Il governo italiano si è impegnato in un deciso rafforzamento dell’impianto di cyber sicurezza nazionale, sulla base di un nuovo disegno di legge sul tema ora in studio alle commissioni riunite Affari Costituzionali e Giustizia della Camera.
Noto come DDL Cybersicurezza, il nuovo disegno di legge mira a contrastare, tra le altre disposizioni, i sempre più frequenti e invasivi attacchi del fenomeno del cybercrime as Service, in costante aumento negli ultimi anni.
Indice degli argomenti
Contrastare il fenomeno del cybercrime as a service
Quest’ultimo, soprattutto attraverso l’uso di ransomware, colpisce le imprese e le organizzazioni statali danneggiandole a livello operativo e finanziario, come evidenziato dall’ultimo rapporto dell’EUROPOL sul tema.
Allo stesso tempo, l’ENISA, nel rapporto annuale del 2023, ha identificato il modello As-a-Service come un settore sempre più professionale e accessibile anche per attori meno esperti.
Tali servizi includono strumenti e competenze tramite abbonamenti, consentendo a un’ampia gamma di individui di condurre attacchi informatici. Questo perché i mercati criminali online stanno diventando sempre più sofisticati, a partire dalle insidie che si celano dietro le grafiche dei banner pubblicitari.
Infatti, l’agenzia europea prevede che in futuro ci sarà un aumento dei mercati interconnessi di Crime-as-a-Service, con servizi specializzati in diverse fasi degli attacchi informatici.
La struttura del DDL Cybersicurezza
Il disegno di legge, composto da 18 articoli, propone modifiche significative sia in termini sostanziali che procedurali riguardanti i reati informatici, comprendendo l’innalzamento delle sanzioni, l’espansione dei criteri relativi al dolo specifico, l’introduzione di circostanze aggravanti e/o l’esclusione delle attenuanti per varie violazioni commesse tramite l’utilizzo di dispositivi informatici.
Tali reati mirano a ottenere vantaggi illeciti a spese di terzi o a violare l’accesso a sistemi informatici e/o a intercettare/interrompere comunicazioni telematiche.
Le sanzioni per i crimini informatici
Tra le sanzioni previste nella proposta normativa del Consiglio dei Ministri, vi è ad esempio, l’accesso non autorizzato ai sistemi informatici che potrebbe comportare una condanna fino a 10 anni di reclusione, raddoppiando il precedente limite di 5 anni.
Inoltre, nei casi più gravi, la pena potrebbe essere aumentata fino a 12 anni di reclusione, specie se il responsabile occupa posizioni di particolare rilievo o se i dati ottenuti illegalmente sono di interesse per la sicurezza pubblica o nazionale.
Allo stesso modo, coloro che detengono o distribuiscono programmi dannosi per i sistemi informatici saranno soggetti a una pena fino a 2 anni di reclusione e a una multa che può superare i 10000 euro di importo.
Il disegno di legge prevede l’implicazione del sistema giudiziario in caso di attacchi informatici e stabilisce l’obbligo di notificare gli incidenti per le Pubbliche Amministrazioni centrali, le Regioni, le Province autonome di Trento e Bolzano, i comuni con una popolazione superiore a centomila abitanti, nonché i comuni capoluoghi di regione.
Obbligo di notifica gli incidenti per le PA
Tale obbligo si estende anche alle società di trasporto pubblico urbano con una utenza non inferiore a centomila abitanti e alle aziende sanitarie locali. A tali enti è richiesto non solo di designare un referente per la cyber sicurezza, bensì qualora l’obbligo di notifica di un attacco non fosse rispettato, la violazione attiverà una segnalazione da parte dell’Agenzia per la Cybersicurezza Nazionale (ACN), con la possibilità di ispezioni nell’anno successivo al rilevamento del ritardo o dell’omissione.
Maggiori responsabilità per l’ACN
Tale monitoraggio messo in moto mirerà a verificare l’effettiva attuazione di interventi per rafforzare la resilienza delle organizzazioni coinvolte.
Nei casi di ritardo nella notifica degli incidenti, l’ACN non solo sarà autorizzata ad avviare il monitoraggio e condurre ispezioni, ma se le mancate segnalazioni persisteranno sarà anche nelle sue facoltà applicare sanzioni pecuniarie nell’intervallo compreso tra 25.000 e 125.000 euro.
