Il Consiglio dei ministri ha discusso oggi a Palazzo Chigi lo schema di disegno di legge sulle disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale. Il ddl prevede da una parte l'inasprimento delle sanzioni e delle pene già previste dalla legge attualmente in vigore, dall'altra l'obbligo da parte della Pubblica Amministrazione di segnalare immediatamente gli attacchi.
COSA PREVEDE IL DDL SULLA CYBERSICUREZZA Le pene per i pubblici ufficiali o gli addetti al pubblico servizio che accedono abusivamente ad un sistema informatico passano da 1-5 anni a 2-10 anni di reclusione Chi detiene o fornisce programmi per danneggiare sistemi informatici (malware) rischia fino a 2 anni di reclusione e una sanzione di 10.329 euro Le Pubbliche Amministrazioni devono notificare gli incidenti informatici subiti entro massimo 24 ore da quando ne sono venuti a conoscenza. In caso di ritardi potrà essere prima inviata un'ispezione e, successivamente, comminata una multa compresa tra 25 mila e 125 mila euro
OBIETTIVI aumentare il livello di protezione dei sistemi informatici dissuadere gli hacker far sì che la PA intervenga nel minor tempo possibile in caso di attacco hacker Il rafforzamento delle misure si rende necessario alla luce dei recenti sviluppi della tecnologia, che con l'intelligenza artificiale ha raggiunto livelli inediti ed un grado di (potenziale) pericolosità senza precedenti.
In rete si è acceso il dibattito in modo particolare sulla detenzione di programmi "per danneggiare i sistemi informatici". Il dubbio riguarda cosa si intenda per "detenere o fornire" i programmi malevoli, ma è il Ddl stesso a darne l'interpretazione corretta: chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico, le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici, è punito con la reclusione fino a due anni e con la multa sino a euro 10.329.
In sostanza, chi semplicemente "detiene" un malware - ad esempio per scopi di ricerca - non rischia nulla, piuttosto il disegno di legge mira a colpire coloro che con il malware in loro possesso hanno l'intenzione di arrecare danno ad un sistema informatico.
AGGIORNAMENTO: DDL APPROVATO DAL GOVERNO Lo schema del Ddl sulla cybersicurezza è stato appena approvato dal Consiglio dei ministri. Per brevità riprendiamo per punti quanto riportato durante la conferenza stampa:
-
Si è resa necessaria una stretta sugli attacchi hacker di tipo DDoS e ransomware specie dopo l'avvio dei conflitti in Ucraina e Medio Oriente. L'attuale legislazione risale a circa 20 anni fa, e per questo motivo non può più essere considerata idonea: si rendono pertanto necessari il ricalcolo delle sanzioni, la creazione di un coordinamento tra i vari soggetti chiamati ad intervenire dopo un attacco e la diffusione della consapevolezza della gravità della posta in gioco, evitando ritardi ed omissioni.
-
Il Ddl allarga il perimetro dei soggetti tenuti a dotarsi di sistemi di cybersicurezza ai comuni con più di 100.000 abitanti, le ASL, i capoluoghi di regione. In caso di attacco gli enti devono inviare immediatamente una notifica ad ACN, così da avviare l'iter per rispondere all'attacco. Al primo attacco non notificato tempestivamente si riceve un richiamo, se il richiamo non viene seguito scatta la sanzione pecuniario-amministrativa da 25.000 a 125.000 euro. In più, il responsabile della struttura della gestione della sicurezza cyber è passibile di responsabilità disciplinare ed amministrativo-contabile.
-
Vengono stabilite norme per disciplinare i rapporti tra ACN, intelligence, Polizia Giudiziaria ed autorità giudiziaria. Viene fatto l'esempio di un attacco hacker alle sale operatorie di un ospedale: bisogna prendere la decisione se lasciare inalterata la scena del crimine o permettere alla struttura di tornare a funzionare nel minor tempo possibile.
-
Rafforzamento della Pubblica Amministrazione: ciascun ente deve dotarsi di un ufficio di cybersicurezza.
-
Per evitare che i tecnici esperti di cybersicurezza abbandonino il servizio nella PA per entrare nel mercato privato si prevede un raffreddamento di 2 anni, durante i quali non possono assumere incarichi simili nel settore privato.
-
Osservazione di regole specifiche negli appalti con forniture cyber
-
Innalzamento delle sanzioni
-
Comportamenti di ripensamento da parte dei cybercriminali: misure premiali per chi consente di ripristinare l'ordine cibernetico
- Modifiche di carattere penale procedurale: i reati cyber sono considerati alla stregua di quelli della criminalità organizzata, dunque di possono usare strumenti di indagine più specifici ed efficaci con un coordinamento centralizzato
NOTA: non vi sono riferimenti all'intelligenza artificiale in quanto si attende che venga dettagliato il regolamento europeo in materia
News ripresa da HDblog