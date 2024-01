Pene fino a 10 anni per gli hacker, multe salate per le pubbliche amministrazioni che non notificano le intrusioni subite nei loro sistemi informatici, collaborazione tra magistratura ed Agenzia per la cybersicurezza nazionale. L’impennata di attacchi cyber (+40% in Italia nel primo semestre 2023 rispetto al 2022, +300% negli ultimi 5 anni secondo i dati del rapporto Clusit) e la vulnerabilità degli apparati di aziende pubbliche e private – non ultimo l’attacco all’Ausl di Modena appunto – spingono il Governo a correre ai ripari con un disegno di legge che sarà oggi sul tavolo del Consiglio dei ministri. Al termine si riunirà il Comitato interministeriale per la cybersicurezza. Tante le incursioni degli hacker nei sistemi italiani negli ultimi mesi, sia di tipo ransomware, con richiesta di riscatto, che di propaganda politica (hacktivismo). Particolarmente attivi gruppi filo-russi come Noname057(16) e Lockbit. Quest’ultimo il mese scorso ha attaccato i server di Westpole, con ricaschi su Pa Digitale, società che fornisce servizi a 1.300 realtà della pubblica amministrazione. Nel mirino anche le Ausl: colpite quelle di Modena a dicembre. Il ddl - "Disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale", 18 articoli - modifica il codice penale aggravando le condanne. In particolare, le pene per i pubblici ufficiali o gli addetti a pubblico servizio che accedono abusivamente ad un sistema informatico, attualmente da 1 a 5 anni di reclusione, passano a 2-10 anni. Giro di vite anche per chi detiene o fornisce programmi per danneggiare sistemi informatici: fino a 2 anni di reclusione e multa da 10.329 euro. Il provvedimento si pone poi l’obiettivo di intervenire su un’altra criticità: non sempre le aziende o le amministrazioni colpite notificano con tempestività gli attacchi subiti: meglio non far sapere per evitare problemi di reputazione, è il ragionamento. Il disegno di legge impone ora alle Pubbliche amministrazioni centrali, le Regioni, i Comuni, Asl e aziende del trasporto pubblico locale a notificare entro 24 ore al massimo da quando ne sono venuti a conoscenza gli incidenti informatici subiti. Nel caso di ritardi, l’Agenzia per la cybersicurezza nazionale potrà inviare ispezioni e, se l’inosservanza si ripete, applicare una multa da 25mila a 125mila euro. Le stesse Pa di prima dovranno inoltre individuare un referente per la cybersicurezza ed una struttura che provvede allo sviluppo delle politiche e procedure di sicurezza delle informazioni. Diverse novità anche per la stessa Agenzia. Il personale addetto al Csirt Italia (il il team di risposta in caso di incidenti informatici), nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. Nei casi in cui l’Agenzia ha notizia di un attacco contro uno dei sistemi informatici "utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità" ne deve informare "senza ritardo" il procuratore nazionale antimafia e antiterrorismo.