DISCUSSIONE IN CONSIGLIO DEI MINISTRI SUL DDL CYBERSICUREZZA
Sul tavolo del Consiglio dei ministri oggi, 25 gennaio, finirà la bozza del disegno di legge in materia di cybersicurezza. Il ddl prevede un inasprimento delle pene e delle sanzioni per chi si macchia di reati informatici, oltre all’introduzione dell’obbligo di notifica degli incidenti informatici da parte della Pubblica Amministrazione, e pene per chi “detiene” malware.
LE PA DEVONO FAR SAPERE SE SONO STATE ATTACCATE
Tante le modifiche applicate al codice penale, tra cui quella all’articolo 615-quater riferito alla detenzione e alla diffusione abusiva di codici di accesso ai sistemi informatici o telematici.
Al momento la norma prevede che si applichi se dalla condotta se ne trae un profitto per sé o per altri, con la modifica del ddl allo studio il profitto verrebbe modificato in “vantaggio”.
Per quanto riguarda l’articolo 615-ter, la pena per la reclusione prevista per alcuni reati informatici passa da 1 a 5 anni a “da 2 a 10 anni”.
OBBLIGO DI SEGNALAZIONE PER LE PUBBLICHE AMMINISTRAZIONI
La bozza introduce anche l’obbligo per le Pubbliche Amministrazioni di segnalare gli incidenti informatici entro 24 ore dal momento in cui ne sono venute a conoscenza.
In caso di inosservanza, la reiterazione della mancata segnalazione comporterà un’ispezione gestita dall’Agenzia per la cybersicurezza nazionale. Un’ulteriore inosservanza può condurre a sanzioni fino a 125.000 euro e una responsabilità disciplinare per i dipendenti coinvolti delle PA.
NON È SUFFICIENTE AVERE MALWARE PER ESSERE SANZIONATI O IMPRIGIONATI
In rete si è parlato anche della norma del ddl che prevede fino a 2 anni di reclusione e sanzioni fino a 10.329 euro per chi detiene o fornisce programmi per danneggiare sistemi informatici; il che ha messo in allarme le società indipendenti di ricerca e gli analisti che si occupano di cybersicurezza che devono “detenere” programmi di questo tipo per poterli studiare.
Il ddl però dice una cosa diversa riguardo all’introduzione dell’art 635-quater.1. nel codice penale: “Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l’interruzione, totale o parziale, o l’alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329”.
Non è quindi sufficiente detenere o fornire “malware”, ma deve essere fatto con lo scopo di danneggiare un sistema informatico.
CONCLUSIONE
Come detto, si tratta di uno schema di disegno di legge che per il momento è sul tavolo del Consiglio dei ministri, dunque le modifiche e l’introduzione di nuove norme sui reati informatici contenute in esso non saranno immediatamente in vigore. Sono previsti ancora diversi passaggi politici e burocratici prima che eventuali modifiche diventino legge. Resta comunque un tema di grande attualità e rilevanza, considerando l’importanza sempre crescente della Sicurezza informatica nella società moderna.