L’Assemblea del Senato ha approvato, in via definitiva, il provvedimento che introdurre disposizioni relative al rafforzamento della sicurezza cibernetica nazionale e ai reati della rete.

Il testo del Provvedimento si compone di 24 articoli, suddivisi in due capi. L’Assemblea ha accolto quattro ordini del giorno, che di seguito riportiamo fonte Senato della Repubblica:

• ATTACCHI RANSOMWARE: premesso che occorre definire con urgenza una strategia nazionale per il contrasto agli attacchi informatici di tipo ransomware che preveda:

            a) che l'attacco ransomware condotto contro, e che generi effetti sui soggetti pubblici e privati debba essere qualificato giuridicamente, indipendentemente dal soggetto agente, come un incidente o una compromissione che comporta un pregiudizio per la sicurezza nazionale, così come definiti rispettivamente nell'articolo 1, comma 1, lettere h), g) e f), del decreto del Presidente del consiglio dei ministri 30 luglio 2020, n. 131;

            b) che l'attacco ransomware condotto contro, e che generi effetti sui soggetti pubblici e privati non ricompresi nella lettera a), debba essere qualificato giuridicamente, indipendentemente dal soggetto agente, come una condotta con finalità di terrorismo ai sensi dell'articolo 270-sexies del codice penale;

            c) che vanno applicate le misure di intelligence di contrasto in ambito cibernetico previste dall'articolo 7-ter al decreto-legge del 30 ottobre 2015, n. 174 e dai suoi decreti attuativi alla fattispecie di cui alla lettera a);

            d) che vanno applicato tutti i poteri e le garanzie investigative per le Forze dell'Ordine già previste nel nostro ordinamento per il contrato alle condotte con finalità di terrorismo alle fattispecie di cui alla lettera b); 

            e) un obbligo di informazione ai soggetti di cui alle precedenti lettere a) e b), dell'attacco ransomware subito, entro 24 ore dal momento in cui ne sono venuti a conoscenza, sia l'Agenzia per la Cybersicurezza Nazionale, che l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, pena una sanzione amministrativa commisurata alla violazione, e fermi restando gli obblighi di cui all'articolo 3 del decreto del Presidente del consiglio dei ministri 14 aprile 2021, n. 81;

            f) un obbligo per l'Agenzia per la Cybersicurezza Nazionale di porre in essere un framework di supporto per i soggetti di cui alle lettere a) e b) sul tema degli attacchi ransomware, che si basi almeno sulle seguenti azioni: (1) verifica preliminare della potenziale esposizione di tali soggetti a questo genere di attacchi informatici, (2) predisposizione di azioni obbligatorie in materia di igiene e resilienza cibernetica per tali soggetti al fine di provare ad evitare o comunque diminuire gli effetti di questo genere di attacchi informatici, (3) pianificazione e predisposizione di azioni di supporto per tali soggetti durante la gestione delle situazioni di crisi cibernetica derivanti da questo genere di attacchi informatici, (4) pianificazione e predisposizione per tali soggetti di azioni di supporto per il recupero dell'operatività e/o di contenimento degli effetti negativi in conseguenza di questo genere di attacchi informatici;

            g) incentivi sul piano finanziario all'Agenzia per la Cybersicurezza Nazionale per la realizzazione delle attività di cui alla lettera f);

             i) l'istituzione di una task-force nazionale per il contrasto agli attacchi ransomware, collocata nel Nucleo per la Cybersicurezza (NCS), che svolga il ruolo (1) di coordinamento delle attività di cui alle lettere c) e d); (2) di attuazione di quanto previsto alla lettera f); (3) di punto di riferimento per i soggetti colpiti durante la gestione delle emergenze ransomware e (4) di struttura per la condivisione delle informazioni sugli attacchi;

            l) la creazione di un Fondo nazionale di risposta agli attacchi ransomware per supportare eventuali aziende nel recupero dagli effetti dell'attacco e disincentivare così il pagamento del riscatto;

            m) un ingaggio delle compagnie assicurative e riassicurative al fine di sensibilizzarle verso l'inopportunità di coprire a livello assicurativo il pagamento di un riscatto a seguito di un attacco ransomware; impegna il Governo a definire con urgenza una strategia nazionale per il contrasto agli attacchi informatici di tipo ransomware assicurando la propria presenza in tutti i tavoli europei e internazionali dove si discuta a livello istituzionale dei temi legati ai ransomware, al fine di contribuire efficacemente alla creazione e all'allineamento delle politiche comuni degli Stati membri.

