La bozza del DDL Cybersecurity prevede pene più severe per alcuni reati informatici, multe onerose per chi detiene o fornisce programmi per danneggiare i sistemi informatici, sanzioni per i ritardi nelle segnalazioni e per i mancati adeguamenti.

DDL Cybersecurity: da 2 a 10 anni di reclusione per chi commette reati informatici

Il 25 gennaio scorso è approdato sul tavolo del Consiglio dei Ministri il DDL Cybersecurity, il nuovo regolamento in materia di cybersicurezza e Intelligenza Artificiale. La bozza del disegno di legge, al vaglio del CDM, si propone l’obiettivo di inasprire le sanzioni per chi commette reati informatici. In linea generale, con il provvedimento s’intende aumentare il numero degli anni di reclusione, in alcuni casi, e l’importo delle sanzioni pecuniarie, in altri.

Entrando nel merito, il DDL Cybersecurity estende da 2 a 10 anni di reclusione la pena per alcuni reati informatici, attualmente fissata a un massimo di 5 anni. Se i crimini commessi riguardano “sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico”, la pena si estende ulteriormente fino a un massimo di 12 anni di carcere.

Il testo, inoltre, prevede che la sanzione si applichi anche se dal fatto derivi “la sottrazione, anche mediante riproduzione o trasmissione, o l’inaccessibilità al titolare” del sistema, oltre alle ipotesi già previste dal codice penale di “distruzione o danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti”. Sono previste pene anche per chi detiene o fornisce programmi per danneggiare i sistemi informatici. In questo caso, si arriva fino a 2 anni di reclusione e una multa da 10.329 euro.

Fino a 6 anni di reclusione per le intercettazioni

Il DDL Cybersecurity si è espresso anche a riguardo dei reati di “detenzione, diffusione e installazione abusiva di apparecchiature e altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche”. In questo caso, è prevista la reclusione da 2 a 6 anni se il fatto è commesso da un pubblico ufficiale o da un addetto al pubblico servizio o da chi esercita, anche abusivamente, la professione di investigatore privato.

Sempre in materia di intercettazioni, si propone di modificare l’articolo 617-quater che punisce “chiunque fraudolentemente intercetta comunicazioni relative a un sistema informatico o telematico o intercorrenti tra più sistemi, ovvero le impedisce o le interrompe”. In particolare, nelle ipotesi in cui si può procedere d’ufficio, si applica la pena della reclusione da 4 a 10 anni, e non più da 3 a 8 anni.

Sanzioni in caso di mancate segnalazioni

Secondo la proposta di legge, le Pubbliche amministrazioni centrali, le Regioni, i Comuni, le Asl e le aziende del trasporto pubblico locale devono notificare, entro 24 ore da quando ne sono venuti a conoscenza, gli incidenti informatici subiti dai loro sistemi. In caso di ritardi, l’Agenzia per la cybersicurezza nazionale (ACN) può avviare delle ispezioni e, se l’inosservanza si ripete, applicare una multa da 25 mila a 125 mila euro. Sono previste sanzioni anche per le PA che non si adeguano alle indicazioni dell’Agenzia sulle vulnerabilità a cui sono esposte.

Infine, il DDL Cybersecurity prevede sconti di pena fino a due terzi per gli hacker che aiuteranno le forze dell’ordine e l’autorità giudiziaria, nonché la promozione di iniziative per la valorizzazione dell’Intelligenza Artificiale nelle funzioni dell’ACN.