Cybersicurezza e reati informatici: la legge pubblicata in Gazzetta Ufficiale

Pubblicata in GU n. 153 del 02.07.2024, la Legge del 28.06.2024 n. 90, in vigore dal 3 luglio 2024, che introduce una serie di disposizioni per il rafforzamento della cybersicurezza nazionale e la prevenzione dei reati informatici, al fine di migliorare la resilienza delle infrastrutture pubbliche e private italiane, nonché a coordinare meglio le risposte agli incidenti cibernetici. 

In breve sintesi alcune delle misure previste.

Capo I: rafforzamento della cybersicurezza nazionale

Il Capo I reca disposizioni concernenti la cybersicurezza nazionale finalizzate a conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche.

Obblighi di notifica di incidenti

Viene previsto un obbligo di segnalazione e notifica di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici in carico ai seguenti soggetti:

• pubbliche amministrazioni centrali incluse nell’elenco annuale ISTAT delle pubbliche amministrazioni;
• regioni e province autonome di Trento e di Bolzano; 
• città metropolitane;
• comuni con popolazione superiore a 100.000 abitanti e comunque i comuni capoluoghi di regione;
• società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti;
• società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane;
• aziende sanitarie locali;
• società in house degli enti fin qui richiamati che siano fornitrici di servizi informatici, dei servizi di trasporto sopra indicati, dei servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali ovvero servizi di gestione dei rifiuti.

Nucleo per la Cybersicurezza
Viene previsto un Nucleo per la cybersicurezza con la possibilità di convocare rappresentanti di enti rilevanti, come la Direzione nazionale antimafia, la Banca d'Italia e altri, per affrontare questioni di particolare rilevanza.

Coordinamento Operativo
Viene rafforzato il coordinamento tra i servizi di informazione per la sicurezza e l'Agenzia per la cybersicurezza nazionale, permettendo interventi tempestivi in caso di incidenti informatici significativi.

Misure di Sicurezza dei Dati
Le strutture competenti devono verificare che i programmi e le applicazioni informatiche rispettino le linee guida sulla crittografia e non presentino vulnerabilità note.

Funzioni dell’Agenzia per la Cybersicurezza Nazionale
L'Agenzia assume il ruolo di Autorità nazionale per la cybersicurezza, coordinando soggetti pubblici e privati per assicurare la sicurezza e la resilienza cibernetiche a livello nazionale.

Capo II: prevenzione e contrasto dei reati informatici

Il Capo II reca "Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche di dati in uso presso gli uffici giudiziari".

In particolare, si segnalano numerose modifiche al codice penale volte a rafforzare le previsioni in materia di prevenzione e contrasto dei reati informatici, da un lato, prevedendo inasprimenti di pene o ulteriori circostanze aggravanti rispetto alle fattispecie di reati informatici previste a legislazione vigente e, dall'altro, introducendo nuove fattispecie delittuose quali, ad esempio, l'estorsione mediante reati informatici di cui al novellato articolo 629 c.p.. 

Al fine di rafforzare gli strumenti di contrasto dei reati informatici, viene prevista l'estensione del termine ordinario di conclusione delle indagini preliminari qualora i reati informatici siano commessi in danno di sistemi informatici o telematici di interesse militare o comunque di interesse pubblico.

La speciale disciplina delle intercettazioni prevista per i fatti di criminalità organizzata, viene estesa ai reati informatici rimessi al coordinamento del procuratore nazionale antimafia e antiterrorismo.