Il Guardasigilli ha parlato dell’applicazione della legge 90/2024. Ciriani “governo ha rafforzato tutela cyber delle istituzioni”.
Roma – La sicurezza delle banche dati pubbliche contenenti dati sensibili, in relazione ai recenti attacchi informatici e ai dossieraggi, è finita anche al centro del question time. A rispondere, sulle iniziative urgenti per rafforzare la sicurezza, il ministro per i Rapporti con il Parlamento Luca Ciriani e il ministro della Giustizia Carlo Nordio. Il guardasigilli ha fatto riferimento ai due procedimenti penali, uno presso la Procura di Perugia e l’altro presso la Procura di Milano, che “sono ovviamente coperti dal segreto istruttorio: questo non mi impedisce tuttavia – ha fatto notare – di esprimere la mia più profonda preoccupazione per ciò che è accaduto e sta accadendo, che ritengo inaccettabile e inquietante e che costituisce un serio e concreto pericolo per la nostra democrazia”.
Nordio ha parlato della legge 90/2024 che riguarda disposizioni per il rafforzamento di cybersicurezza nazionale e reati informatici. Le “notevoli novità introdotte dalla legge 90 del 2024”, ha sottolineato, “conoscono ora un attento lavoro di applicazione delle prescrizioni, di affiancamento delle amministrazioni maggiormente interessate, di sensibilizzazione in senso lato alla necessità che tutti si dotino di dispositivi anti intrusione, e soprattutto i soggetti inseriti nel nuovo perimetro di sicurezza informatica. L’Agenzia cybersicurezza nazionale sta promuovendo una serie di incontri sul territorio nazionale volti ad aumentare la consapevolezza del rischio nei dipendenti delle pubbliche amministrazioni e ad adottare i dispositivi e le prassi di tutela“.
Rispondendo a una interrogazione sulle iniziative volte a contrastare l’accesso illegale alle banche dati e la violazione della riservatezza, il Guardasigilli ricorda “tra gli altri, i recenti incontri a Roma Milano con i responsabili delle Asl e delle aziende ospedaliere delle Regioni Lazio e Lombardia finalizzate in particolare a porre al riparo degli attacchi cyber i dati sanitari dei pazienti – continua – Per il potenziamento delle reti, dei servizi e dei sistemi cyber della pubblica amministrazione, centrale regionale e locale, l’Acn ha disposto finanziamenti complessivi per oltre 715 milioni euro. Tali risorse hanno riguardato gli esercizi finanziari 2022-2024 e interesseranno anche i successivi due esercizi 2025-2026, a valere sui fondi Pnrr per un totale di oltre 376 milioni e sui fondi della Strategia nazionale cyber per un totale di oltre 339 milioni”.
I progetti “ammessi al finanziamento – ha proseguito – sono stati quelli che hanno superato la valutazione di una Commissione costituita dall’Acn e saranno sottoposti all’azione di monitoraggio della medesima agenzia”. “I progetti di potenziamento delle difese cyber delle pubbliche amministrazioni, di cui 133 pubbliche amministrazioni locali e 54 pubbliche amministrazioni centrali, sono rivolti al potenziamento
delle difese perimetrali e alla costituzione dei Security operation center (Soc) per il monitoraggio della minaccia, oltre che ad azioni di potenziamento della consapevolezza in ambito cyber security per i dipendenti delle pubbliche amministrazioni”, ha concluso.
Dopo la bufera dei furti di informazioni dalle banche dati internazionali, Nordio assicura che lo Stato è “molto vicino a controllare gli attacchi hacker”. Spiega poi: “Stiamo investendo cifre molto importanti per realizzare la sicurezza, nella consapevolezza che tutto il mondo è stato trovato impreparato di fronte a questa aggressione dell’hackeraggio, proprio perché i malintenzionati agiscono prima che lo Stato si munisca della normazione necessaria per controllarli. Però arriverà il momento, e per noi è molto vicino, in cui riusciremo a controllarli del tutto”.
“Il fenomeno dell’hackeraggio sta colpendo il mondo intero – ha sottolineato il Guardasigilli in un passaggio del suo intervento – È stato colpito anche il Cremlino ed stato hackerato il sistema di moltissimi stati Ue proprio perché la tecnologia avanza molto più velocemente della normazione da parte degli Stati. È un problema che cerchiamo di risolvere sia a livello normativo sia a livello tecnologico”.
Il ministro per i Rapporti con il Parlamento Luca Ciriani ha parlato come Nordio della legge 90 del 2024 e degli obiettivi dell’esecutivo. “Fin dall’avvio della propria attività, questo Governo ha ritenuto prioritario il rafforzamento della tutela cyber delle istituzioni. La scarsa sicurezza delle reti informatiche – ha sottolineato – era questione emersa già con evidenza prima della formazione dell’attuale Esecutivo: peraltro, dalle imputazioni dell’indagine in corso a Milano, si ricavano quali anni di consumazione dei reati ipotizzati anche il 2021 e il 2022″. “Per la parte di competenza dell’attuale Esecutivo sottolineo il lavoro in atto di copertura della pianta organica dell’Agenzia per la sicurezza cibernetica (Acn), cui si è presto affiancato il rafforzamento dell’intero ordinamento cyber, culminato con l’approvazione, nel giugno 2024, della legge n. 90″, ha aggiunto Ciriani. E ancora, il governo “ha previsto la configurazione di un nucleo di cybersicurezza con il governatore della Banca d’Italia e il procuratore nazionale Antimafia” poiché “per noi è prioritario il rafforzamento della tutela cyber delle istituzioni”.
Con la legge n. 90 del 2024 che riforma l’ordinamento cyber “si è proceduto all’ampliamento dei soggetti della pubblica amministrazione centrale, regionale e locale, tenuti alla notifica degli incidenti informatici. Con
questo è stato di fatto anticipato il decreto legislativo Nis 2, rendendo possibile l’immediata attribuzione alle stesse amministrazioni, sulla base di progetti di sicurezza informatica, di risorse del Pnrr. Ne hanno beneficiato 83 amministrazioni”, ha proseguito. “Per i soggetti inseriti nel perimetro – ha spiegato ancora Ciriani -, è stato previsto un rafforzamento delle misure organizzative di sicurezza informatica, con l’obbligo di nominare un Referente per la sicurezza informatica per una più spedita interlocuzione con l’Agenzia per la sicurezza cibernetica. Nel presupposto che ogni incidente informatico è un reato, sono state introdotte norme di raccordo tra l’attività investigativa e quella di ripristino dei sistemi e servizi digitali impattati, al duplice scopo di non interferire con le indagini e di non frenare le attività di ripristino se non in presenza di motivate ed espresse esigenze di giustizia”.
E ancora, l’approvvigionamento di “beni e servizi informatici nei contesti di interesse strategico o attinenti alla sicurezza nazionale deve corrispondere a elementi essenziali di cybersicurezza per rafforzare l’indipendenza tecnologica del Paese e minimizzare i rischi legati alla catena di approvvigionamento. Sono aumentate le sanzioni per i reati informatici più gravi, soprattutto nei casi in cui ad essere impattati siano i sistemi strategici nazionali” ed “è stato ridisegnato il reato di estorsione, adattandolo alle dinamiche dei programmi informatici dannosi che infettano dispositivi digitali per poi chiedere un riscatto per liberarli, cosiddetti ransomware”, ha concluso Ciriani.