Obbligo per la PA di dotarsi di una struttura ad hoc per la cybersecurity e di un suo responsabile, e di denunciare gli attacchi subìti entro 24 ore. Inasprimento delle pene legate agli abusi sui sistemi infornatici, introduzione del reato di ‘truffa online’. Sono solo alcune delle novità introdotte con il DDL sulla cybersicurezza intitolato Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici approvato ieri dalla Camera dei Deputati e prossimamente al vaglio del Senato. 23 articoli in tutto, con cui il Governo intende sottolineare il suo impegno nel contrasto al crimine informatico.

Obbligo di notifica degli incidenti

Buona parte del provvedimento è cucito su misura della Pubblica Amministrazione, che viene insignita di una serie di responsabilità. L’Articolo 1 e l’Articolo 3 sanciscono l’obbligo di segnalare attacchi cyber. In dettaglio, l’Articolo 1 impone “obbligo di segnalazione di alcune tipologie di incidenti aventi impatto su reti, sistemi informativi e servizi informatici in carico alle pubbliche amministrazioni centrali”. L’Articolo 3 “stabilisce che i soggetti inclusi nel Perimetro provvedono, oltre che alla notifica, anche alla segnalazione degli incidenti che intervengono su reti, sistemi informativi e servizi informatici che si trovano al di fuori del Perimetro (di loro pertinenza), senza ritardo e comunque al massimo entro ventiquattro ore”.

È una buona usanza, attiva da tempo negli Stati Uniti e in altri Paesi e che investe non solo le PA ma anche il privato. Soprattutto è un sinonimo di maturità digitale: nel contesto cyber attuale non c’è da chiedersi “se” si subirà un attacco, ma “quando”, quindi essere vittima di un attacco non è una sventura che la sorte riserva a pochi sfortunati.

Nascondere un attacco lede al diritto dei cittadini di conoscere le cause di un’interruzione di servizio e l’auspicabile tempo di ripristino dello stesso. Inoltre, è bene ricordare che la presa di coscienza di un attacco deve coincidere con l’avvio di una serie di attività (indagini forensi, IR, bonifica, ripristino) che devono necessariamente essere svolte per rimettere in sicurezza l’infrastruttura violata e i dati che essa gestisce. Chi salta o sottovaluta questi passaggi può trovarsi a convivere con gli attaccanti in rete per molto tempo, compromettendo ulteriormente la situazione. Non ultimo, le indagini sugli incidenti portano alla luce le tecniche tattiche e procedure messe in atto dagli attaccanti, aiutando la threat intelligence a risalire ai responsabili, e a evidenziare alle altre potenziali vittime una valida strategia di prevenzione.

Strutture e responsabili

L’Articolo 8 sancisce l’obbligo di dotarsi di una struttura apposita per la cybersicurezza e di un suo responsabile che agisca da referente verso ACN, di modo che sia possibile garantire una risposta tempestiva e efficace alle minacce digitali. L’idea è buona, l’applicazione meno a causa di alcune criticità. Quella maggiore riguarda i costi: per il monitoraggio della sicurezza è necessaria una presenza 24 ore su 24, 7 giorni su 7, che implica la presenza di diversi analisti con costi non indifferenti.

Peccato che il DDL non preveda stanziamenti finanziari a sostegno di questa novità. L’Articolo 23 sancisce infatti l’invarianza finanziaria, stabilendo che “dall'attuazione della legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e le amministrazioni competenti provvedono agli adempimenti previsti con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”. Sempre lo stesso articolo mette inoltre in chiaro che “i proventi delle sanzioni previste […] sono destinati alle entrate dell’Agenzia per la cybersicurezza nazionale”.

Sull’attuabilità dell’idea pesa inoltre il fattore delle skill, che sono quasi impossibili da trovare, richiedono tempi lungi per la formazione in caso si opti per personale meno oneroso economicamente, ma senza le competenze adeguate. Questo punto peraltro investe l’attuabilità anche dell’Articolo 2, che sancisce l’obbligo per PA ed enti pubblici di chiudere tempestivamente le vulnerabilità seguendo le indicazioni dell’Agenzia per la cybersicurezza nazionale, pena una sanzione amministrativa pecuniaria.

Anche qui l’idea di base è corretta: le vulnerabilità non chiuse sono fra le maggiori cause di facilitazione degli attacchi, motivo per il quale gli esperti di sicurezza esortano a chiudere sempre le falle il prima possibile. Il problema è che per implementare le indicazioni provenienti da ACN occorre personale sufficiente per numero e competenze. Qualora assente perché introvabile o per mancanza di budget, ci si infila in un cul-de-sac da cui una sanzione pecuniaria non agevola certo l’uscita.

Nucleo per la cybersicurezza

L’Articolo 5 del nuovo DDL prevede la possibilità che, in particolari situazioni e in relazione a specifiche questioni, possano prendere parte alle riunioni del Nucleo per la cybersicurezza anche i rappresentanti della Direzione nazionale antimafia e antiterrorismo e rappresentanti della Banca d’Italia. Ricordiamo che il soprannominato Nucleo per la cybersicurezza creato con un decreto-legge del giugno 2021con il compito di “supportare il Presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l'attivazione delle procedure di allertamento”.

