Approvato il DDL Cyber

Nella mattina del 19 giugno, il Senato ha approvato, in via definitiva, il disegno di legge in materia di cybersecurity (c.d. DDL Cyber): si aggiunge, così, ad opera del Legislatore italiano, un ulteriore tassello normativo nel complesso mosaico della legislazione in materia di sicurezza delle infrastrutture digitali, il cui impianto va naturalmente ricondotto a direttrici di origine comunitaria.

Il DDL Cyber andrà, infatti, a collocarsi nell’insieme di previsioni, introdotte a livello europeo, improntate a strutturare una cybersicurezza “diffusa” e trasversale, anche attraverso l’introduzione di nuovi e specifici obblighi che dovranno assicurare una maggiore protezione e “resilienza” dei sistemi informatici, sia nel settore pubblico, che nel privato.

Basti, a tal riguardo, pensare alle nuove previsioni introdotte dal Regolamento DORA (Reg. 2022/2554/UE), che richiedono a determinati soggetti del settore privato – specialmente se operanti in un settore “sensibile”, come quello finanziario – numerosi adempimenti per la corretta prevenzione e gestione del rischio informatico. Per altro verso, nella stessa direzione, si muove la tempestiva implementazione della Direttiva NIS 2 (Dir. 2022/2555/UE), per cui il Consiglio dei Ministri ha approvato un apposito decreto legislativo lo scorso 10 giugno¹ del quale si attende la pubblicazione in G.U.

Il testo di Legge approvato il 19 giugno, risponde, più esplicitamente, al primario obbiettivo di inasprire la risposta sanzionatoria nei confronti della criminalità informatica, a maggior ragione se, a vario titolo, è in grado di arrecare danno all’amministrazione pubblica o a taluni settori di rilevanza strategica nazionale. Oltre ad intervenire sulle pene per le fattispecie di reato già esistenti, infatti, il DDL Cyber introduce alcune nuove ipotesi delittuose, oltre a specifiche aggravanti per i casi in cui i reati informatici siano commessi in danno di beni giuridici di rilevanza pubblica, quali la sanità, la sicurezza pubblica o la protezione civile.

Molto sinteticamente, si segnalano, fra le più rilevanti innovazioni:

• l’introduzione della nuova fattispecie di “estorsione informatica”, che punisce le condotte di coartazione della volontà altrui attraverso la commissione o la minaccia di reati informatici, da cui derivano un danno per la vittima ed un ingiusto profitto dell’autore del reato, con sanzioni che arrivano sino ai 22 anni di reclusione, nei casi aggravati;
• l’introduzione di una nuova circostanza aggravante per il reato di truffa, nei casi in cui il fatto sia commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui individuazione;
• l’inasprimento, per la generalità dei reati informatici, dei quadri edittali, con pene innalzate fino a 6 anni per le fattispecie semplici, o fino a 12 anni nei casi di condotte aggravate;
• la previsione di specifiche circostanze aggravanti per i casi in cui:
• il reato è commesso da pubblici ufficiali o incaricati di pubblico servizio con abuso dei poteri o violazione dei doveri, o da chi esercita, anche abusivamente, la professione di investigatore privato o con abuso della qualità di operatore di sistema;
• il reato incide su sistemi informatici di interesse pubblico (ad es., relativi all’ordine o alla sicurezza pubblica, alla sanità o alla protezione civile);
• dal reato deriva la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici;
• il colpevole per commettere il fatto usa minaccia o violenza, o se è palesemente armato.

• l’inasprimento delle conseguenze sanzionatorie anche per l’ente “responsabile” di un reato informatico ai sensi del D.Lgs. 231/2001: per tali soggetti, infatti, la pena pecuniaria è portata ad un massimo di 700 quote; e ancora, in relazione alla fattispecie di “estorsione informatica”, l’ente potrà essere punito con sanzione pecuniaria fino a 800 quote e con l’applicazione di sanzioni interdittive per una durata non inferiore a due anni.

Il DDL Cyber interviene anche attraverso significative misure procedurali, funzionali ad integrare le attività d’indagine. Si rivela importante, da quest’ultima prospettiva, constatare come la disciplina delle intercettazioni previste per i fatti di criminalità organizzata sia stata estesa ai reati informatici, nel coordinamento investigativo affidato al Procuratore Nazionale Antimafia e Antiterrorismo. Vengono, inoltre, disciplinati i rapporti fra gli apparati inquirenti (Procuratore Nazionale Antimafia e Antiterrorismo, la Polizia Giudiziaria e il Pubblico Ministero) e l’Agenzia di cybersicurezza nazionale.

La particolare attenzione rivolta dal Legislatore al contrasto della criminalità informatica ben si comprende se si considerano i dati che accedono al fenomeno: secondo l’Associazione Italiana per la Sicurezza Informatica (CLUSIT), infatti, nel 2023 a livello globale si sono verificati quasi 3 mila incidenti cibernetici – dato in crescita del 11% rispetto al 2022 – e di questi l’81% ha registrato una gravità definita come elevata o critica secondo una scala di valutazione che tiene conto della tipologia e dell’impatto dell’attacco. Rapportando il dato alla nostra realtà nazionale, le informazioni si fanno persino più “inquietanti”: tra il 2022 e il 2023, gli attacchi in Italia sono aumentati del 65%, più della metà di questi (il 56%) è valutato di gravità critica o elevata e, in prospettiva comparata, l’Italia ha subito ben l’11% degli attacchi rilevati a livello globale² .

Il nuovo testo di Legge – delle cui problematiche attuative, da molti evidenziate, non si vuole entrare nel merito in questa sede – deve essere, pertanto, salutato come un argine necessario nei confronti di tensioni criminali che si fanno sempre più pervasive e diffuse, anche in considerazione dell’attuale contesto geopolitico, caratterizzato da una radicale instabilità.

¹Comunicato stampa del Consiglio dei Ministri n. 85
² Cfr. CLUSIT, Rapporto 2024 sulla Sicurezza ICT in Italia, consultabile a: https://clusit.it/rapporto-clusit/