Nei giorni scorsi il governo italiano ha annunciato un nuovo Decreto Legge molto atteso in materia tecnologica, ovvero il DDL Cybersicurezza, anche per fronteggiare il crescente pericolo hacker al quale assistiamo da molti anni anche su questo blog analizzando le varie notizie relative agli attacchi.
Gli obiettivi principali di questo decreto sono, innanzitutto, arginare i problemi relativi agli hacker, soprattutto per quel che riguarda gli attacchi DDoS e Ransomware, inserire incentivi per tutti coloro che partecipano alla lotta al crimine online ed infine, ma non meno importante, far comprendere la centralità della cybersecurity a tutti coloro che, nel settore pubblico, si trovano a prendere decisioni in merito agli investimenti da intraprendere a difesa delle infrastrutture.
Il sottosegretario alla Presidenza del Consiglio dei Ministri Alfredo Mantovano ha sottolineato come prima cosa che questo nuovo strumento di legge allarga la platea di coloro che sono tenuti a dotarsi di strumenti di sicurezza, ovvero i comuni oltre i 100.000 abitanti, tutte le ASL ed i capoluoghi. La seconda misura è invece l’obbligo di notifica qualora si abbia evidenza di un attacco in corso, con multe erogate in modo progressivo in base alle volte in cui tali notifiche non vengono effettuate. Tali avvisi devono pervenire alla già nota ACN, l’Agenzia per la Cybersicurezza Nazionale, che assumerà pertanto una sempre maggiore centralità per quel che riguarda la sicurezza online insieme alle autorità giudiziarie ed a quelle di Polizia Postale.
Andando nel dettaglio, le PA dovranno obbligatoriamente dotarsi di uffici incentrati sulla sicurezza, comprendendo oltretutto il cosiddetto congelamento di quei dipendenti pubblici specializzati in cybersecurity che intendono lasciare il settore per inserirsi nel mercato privato. Queste figure, stando alle misure del DDL Cybersicurezza, non potranno trasferirsi ad altro impiego per due anni.
Dal punto di vista delle pene ai criminali informatici, nel DDL sono presenti degli inasprimenti, poiché fino ad ora le condanne a coloro che facevano breccia illegalmente nei sistemi andava da 1 a 5 anni di reclusione, mentre con le nuove misure si passerà a 2-10 anni. Dal punto di vista giurisprudenziale, tali reati vengono adesso considerati alla stregua di quelli della criminalità organizzata e questo, fa sapere il sottosegretario, apre scenari diversi dal passato anche dal punto di vista investigativo e procedurale.
Tra i punti dolenti, però, ci sono due grosse problematiche, ovvero quella della mancanza di una disciplina che regoli i crimini perpetrati mediante l’utilizzo di Intelligenza Artificiale e, soprattutto, la mancanza di fondi a supporto delle attività proposte nel DDL. Per quel che riguarda il primo punto, tuttavia, Mantovano fa sapere che la IA è stata volutamente ignorata in attesa di disposizioni ufficiali da parte della Unione Europea, questo significa che le normative verranno evidentemente riviste a seguito dell’emanazione dell’AI Act.
La mancanza di fondi invece viene spiegata in modo piuttosto frammentario, ovvero dicendo che le risorse necessarie all’innalzamento delle barriere per le PA dovrà essere sovvenzionata utilizzando le risorse umane, strumentali e finanziare già a disposizione. Quest’ultimo punto solleva diversi dubbi anche a causa della necessità di investimenti importanti per soluzioni di protezione di alto livello.