Banche dati e crittografia

L’articolo 8 citato sopra ha anche un comma 7 che “regola l’accesso alle banche dati da parte degli addetti tecnici e degli incaricati del trattamento richiedendo il ricorso a specifici sistemi di autenticazione informatica basati sull’utilizzo di almeno due differenti tecnologie di riconoscimento una delle quali biometrica al fine di evitare rischi di accessi abusivi”. In altre parole, il DDL traghetta la PA nell’epoca dell’autenticazione a due fattori, dopo svariate decine di attacchi andati a segno grazie all’abuso o la violazione delle credenziali. Era ora. Interessante poi il registro degli accessi per garantire la tracciabilità delle operazioni. Volendo pretendere, anziché un passo avanti si sarebbe potuto fare un saltello e prevedere direttamente una implementazione Zero Trust, magari approfittando dei fondi del PNRR per finanziarla. Ma accontentiamoci.

Il miglioramento della sicurezza delle banche dati riguarda anche gli uffici giudiziari, con l’Articolo 22 che introduce “ispezioni presso gli uffici giudiziari [perché] sia verificato il rispetto delle prescrizioni di sicurezza negli accessi alle banche dati in uso”.

Chiudiamo con gli articoli 9 e 10 in materia di crittografia. In particolare, l’Articolo 10 “valorizza l’utilizzo della crittografia quale strumento di difesa cibernetica e istituisce il Centro nazionale di crittografia presso l’Agenzia per la cybersicurezza nazionale – ACN” mentre l’Articolo 9 “attribuisce alle strutture preposte alle attività di cybersicurezza nelle pubbliche amministrazioni la funzione di verificare che i programmi e le applicazioni informatiche e di comunicazione elettronica rispettino le linee guida sulla crittografia adottate dall'Agenzia per la Cybersicurezza Nazionale e dall'Autorità Garante per la Protezione dei Dati Personali e non contengano vulnerabilità note”.

Reati penali

Il DDL sulla cybersicurezza include anche una buona parte dedicata ai reati informatici, con modifiche al codice penale. Innanzi tutto, si denota un inasprimento delle pene per i reati informatici, che contempla la reclusione da 1 a 5 anni per chi “si introduce abusivamente in un sistema informatico o telematico protetto” (contro un periodo massimo di 3 anni previsto dalla normativa attuale).

Per la “distruzione o il danneggiamento del sistema, l’interruzione totale o parziale, la distruzione o il danneggiamento di dati, informazioni o programmi” (leggesi ransomware) la pena detentiva comminabile va invece da 3 a 8 anni. È prevista poi una serie di aggravanti (per esempio l’uso di minacce) che può far lievitare le pene fino a un massimo di 12 anni.

Con il nuovo DDL esordisce inoltre il reato di truffa online, che fra le altre cose prevede la confisca obbligatoria dei dispositivi informatici utilizzati per commettere il reato, oltre ai profitti generati grazie alle truffe, al fine di risarcire le vittime.

Pro e contro

Che l’Italia debba lavorare per allestire una difesa cyber al passo con i tempi è evidente. Il fatto che il Governo abbia formulato questo decreto è un segnale importante di presa di coscienza dei macro problemi nella implementazione e gestione attuale della security, oltre che un gesto di buona volontà verso la ricerca di una soluzione. Benvenga quindi l’idea, anche se sotto diversi aspetti pecca di immaturità.

Scorrendo gli Articoli traspare la permanenza di un approccio alla gestione della sicurezza reattivo anziché preventivo: abbondano le sanzioni e le pene, che sono misure “a posteriori”. Di preventivo c’è poco e su questo fronte si può e si deve fare di meglio. Inoltre, stona la contestualizzazione un po’ retrò della security: ci sono chiari riferimenti alle minacce tradizionali, mancano quelli alle minacce nuove ed esordienti, come banalmente lo sfruttamento delle AI e GenAI. Ciò implica che ci si sta ancora una volta muovendo di rincorsa, mentre per fare un buon lavoro bisognerebbe fare qualcosa per anticipare gli avversari.

È poi da segnalare l’assenza di provvedimenti atti a semplificare l’accesso alla security. Questo denota la mancanza di una analisi a priori sui motivi che hanno portato alle attuali mancanze nella security degli enti pubblici, fra cui un eccesso di burocrazia che spesso ha agito da deterrente. Ultimo ma non meno importante, la mancanza di uno stanziamento di fondi: il decreto potrebbe potuto essere una buona occasione per costruire una resilienza delle infrastrutture pubbliche, magari sfruttando anche i fondi del PNRR.

Guardando il bicchiere mezzo pieno, abbiamo imboccato la strada giusta e, anche se lentamente, avanziamo. Ci sono ancora molti passi da compiere per raggiungere l’obiettivo di resilienza che stiamo rincorrendo, auspichiamo di vederli prendere forma il prima possibile.