Le raccomandazioni realizzate dall’ACN dopo i “diversi casi di utilizzo improprio”. Slitta il Cdm su inasprimento pene per crimini cyber.
Roma – Arrivano le linee guida per proteggere le banche dati nazionali dopo le pesanti vulnerabilità venute alla luce con le inchieste di Perugia e Milano. Le raccomandazioni sono state realizzate e diffuse dall’Agenzia per la cybersicurezza nazionale, mentre le modifiche normative sul fronte cyber, che avrebbero dovuto essere approvate ieri in Consiglio dei ministri, sono slittate alla settimana prossima. Il documento evidenzia anche come siano state impiegate tre tecniche per le attività illecite: corruzione di pubblici ufficiali, installazione di software per il controllo remoto da parte di persone collegate alle aziende coinvolte – che facevano manutenzione -; installazione di software per il controllo remoto su postazioni di lavoro aziendali e private con la complicità dei gestori dei sistemi informatici delle aziende clienti.
L’Agenzia per la cybersicurezza nazionale, ACN, proseguendo nell’attuazione della Strategia nazionale di sicurezza cibernetica, in una visione complessiva e di lungo periodo, è intervenuta sia con il rilascio di un nuovo documento per il rafforzamento della protezione delle banche dati, sia con l’insediamento ufficiale del Tavolo NIS, l’organismo collegiale che presso ACN curerà gli adempimenti connessi alla implementazione della disciplina europea per la sicurezza informatica. Le Linee Guida per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio prendono il via da un’analisi di contesto che tiene anche conto dei casi di accesso abusivo determinato dal pericolo di insider threat. Tra le misure di sicurezza indicate si segnala il ruolo che riveste anche la formazione del personale, con particolare riferimento agli utenti dotati di privilegi amministrativi.
Le linee guida si propongono di ridurre i rischi agendo proprio sulle criticità rilevate. Innanzitutto il controllo degli accessi che deve essere “coerente e robusto” e occorre una maggiore attenzione ai fornitori dei sistemi tecnologici che “possono rappresentare un punto di vulnerabilità ed esporre sistemi e le banche dati della propria organizzazione a rischi di attacco ed esfiltrazione di dati”. Una misura adottata dall’Agenzia per la cybersicurezza nazionale dopo che “negli ultimi mesi sono emersi diversi casi di utilizzo improprio di banche dati di rilevanza nazionale da parte di soggetti o organizzazioni che, con differenti tecniche e finalità, sono riusciti ad ottenere l’accesso alle informazioni in esse contenute senza averne titolo”.
L’Agenzia per la cybersicurezza nazionale aveva convocato un mese fa il Nucleo per la cybersicurezza, Ncs, nella configurazione definita recentemente dalla legge 90/2024 che ha previsto la partecipazione a tale organismo anche della Banca d’Italia e della Direzione nazionale antimafia e antiterrorismo, al fine di discutere rilevanti iniziative per la sicurezza informatica del Paese. Nel corso dell’incontro era stata avviata un’intensa riflessione sugli strumenti di prevenzione e contrasto al ransomware, la principale minaccia con cui si sta misurando la sicurezza informatica in Italia e nel resto del mondo, nonché per approfondire il tema degli accessi abusivi alle banche dati digitali e affrontare efficacemente il fenomeno.
La riunione del Nucleo, presieduta dal prefetto Bruno Frattasi, era stata una proficua occasione di scambio di esperienze e informazioni con l’obiettivo di affrontare, in chiave sistemica, temi di particolare delicatezza, che presentano molteplici profili d’interesse legati alla resilienza cibernetica, alla cyber-intelligence, all’attività investigativa e a quella economico-finanziaria, ma che non mancano di avere rilevanti aspetti anche di carattere internazionale. Alla riunione avevano partecipato, oltre al Procuratore nazionale antimafia e antiterrorismo e ai dirigenti apicali di Banca d’Italia, i rappresentanti di vertice degli organismi di informazione, del ministero degli Affari esteri e della Cooperazione internazionale, e dei ministeri di Interno, Giustizia, Difesa, Economia e Finanze, Imprese e made in Italy.
È slittato invece il decreto giustizia. La bozza di provvedimento conteneva un inasprimento delle norme sulla cybersicurezza. Secondo il documento, il procuratore nazionale antimafia e antiterrorismo eserciterà le funzioni di impulso nei confronti dei procuratori distrettuali per il coordinamento delle attività di indagine attraverso l’impiego della polizia giudiziaria su quei crimini cyber che riguardano l’accesso abusivo a un sistema informatico o telematico in sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico.
Per questo tipo di reati, la cui durata massima delle indagini preliminari è di due anni, viene inoltre introdotto l’arresto obbligatorio in flagranza e allo stesso modo sarà punito chi esegue questo tipo di ordine da un proprio superiore se è consapevole dell’illecito. Le pene già prevedono la reclusione da sei anni fino a ventidue anni in determinate circostanze.