Il 2 luglio 2024 è stata pubblicata in G.U., Serie Generale n. 153, la Legge 28 giugno 2024 n. 90, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” (c.d. Ddl Cyber).
Nata da un’iniziativa governativa, essa è entrata in vigore il 17 luglio scorso e rappresenta un passo decisivo verso il rafforzamento della sicurezza nazionale italiana in ambito cibernetico, essendo soprattutto incentrata sulla protezione delle infrastrutture critiche e (in senso lato, quindi) delle informazioni sensibili del Paese.
Il Governo italiano, spinto dall’esigenza di rafforzare la legislazione nazionale in materia di cybersecurity, consolidare le difese digitali italiane e predisporre un solido quadro per la sicurezza nazionale intesa in senso olistico, aveva presentato il disegno di legge C. 1717, composto da 24 articoli – tra cui alcune modifiche al Codice penale e al Codice di procedura penale –, in risposta alle considerevoli sfide poste dal cyberspazio e al fine di contrastare i sempre più frequenti ed elaborati attacchi informatici.
In questa sede preme evidenziare le importanti modifiche introdotte in materia di reati informatici e sanzioni, confini più ampi per dolo specifico e inclusione di circostanze aggravanti e/o il divieto di circostanze attenuanti per diversi reati commessi attraverso l’uso di apparecchiature informatiche.
In primo luogo, di particolare importanza sono le modifiche al Codice penale, che hanno riguardato:
- l’art. 615-ter, “Accesso abusivo ad un sistema informatico o telematico”;
- l’art. 615-quater, “Detenzione, diffusione e installazione abusiva di apparecchiature, codici ed altri mezzi idonei all’accesso a sistemi informatici o telematici”;
- l’art. 615-quinquies, “Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico”;
- l’art. 617-quater, “Intercettazione, impedimento illecito o interruzione di comunicazioni informatiche o telematiche”;
- l’art. 617-quinquies, “Detenzione, diffusione e installazione non autorizzata di apparecchiature e di altri mezzi idonei ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche”;
- l’art. 635-bis, “Danneggiamento di informazioni, dati e programmi informatici”;
- l’art. 635-ter, “Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità”;
- l’art. 635-quater, “Danneggiamento di sistemi informatici o telematici”.
Rileva, inoltre, l’introduzione di significativi aumenti di pena per reati come l’accesso abusivo a sistema informatico – sanzionato con reclusione da 2 a 10 anni qualora il fatto sia commesso da un pubblico ufficiale – e il danneggiamento di informazioni, dati e programmi informatici – per cui è prevista la reclusione da 2 a 6 anni.
In tale contesto, si evidenzia l’importanza dell’introduzione del terzo comma all’art. 629 c.p. (estorsione), che introduce la c.d. “estorsione informatica”. Questo prevede che «Chiunque, mediante le condotte di cui agli artt. 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell’articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità». Così, il Legislatore ha previsto un’autonoma fattispecie di reato per gli attacchi c.d. ransomware, ossia per quelle condotte volte a cifrare illecitamente i dati di terzi e a chiedere il pagamento di una somma per la decifratura degli stessi.
In secondo luogo, risultano centrali le modifiche al codice di procedura penale di cui all’art. 17 del Ddl Cyber, finalizzate a recepire gli interventi in materia di prevenzione e contrasto dei reati informatici introdotte dall’art. 16. Nello specifico, si prevedono: l’attribuzione della competenza sulle indagini alla procura distrettuale, la deroga al regime ordinario per la proroga delle indagini preliminari, termini di durata massima delle indagini preliminari pari a 2 anni, l’estensione della disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici rimessi al coordinamento del procuratore nazionale antimafia e antiterrorismo.
Da ultimo, di fondamentale importanza è il riconoscimento di maggiori poteri all’Agenzia per la sicurezza informatica nazionale (ACN), al fine di rafforzarne le funzioni e intensificare la collaborazione con le Autorità giudiziarie per poter intervenire più rapidamente in caso di attacchi informatici. L’Agenzia si occuperà, infatti, della raccolta, elaborazione e classificazione dei dati relativi alle notifiche di incidenti di sicurezza informatica: questi saranno inclusi nella sua relazione annuale, la quale fornirà una panoramica ufficiale degli attacchi informatici subiti dai settori cruciali per gli interessi nazionali nel campo della cybersecurity.
Viene, inoltre, riconosciuta all’Agenzia la facoltà di segnalare, ad una serie di soggetti pubblici o che forniscono servizi pubblici, specifiche vulnerabilità cui essi risultano potenzialmente esposti e viene definito il rapporto tra l’ACN, il procuratore nazionale Antimafia e Antiterrorismo, la Polizia Giudiziaria e il pubblico ministero, garantendo una collaborazione efficace per la sicurezza nazionale. Quest’ultima previsione rende il nostro ordinamento all’avanguardia nelle indagini sulle cc.dd. “cybermafie” e sul “cyberterrorismo”.
L’art. 10 del Ddl Cyber, infine, istituisce il Centro Nazionale di Crittografia presso l’Agenzia per la Cybersicurezza Nazionale e promuove l’utilizzo della crittografia come strumento fondamentale di difesa cibernetica.
Ora, la parola alle istruzioni applicative delle Autorità di settore, confidando che il quadro non si complichi.