• REATI INFORMATICI E NON PUNIBILITA': premesso che il disegno di legge in esame reca importanti disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici; in particolare, l'articolo 16 reca modifiche al codice penale in materia di prevenzione e contrasto dei reati informatici ampliando l'ambito di applicazione di alcune fattispecie disciplinate dal codice e penale e inasprendo il trattamento sanzionatorio previsto con riferimento ai reati informatici o perpetrati con mezzi informatici; impegna il Governo a valutare l'opportunità di introdurre ipotesi di non punibilità per chi ha commesso il fatto di reato informatico in quanto costretto dalla necessità di difendere un diritto proprio od altrui contro il pericolo attuale di una offesa ingiusta, qualora il mezzo idoneo utilizzato al fine di difendere sia quello informatico.
• REATI INFORMATICI:premesso che l'articolo 16 del decreto legge in fase di conversione reca modifiche al codice penale in materia di prevenzione e contrasto dei reati informatici; il comma 1, lett. s), del suddetto articolo prevede l'inserimento nel codice penale dell'art. 639-ter in materia di circostanze attenuanti per i delitti di cui agli artt. del codice penale 629, terzo comma (Estorsione mediante reati informatici), 635-ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità), 635-quater.1 (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) e 635-quinquies, come modificato alla lett. q) (Danneggiamento di sistemi informatici o telematici di pubblico interesse);    oltre alle circostanze attenuanti introdotte appare necessario prevedere l'applicazione della scriminante della legittima difesa laddove il soggetto che pone in essere le condotte descritte stia agendo nell'esclusivo interesse a difendere la propria incolumità; impegna il Governo a valutare l'opportunità di stabilire che per i reati che includono l'accesso abusivo a sistemi informatici, la detenzione e diffusione abusiva di codici di accesso, la diffusione di malware, e il danneggiamento informatico, si applichi la scriminante della legittima difesa
• COLLABORAZIONE PA CON RESPONSABILI CYBERISCUREZZA: premesso che l'articolo 8 istituisce  per le pubbliche amministrazioni, dove non sia già presente, la struttura preposta alle attività di cybersicurezza;il provvedimento in esame predispone l'istituzione del referente per la cybersicurezza, unico punto di contatto delle amministrazioni coinvolte con l'Agenzia per la cybersicurezza nazionale; il suddetto referente viene individuato in ragione di specifiche professionalità e competenze possedute in materia nel caso in cui all'interno dei soggetti di cui all'articolo 1, comma 1, del decreto in fase di conversione:  nel caso in cui  non vi siano dipendenti con tali requisiti potrà essere incaricato il dipendente di un'altra pubblica amministrazione previa autorizzazione da parte dell'amministrazione di appartenenza ai sensi dell'art. 53 del decreto legislativo n. 165 del 2001 e nell'ambito delle risorse disponibili a legislazione vigente senza determinare nuovi o maggiori oneri per la finanza pubblica; tale disposizione appare incompleta nella parte in cui non prende in considerazione le figure del responsabile per la transizione digitale e della protezione dei dati, figure che come noto assolvono a compiti fondamentali per garantire e tutelare principi che vasta eco trovano sia a livello europeo che a livello nazionale; impegna il Governo a specificare che le pubbliche amministrazioni centrali, sul piano della cybersicurezza, debbano adottare modelli organizzativi che prevedano il coinvolgimento e la collaborazione costanti e diretti del Responsabile per la transizione digitale e il Responsabile della protezione dei dati.

Resoconto e OdG: 1,2,3,4