Lo scorso 19 giugno 2024 il Senato ha approvato in via definitiva il disegno di legge contenente "Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici"(DDL Cybersicurezza), sviluppato in risposta alla crescente minaccia rappresentata dagli attacchi informatici che colpiscono sia il settore pubblico che privato, mettendo a rischio i dati sensibili, le infrastrutture critiche e la sicurezza nazionale.
In particolare, il progetto si propone di rafforzare le capacità di cybersecurity nazionale attraverso la creazione di strutture e organismi specializzati, come il Centro di Valutazione e Certificazione Nazionale e l’Agenzia per la Cybersicurezza Nazionale, nonché attraverso la collaborazione interistituzionale tra enti governativi, forze dell’ordine e il settore privato.
Altro obiettivo del DDL è quello di potenziare le misure preventive mediante l’introduzione di standard e protocolli di sicurezza obbligatori per le aziende e le istituzioni che gestiscono le infrastrutture critiche, nonché di sensibilizzare i pubblici e i privati dipendenti con iniziative di formazione volte a far acquisire maggiore consapevolezza in tema di minacce informatiche e competenze di base per la difesa contro le stesse.
Per quanto concerne gli interventi del disegno di legge sul codice penale, l’articolo 16 del testo prevede l’introduzione di nuove fattispecie criminose c.d. “informatiche”, come anche l’estensione dell’ambito di operatività di figure di reato già esistenti, per finire con un generale inasprimento del sistema sanzionatorio relativo ai reati informatici, con speciale riguardo a quelli che minacciano la sicurezza nazionale, i dati personali e l’interruzione di servizi essenziali. Interessante, infatti, è la nuova fattispecie aggiunta al comma 3 dell’articolo 629 c.p., riferita all’estorsione commessa mediante la perpetrazione o la minaccia di commissione reati informatici, il cui scopo è evidentemente quello di contrastare il frequente fenomeno dei c.d. “ransomware” e degli attacchi hacker ai danni di imprese private e Pubbliche Amministrazioni, volti ad ottenere dalle vittime il pagamento di cospicui riscatti.
Particolare attenzione il legislatore rivolge altresì verso il rafforzamento delle norme sulla protezione dei dati personali, prevedendo l’introduzione di controlli più rigorosi e sanzioni per le organizzazioni che non rispettano le norme sulla protezione dei dati.
Nondimeno, uno tra gli impatti più rilevanti della novella è sicuramente la sua implicazione sul sistema previsto dal D.lgs. 231/2001 in tema di responsabilità amministrativa degli enti, atteso che l’entrata in vigore delle nuove disposizioni potrebbe portare all’inclusione dei nuovi reati informatici nel novero dei reati presupposto ivi contemplati. Conseguenza inevitabile per le aziende sarà dunque la necessità di aggiornare i modelli di organizzazione, gestione e controllo, al fine di inglobare le nuove disposizioni in materia di cybersecurity e prevenzione dei reati informatici, che comporta anzitutto l’identificazione e la valutazione degli specifici rischi legati al cybercrime, l’implementazione di nuove procedure e controlli interni per prevenirne la verificazione, unitamente allo sviluppo – come sopra ricordato – di programmi di formazione per i dipendenti sulle nuove norme e al rafforzamento delle attività di monitoraggio e audit per assicurare l’efficace attuazione delle misure adottate.
Tutto questo, naturalmente, rafforzerà il ruolo chiave dell’Organismo di Vigilanza, che dovrà monitorare l’adozione e l’efficacia delle misure di cybersecurity, verificare che i modelli di organizzazione, gestione e controllo risultino adeguati e aggiornati rispetto alle nuove normative e segnalare, infine, le eventuali criticità o non conformità agli organi aziendali competenti.
Concludendo, l’introduzione di queste nuove disposizioni rappresenta un notevole avanzamento nel panorama degli strumenti volti a sviluppare e, quindi, migliorare la resilienza delle organizzazioni italiane – pubbliche e private - contro i pericoli informatici, nonché a promuovere una cultura di rafforzamento della sicurezza cibernetica.