvedimento di questa portata non si può implementare a costo zero. Se da una parte il provvedimento si concentra sull’aumento delle sanzioni amministrative e penali dall’altra, l’aumento delle responsabilità per le pubbliche amministrazioni e altri soggetti privati rischia di rappresentare un problema senza corrispondenti risorse economiche per formazione e acquisizione di competenze in materia cybersicurezza.
“Questo ddl sulla cybersicurezza è l’ennesimo provvedimento bandiera: evidenzia i problemi e qualche possibile soluzione, ma rischia di rimanere solo un elenco di misure” ha detto in Aula, nel suo intervento, il senatore Pd Walter Verini, capogruppo dem della Commissione antimafia, sottolineando come “il governo e la maggioranza hanno deciso di approvare la legge ad invarianza finanziaria”.
Più duro Roberto Scarpinato del M5S, convinto che la legge sia “una scatola vuota” e che “questo modo di legiferare è un metodo da piazzisti della politica”.
