Il Senato, ieri 19 giugno 2024, ha approvato il disegno di legge in materia di rafforzamento della cybersicurezza nazionale e reati informatici, conforme al testo adottato dalla Camera dei Deputati il 15 maggio scorso (DDL cybersicurezza) e di cui si è già discusso in un precedente articolo (premere qui per leggerlo).
Questo disegno di legge, articolato in 24 articoli, prevede interventi significativi sia sul codice penale sia sul codice di procedura penale. In particolare, le modifiche al codice penale includono l’aumento delle pene per reati come l’accesso abusivo a sistemi informatici, con sanzioni più severe se commessi da pubblici ufficiali, e il danneggiamento di informazioni, dati e programmi informatici. Viene inoltre introdotto un nuovo comma all’art. 629 del Codice Penale relativo all’estorsione informatica, che viene richiamato anche nell’art. 24-bis del Decreto Legislativo 231/2001 sulla responsabilità degli enti.
Per quanto concerne le modifiche al codice di procedura penale, l’art. 17 del DDL introduce disposizioni mirate a prevenire e contrastare i reati informatici, attribuendo la competenza delle indagini alla procura distrettuale e stabilendo un regime speciale per la proroga delle indagini preliminari, con una durata massima di due anni. La disciplina delle intercettazioni prevista per i reati di criminalità organizzata viene estesa anche ai reati informatici, permettendo l’autorizzazione all’intercettazione con indizi sufficienti o quando necessaria per le indagini.
Il disegno di legge interviene inoltre sulla responsabilità amministrativa degli enti, modificando il catalogo dei reati presupposto e aumentando le sanzioni previste dall’art. 24-bis del Decreto Legislativo 231/2001. Tra le novità, viene introdotta una sanzione pecuniaria per la nuova fattispecie di estorsione informatica e si modificano le sanzioni per la detenzione e diffusione abusiva di apparecchiature informatiche dirette a danneggiare sistemi informatici.
Il DDL cybersicurezza impone anche l’obbligo di segnalazione e notifica di specifici incidenti informatici a una serie di soggetti, tra cui pubbliche amministrazioni centrali, regioni, province autonome, città metropolitane, comuni con oltre 100.000 abitanti e aziende sanitarie locali. La prima segnalazione deve avvenire entro 24 ore dalla conoscenza dell’incidente, seguita da una notifica completa entro 72 ore, utilizzando le procedure dell’Agenzia per la cybersicurezza nazionale (ACN). L’ACN ha il potere di segnalare vulnerabilità a soggetti pubblici e fornitori di servizi pubblici, imponendo l’adozione di interventi risolutivi entro 15 giorni, con sanzioni amministrative in caso di mancata o ritardata adozione degli stessi.
L’art. 11 del DDL stabilisce le modalità per l’adozione del regolamento che definirà i criteri per l’accertamento e la sanzione delle violazioni in materia di cybersicurezza. Nel frattempo, si applicheranno le disposizioni della legge n. 689/1981 sulle sanzioni amministrative.
Infine, il DDL istituisce per le pubbliche amministrazioni una struttura preposta alle attività di cybersicurezza e un referente specifico per la cybersicurezza, quale unico punto di contatto con l’Agenzia per la cybersicurezza nazionale, individuato in base a specifiche competenze in materia. Questa figura potrà essere identificata nell’ufficio e nel responsabile per la transizione al digitale previsti dall’art. 17 del Codice dell’amministrazione digitale.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Verso una regolamentazione consapevole: analisi del Codice di Buone Pratiche sull’intelligenza artificiale generale - Novembre 15, 2024
- L’armonizzazione degli standard per l’AI Act: verso una conformità normativa sicura e affidabile - Ottobre 31, 2024
- Consultazione della Commissione Europea sull’accesso ai dati delle piattaforme - Ottobre 29, 2024
- Sanzione del Garante Privacy a Postel S.p.A.: prevenzione e corretta segnalazione della violazione in caso di data breach - Ottobre 23, 2024
- Sul valore probatorio delle firme elettroniche nel processo - Ottobre 18, 2024