Il decreto dispone, inoltre, che tali sanzioni amministrative saranno anche comminate a quegli enti che, in caso di mancata o ritardata adozione di misure correttive da parte dell’ACN, non adottano entro quindici giorni le soluzioni proposte dall’Agenzia riguardo eventuali segnalazioni di vulnerabilità.
In situazioni di particolare rilevanza, potrà essere convocato anche il Nucleo per la Cybersicurezza, partecipato dai rappresentanti della Procura nazionale antimafia e antiterrorismo, dalla Banca d’Italia o di altri operatori previsti dal decreto-legge “perimetro” del 21 settembre 2019, oltre ad altri soggetti interessati alle stesse problematiche.
Intelligenza artificiale sorvegliata speciale
Tra gli elementi sottolineati dal DDL vi è inoltre uno specifico riferimento all’intelligenza artificiale, per la quale l’Agenzia Nazionale per la Cybersicurezza avrà un ruolo cardine nella promozione di attività di collaborazione tra entri pubblici e privati.
In questo senso vi è un’armonizzazione con la recente approvazione da parte del parlamento europeo dell’AI Act, che prevede l’istituzione da parte degli Stati membri di spazi di sperimentazione normativa e meccanismi di prova in condizioni reali, noti come “sandbox”.
Questi spazi consentiranno alle piccole e medie imprese (PMI) e alle startup di sviluppare e testare sistemi di intelligenza artificiale (IA) innovativi prima di metterli sul mercato.
Il nuovo regolamento mira a vietare alcune applicazioni IA che minacciano i diritti dei cittadini, includendo sistemi di categorizzazione biometrica basati su caratteristiche sensibili, l’uso indiscriminato di immagini facciali e il riconoscimento delle emozioni sul luogo di lavoro e nelle scuole.
Allo stesso tempo, saranno vietati anche sistemi come il credito sociale e la polizia predittiva basata sulla profilazione.
Per questioni di sicurezza pubblica, le forze dell’ordine potranno utilizzare l’identificazione biometrica solo in circostanze specifiche e con rigorose garanzie, come autorizzazioni giudiziarie o amministrative.
Inoltre, i dispositivi basati sull’IA dovranno rispettare requisiti di trasparenza e norme sul diritto d’autore durante l’addestramento dei modelli e i sistemi di IA ad alto rischio saranno sottoposti ad obblighi chiari quali la valutazione dei rischi e la supervisione umana.
Una particolare specifica viene emanata per ideepfake che dovranno essere esplicitamente etichettati in modo tale da renderli così riconoscibili. Il regolamento deve ancora essere adottato definitivamente e dovrebbe entrare in vigore gradualmente nei prossimi anni, con divieti immediati su alcune pratiche e obblighi più ampi che entreranno in vigore entro 36 mesi.
DDL Cybersicurezza e Cyber Resilience Act
L’azione del governo si inserisce in una più grande attività legislativa europea volta ad assicurare un maggiore livello e coordinamento nell’unione sul tema della cyber security.
Recentemente, infatti, è stato approvato da parte del parlamento europeo il Cyber Resilience Act (CRA), una legislazione progettata per proteggere i consumatori e le imprese che utilizzano prodotti o software con componenti digitali.
L’obiettivo principale è eliminare le lacune nella sicurezza mediante l’implementazione di requisiti obbligatori di sicurezza informatica per i produttori e i rivenditori, estendendo tale protezione lungo l’intero ciclo di vita del prodotto.
La nuova legge stabilisce regole uniformi per il mercato, definisce requisiti di sicurezza per la progettazione, lo sviluppo e la manutenzione degli asset e richiede una responsabilità continua per la sicurezza durante l’intero ciclo di vita del prodotto.
In questo senso, per quelli a più alta criticità, verranno stilate due liste da parte della commissione sulla base dell’importanza dei dispositivi e sul grado di rischio informatico che presentano.
Successivamente, i prodotti conformi alla nuova normativa, che sono in grado di connettersi a dispositivi o reti, saranno identificati dal marchio CE che definirà il nuovo standard di cyber sicurezza.
Il Cyber Resilience Act si aggiunge ad altre normative sulla sicurezza informatica e dovrebbe entrare in vigore nel 2024, con un periodo di 36 mesi per i produttori per adeguarsi alla nuova normativa in vigore.
Conclusioni
L’attività di promulgazione nazionale in ambito di cyber sicurezza fa dunque parte di un più ampio sforzo legislativo comunitario volto a contrastare le crescenti minacce nel settore e prevenire ulteriori escalation mettendo dei riferimenti chiari e comuni all’interno dell’Unione Europea.
