A pochi giorni dall’entrata in vigore della L. 90/2024, la nuova legge italiana in materia di cybersicurezza, la comunità internazionale si è già dovuta riconfrontare con l’importanza di garantire la resilienza e la solidità dei sistemi informatici a cui facciamo affidamento quotidiano. Sistemi che, sempre più integralmente, sono alla base dell’erogazione di servizi essenziali, quali, tra gli altri, quelli che afferiscono ai sistemi sanitari [1].
Per quanto il “caso Crowdstrike”(pare) non sia originato da un attacco informatico malevolo, è certamente noto che la criminalità informatica rappresenta una delle principali minacce per la tenuta dei sistemi informatici tanto del settore privato [2], quanto di quello pubblico, in quest’ultimo caso costituendo, peraltro, un pericolo particolarmente insidioso in ragione della delicatezza e della rilevanza strategica dei sistemi informatici in uso alle autorità statali e alla Pubblica Amministrazione.
Indice degli argomenti
Il contesto normativo europeo in materia di cybersicurezza
A fronte di un rischio di tale entità, il legislatore italiano si è recentemente attivato promulgando la Legge 28 giugno 2024, n. 90 recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici“. La nuova norma in materia di cybersecurity, lungi dal disciplinare in maniera organica una materia estremamente complessa quale la sicurezza cibernetica, si inserisce in un articolato quadro di regolamentazioni definite, per larga parte, dall’Unione Europea.
Sulla stessa materia, infatti, l’UE ha definito nel 2022 un “pacchetto” di norme complessivamente finalizzato a garantire “livelli comuni elevati” di sicurezza cibernetica tra i vari Stati membri, avendo particolare riguardo ai settori dotati di una rilevanza strategica o critica.
Il Regolamento DORA e le Direttive CER e NIS 2
In questo senso, si muovono il Regolamento c.d. DORA (Digital Operational Resilience Act, Reg. 2022/2554/UE), che stabilisce un framework vincolante per la gestione dei rischi connessi alle tecnologie di informazione e comunicazione nel settore finanziario, nonché la Direttiva c.d. CER (Critical Entities Resilience, Dir. 2022/2557/UE), che si propone di ridurre la vulnerabilità e rafforzare la resilienza di soggetti critici e si rivolge, quindi, ai soggetti operanti nei settori dei servizi essenziali per l’economia e la società, come quello energetico o sanitario – includendosi, in quest’ultima categoria, i prestatori di assistenza sanitaria, ma anche i produttori di articoli farmaceutici di base e di dispositivi medici critici, nonché le infrastrutture di ricerca e sviluppo di medicinali.
Da ultimo, anche la Direttiva NIS 2 (Dir. 2022/2555/UE), dedicata alla definizione di misure per un livello comune elevato di cibersicurezza nell’Unione, identifica i propri destinatari negli enti appartenenti a settori definiti “ad alta criticità” o, comunque, “critici“, quali quello dell’energia, dei trasporti e della sanità, ma anche dei servizi postali e della produzione di prodotti chimici e di alimenti.
Oltre alla rilevanza prioritaria assegnata ai settori centrali per la tenuta socio-economica della comunità europea, un ulteriore elemento connotativo delle normative unionali in materia di cybersicurezza è dato da un approccio prevenzionistico e orientato, appunto, alla resilienza: in questo senso, viene rimessa agli enti pubblici e privati l’implementazione di misure coordinate di prevenzione e gestione del rischio, nonché volte a garantire tempestività nella segnalazione e risoluzione di eventuali incidenti.
DDL Cyber: la L. 90/2024 e la reazione (anche) punitiva del legislatore italiano
Il testo di Legge del 19 giugno, di conio esclusivamente italiano, risponde, più esplicitamente, al primario obbiettivo di inasprire la risposta sanzionatoria nei confronti della criminalità informatica, a maggior ragione se, a vario titolo, è in grado di arrecare danno all’amministrazione pubblica o a taluni settori di rilevanza strategica nazionale. Oltre ad intervenire sulle pene per le fattispecie di reato già esistenti, infatti, il DDL Cyber introduce alcune nuove ipotesi delittuose, oltre a specifiche aggravanti per i casi in cui i reati informatici siano commessi in danno di beni giuridici di rilevanza pubblica, quali la sanità, la sicurezza pubblica o la protezione civile.
