Legge 90/2024 – Novità e Criticità della normativa italiana sulla cybersicurezza

La recente normativa italiana in materia di sicurezza informatica, approvata con la Legge 90/2024 – “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, rappresenta un’importante evoluzione nella strategia nazionale di protezione dei sistemi informatici e di contrasto al crimine digitale.

Il testo approvato dalla Camera il 15 maggio 2024 e dal Senato il 19 giugno 2024, si compone di 24 articoli introduce una serie di disposizioni volte a rafforzare la resilienza delle infrastrutture critiche, a disciplinare in maniera più stringente l’accesso ai dati sensibili e a inasprire le pene per i reati informatici.

Tuttavia, una lettura critica del provvedimento mostra come alcune scelte legislative possano risultare controverse, soprattutto se confrontate con il panorama normativo europeo e le strategie di cybersecurity dell’Unione Europea.

Nonostante alcune migliorie introdotte nel testo finale della Legge 90/2024, come una maggiore attenzione agli obblighi di segnalazione e un rafforzamento delle misure di sicurezza dei dati attraverso la crittografia (artt. 9 e 10), permangono diverse criticità. In particolare, l’introduzione di nuove ipotesi di reato e l’inasprimento delle pene sollevano dubbi sulla loro reale efficacia nel contrasto al crimine informatico.

Vincoli protezionistici e concorrenza internazionale

Uno degli aspetti centrali della legge è l’introduzione di criteri di premialità per le tecnologie di cybersicurezza sviluppate in Italia o in ambito europeo e NATO. Questa misura, pur mirando a garantire una maggiore sicurezza negli approvvigionamenti di tecnologie strategiche, solleva questioni di compatibilità con i principi di concorrenza e libero mercato sanciti dal diritto europeo. Se da un lato si rafforza l’autonomia tecnologica dell’Italia, dall’altro si corre il rischio di limitare la competitività, escludendo potenziali fornitori extra-UE che potrebbero offrire soluzioni innovative ed efficienti.

A livello europeo, la strategia per la sicurezza informatica si basa su un equilibrio tra protezionismo strategico e apertura al mercato globale, come dimostrato dall’approccio adottato nel Cybersecurity Act e nelle direttive NIS2, che pongono l’accento sulla certificazione dei prodotti senza introdurre vincoli di natura protezionistica.

Legge 90/2024 – Inasprimento delle pene per i reati informatici

Un altro punto rilevante della legge riguarda l’inasprimento delle pene per i reati informatici. Il codice penale viene modificato con un aumento delle sanzioni per l’accesso abusivo ai sistemi informatici e per i crimini legati all’estorsione digitale. Questo adeguamento normativo è giustificato dall’escalation delle minacce informatiche, che oggi non si limitano più a episodi di hacking isolati, ma coinvolgono organizzazioni criminali transnazionali.

Tuttavia, l’inasprimento delle pene non è sempre efficace come deterrente se non accompagnato da una robusta capacità di enforcement. In Europa, il rafforzamento della cooperazione tra Stati membri attraverso strumenti come l’EU Cybersecurity Strategy e la Joint Cyber Unit ha dimostrato che la prevenzione e la collaborazione internazionale sono strumenti più efficaci del solo aumento delle pene detentive.

Il ruolo rafforzato dell’ACN e le sue implicazioni

Un aspetto innovativo della normativa italiana è l’attribuzione di un ruolo più incisivo all’Agenzia per la Cybersicurezza Nazionale (ACN), che diventa l’interlocutore privilegiato per la gestione degli incidenti informatici e per la comunicazione con la Procura Nazionale Antimafia nei casi in cui attacchi cyber siano riconducibili a organizzazioni criminali. Tuttavia, l’ACN avrà anche il potere di assistere agli accertamenti tecnici irripetibili e partecipare agli incidenti probatori (art. 22 co. 4-bis.4), sollevando preoccupazioni circa l’indipendenza delle indagini giudiziarie.

Il comma 4-bis.4 dell’articolo 22 stabilisce che il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione ai delitti previsti, deve informare l’ACN, che potrà assistere al conferimento dell’incarico e partecipare agli accertamenti, anche nel contesto dell’incidente probatorio. Questa disposizione solleva interrogativi sulla separazione delle funzioni tra l’autorità giudiziaria e un’agenzia amministrativa che collabora anche con i servizi di intelligence. La questione è stata già evidenziata dall’Osservatorio “Scienza, processo e intelligenza artificiale“, che ha messo in guardia sui possibili rischi per la trasparenza delle procedure giudiziarie.

Estensione delle intercettazioni e questioni di privacy

Sul piano delle procedure investigative, la nuova legge estende l’uso delle intercettazioni per i reati informatici e introduce tempi più lunghi per le indagini preliminari nei casi di attacchi contro infrastrutture critiche. Questa scelta mira a fornire agli inquirenti strumenti adeguati per affrontare minacce complesse, ma potrebbe sollevare preoccupazioni in materia di tutela della privacy e dei diritti fondamentali.

Nell’ordinamento europeo, il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce principi stringenti sulla raccolta e l’uso delle informazioni personali, e l’introduzione di intercettazioni estese potrebbe entrare in tensione con tali principi. Un equilibrio tra sicurezza e tutela dei diritti individuali è già stato oggetto di dibattito nell’ambito della proposta di regolamento e-Evidence, che disciplina la cooperazione giudiziaria in materia di acquisizione di prove digitali tra Stati membri.

Rafforzamento delle misure per la Pubblica Amministrazione e il settore privato

La Legge 90/2024 introduce specifici adempimenti per la Pubblica Amministrazione e per il settore privato, con particolare attenzione alla gestione degli incidenti informatici. In base all’articolo 1, le PA e le aziende operanti in settori critici sono tenute a notificare tempestivamente gli incidenti all’Agenzia per la Cybersicurezza Nazionale (ACN), con una prima segnalazione entro 24 ore e un rapporto finale entro 72 ore.

Tuttavia, la definizione dell’ambito di applicabilità non è del tutto chiara, con richiami a normative preesistenti che rendono complessa l’interpretazione. Inoltre, la normativa impone l’istituzione di una struttura dedicata alla sicurezza e la nomina di un referente per la cybersicurezza, sebbene non siano specificati requisiti stringenti di indipendenza per questa figura. Questo elemento potrebbe rappresentare un ostacolo per le realtà più piccole, che potrebbero incontrare difficoltà nell’implementare strutture adeguate senza risorse aggiuntive.

Conclusioni

Nel complesso, la Legge 90/2024 rappresenta un passo avanti significativo nella protezione della sicurezza informatica nazionale, introducendo strumenti di contrasto più incisivi e allineandosi alle tendenze europee di rafforzamento delle agenzie di cybersecurity. Tuttavia, il rafforzamento delle misure punitive e l’introduzione di vincoli protezionistici potrebbero rivelarsi controproducenti se non accompagnati da un efficace sistema di cooperazione internazionale e da una regolamentazione equilibrata che garantisca la tutela dei diritti digitali.

Il dibattito su queste tematiche è ancora aperto e sarà cruciale monitorare l’implementazione della normativa per comprendere se riuscirà a bilanciare efficacemente sicurezza nazionale, tutela della concorrenza e protezione dei diritti individuali.