In attesa che intervenga l’Unione Europea a regolamentare l’Intelligenza Artificiale, il Governo Meloni ha varato il Disegno di legge che ridefinisce i reati informatici e la cybersecurity. La nuova disciplina è decisamente più rigida di quella attuale e mira a fronteggiare i sempre più frequenti e pericolosi attacchi criminali alla sicurezza informatica che non toccano solo le grandi aziende, ma tutti noi. La prova dell’esposizione dei singoli cittadini al crimine informatico la abbiamo quotidianamente, sui nostri device, ogni qualvolta appare un messaggio che ci chiede di connetterci ad un sito, aprire un link, fornire informazioni personali. 

Cyber crimine: l'incremento delle pene

Tra le novità più significative, spicca l'incremento delle pene per i reati connessi alla violazione dei dati informatici. In base al disegno di legge, l'articolo 615-ter del codice penale prevede l’inasprimento della reclusione da "due a dieci anni", rispetto all'attuale periodo che va "da uno a cinque anni". Inoltre, nei casi in cui i reati siano mirati nei confronti di "sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico", le pene aumentano rispettivamente a "da tre a dieci anni" e "da quattro a dodici anni". A parte l’aspetto della sicurezza militare è particolarmente significativo come la norma riguardi anche il sistema sanitario. Immaginiamo quali potrebbero essere le conseguenze in una struttura sanitaria i cui sistemi venissero bloccati da un attacco hacker. La bozza di legge specifica che le pene si applicheranno anche nel caso in cui l'atto criminale conduca alla "sottrazione, anche mediante riproduzione o trasmissione, o all'inaccessibilità al titolare" del sistema, oltre alle ipotesi già contemplate dal Codice penale quali "distruzione o danneggiamento del sistema o l'interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti".

Guerra agli spioni

Un'altra modifica significativa riguarda i reati di detenzione, diffusione e installazione abusiva di apparecchiature e mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche. Il disegno di legge prevede una pena di reclusione "da due a sei anni" per chi commette tali atti in qualità di pubblico ufficiale o incaricato di un pubblico servizio, con abuso dei poteri, violazione dei doveri o anche per chi esercita abusivamente la professione di investigatore privato.

Per quanto riguarda le intercettazioni, l’articolo 617-quater sembra destinato a profonde modifiche sostanziali. Il testo punisce coloro che “fraudolentemente intercettano comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impediscono o le interrompono”. Nelle ipotesi perseguibili d’ufficio, la pena della reclusione passa da “quattro a dieci anni”, ben superiore a quella attuale che prevede “da tre a otto anni”.

Vita più dura, quindi per gli hacker, ma con la possibilità, comunque, di sconti di pena fino a due terzi per coloro che collaboreranno con le forze dell’ordine e l’autorità giudiziaria.

Accesso abusivo a sistema informatico: pene diminuite

Le pene previste per il reato di accesso abusivo a un sistema informatico o telematico, saranno diminuite dalla metà a due terzi, per chi si adopera per evitare che l’attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l’autorità di polizia o l’autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi. 

Novità anche per le PA

La norma vuole anche sensibilizzare le Pubbliche amministrazioni. Viene infatti previsto l’obbligo di segnalazione degli attacchi per tutte le Pubbliche amministrazioni centrali, le Regioni, i Comuni, le Asl e le aziende del trasporto pubblico locale, entro 24 ore al massimo, dal momento in cui vengono a conoscenza degli incidenti informatici e delle aggressioni subite dai loro sistemi. Nel caso di ritardi, l'Agenzia per la cybersecurity nazionale potrà inviare ispezioni e, se l'inosservanza si ripete, applicare sanzioni da 25mila a 125mila euro. Sono inoltre previste sanzioni anche per le Pa che non si adeguano alle indicazioni dell'Agenzia sulle vulnerabilità alle quali sono esposte.