La riforma ha, infatti, approntato un sensibile innalzamento delle cornici sanzionatorie per le fattispecie di reati informatici, in alcuni casi arrivando addirittura a raddoppiare le soglie edittali, come nel caso del danneggiamento di informazioni, dati e programmi informatici punito dall’art. 635-bis c.p., nella versione attualmente vigente, con la reclusione da 2 a 6 anni.
Un significativo aumento delle pene è poi ravvisabile nei casi delle fattispecie circostanziate.
Il legislatore, in questo caso, ha inasprito i quadri sanzionatori per i casi in cui il reato informatico sia tale da incidere sull’operatività e il funzionamento delle pubbliche amministrazioni e dei soggetti operanti in settori di interesse pubblico, quali l’ambito militare, l’ordine e la sicurezza pubblica, la sanità e la protezione civile. In questo senso, quando l’accesso abusivo a sistemi informatici o telematici dovesse riguardare le infrastrutture in uso in taluno di questi settori, la pena applicabile potrà arrivare fino a un massimo di 10 o 12 anni di reclusione. Con analogo intento di tutela della funzione pubblica nel complesso, si prevede l’applicabilità in relazione a diversi reati informatici di una specifica aggravante per i casi in cui il reato sia commesso dal pubblico ufficiale o dall’incaricato di pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o il servizio, nonché da chi esercita, anche abusivamente, la professione di investigatore privato.
Ulteriori aggravamenti sanzionatori sono, altresì, previsti laddove dal reato derivi la distruzione, il deterioramento, la cancellazione, l’alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici.
DDL Cyber: ransomware, phishing, smishing e vishing
La L. 90/2024 ha, inoltre, introdotto la nuova fattispecie di c.d. “estorsione informatica“, volta a punire le condotte di coartazione della volontà altrui, per l’ottenimento di profitti illeciti, attraverso la commissione o la minaccia di reati informatici. Rientra in questa casistica una delle condotte più ricorrenti della criminalità informatica, il c.d. ransomware, ossia la sottrazione di dati informatici con richiesta di pagamento di un “riscatto”. Nella sua forma semplice, l’estorsione informatica è punita fino a 12 anni, ma può arrivare a comportare pene fino a 22 anni di reclusione se concorrono altre circostanze aggravanti.
Nel medesimo intento di intercettare e punire le condotte informatiche criminali più diffuse, deve leggersi l’introduzione anche di una nuova fattispecie di truffa, volta a punire i casi in cui tale reato sia commesso a distanza e attraverso strumenti informatici idonei ad ostacolare l’individuazione del criminale, come nei casi di phishing, smishing o vishing.
Le sanzioni previste dal DDL Cyber per l’ente ritenuto responsabile
Il DDL Cyber è intervenuto anche inasprendo le sanzioni per l’ente ritenuto “responsabile” di un delitto informatico ai sensi della normativa in materia di responsabilità amministrativa derivante da reato, il D.Lgs. 231/2001: per tali enti, infatti, la pena pecuniaria è portata ad un massimo di 700 quote; e ancora, in relazione alla fattispecie di “estorsione informatica”, l’ente potrà essere punito con sanzione pecuniaria fino a 800 quote e con l’applicazione di sanzioni interdittive per una durata non inferiore a 2 anni.
Il nuovo testo di Legge – delle cui problematiche attuative, da molti evidenziate, non si vuole entrare nel merito in questa sede – deve essere, comunque, salutato come un argine necessario nei confronti di tensioni criminali che si fanno sempre più pervasive e diffuse, anche in considerazione dell’attuale contesto geopolitico, caratterizzato da una radicale instabilità.
Note
[1] Sull’impatto del “bluescreen” globale causato dall’aggiornamento Crowdstrike sui sistemi sanitari, si vedano il comunicato dell’American Hospitals Association e le dichiarazioni del sistema sanitario britannico riportate dalla BBC (“NHS warns of GP disruption next week after IT outage“.
[2] Si consideri, ad esempio, il recente attacco cibernetico subito dal gruppo SynLab, leader europeo nella fornitura di servizi di diagnostica medica.
