RELAZIONE TECNICA
(Articolo 17, comma 3, della legge 31 dicembre 2009, n. 196).
PROGETTO DI LEGGE
Capo I
Articolo 1
Articolo 2
Articolo 3
Articolo 4
Articolo 5
Articolo 6
Articolo 7
Articolo 8
Articolo 9
Articolo 10
Capo II
Articolo 11
Articolo 12
Articolo 13
Articolo 14
Articolo 15
Articolo 16
Articolo 17
Articolo 18
XIX LEGISLATURA
CAMERA DEI DEPUTATI
N. 1717
DISEGNO DI LEGGE
presentato dal presidente del consiglio dei ministri
(MELONI)
e dal ministro della giustizia
(NORDIO)
Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici
Presentato il 16 febbraio 2024
Onorevoli Deputati! – Il presente disegno di legge reca disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
Il capo I, recante disposizioni in materia di rafforzamento della cybersicurezza nazionale, resilienza delle pubbliche amministrazioni, personale e funzionamento dell'Agenzia per la cybersicurezza nazionale, nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, agli articoli da 1 a 10 contiene disposizioni riguardanti la cybersicurezza nazionale finalizzate a conseguire una più elevata capacità di protezione e risposta a fronte di emergenze cibernetiche. L'attuale contesto geo-politico, infatti, caratterizzato in particolare dai gravi conflitti internazionali in atto, favorisce l'incremento delle minacce informatiche e richiede, pertanto, in modo sempre più incalzante, il raggiungimento di un alto livello di cybersicurezza, attraverso l'attuazione di efficaci misure di gestione dei relativi rischi, nonché la necessità di un'immediata e quanto più completa conoscenza situazionale.
Le disposizioni ricordate rispondono alla necessità, che si è venuta a profilare sempre di più nell'ultimo periodo, di far emergere in modo più puntuale la minaccia informatica diretta ai soggetti della pubblica amministrazione non compresi nel Perimetro di sicurezza nazionale cibernetica, di cui al decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, né al momento interessati dalla direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (cosiddetta «direttiva NIS»), considerato che potrebbero essere interessati dalla successiva direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, sulla sicurezza delle reti e delle informazioni (cosiddetta «direttiva NIS 2»), allo stato in fase di recepimento.
Le disposizioni del capo I del presente disegno di legge, dunque, individuano norme necessarie per sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta, per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici, ferme restando le opzioni che saranno definite riguardo all'ambito soggettivo di applicazione della direttiva NIS 2.
L'articolo 1 (Obblighi di notifica di incidenti) richiede alle pubbliche amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, alle regioni e alle province autonome di Trento e di Bolzano, ai comuni con popolazione superiore a 100.000 abitanti e, comunque, ai comuni capoluoghi di regione, nonché alle società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti e alle aziende sanitarie locali, di segnalare e notificare gli incidenti indicati nella tassonomia di cui all'articolo 1, comma 3-bis, del citato decreto-legge 21 settembre 2019, n. 105, aventi impatto su reti, sistemi informativi e servizi informatici di rispettiva pertinenza. Sono tenute alla segnalazione e alla notifica anche le società in house di cui si avvalgono i richiamati soggetti (comma 1).
Lo stesso articolo 1 stabilisce le modalità e i tempi per effettuare la segnalazione e la notifica che, per quanto riguarda l'impatto e la sostenibilità, sono limitate solo ad una tassonomia di incidenti di maggiore entità (comma 2). Viene considerata anche l'ipotesi in cui i richiamati soggetti interessati effettuino notifiche volontarie di incidenti al di fuori dei casi indicati nella tassonomia di cui al comma 1: in tal caso si applicano le disposizioni di cui all'articolo 18, commi da 3 a 5, del decreto legislativo 18 maggio 2018, n. 65 (comma 3).
Secondo criteri di gradualità sono inoltre disciplinate le conseguenze derivanti dall'inosservanza dell'obbligo di notifica di cui al presente articolo, consistenti, ove si tratti di una prima inosservanza, in una preliminare comunicazione dell'Agenzia per la cybersicurezza nazionale all'interessato con l'avvertenza che la reiterazione dell'inosservanza comporterà l'applicazione delle sanzioni indicate nel successivo comma 5, e in forme di vigilanza collaborativa, attraverso l'invio da parte della medesima Agenzia di ispezioni volte a sostenere l'amministrazione interessata nello sforzo di rafforzamento della propria postura di resilienza cibernetica, anche al fine di verificare l'attuazione degli interventi di rafforzamento della resilienza loro direttamente indicati dall'Agenzia ovvero previsti da apposite linee guida adottate dalla stessa. Le modalità di tali ispezioni saranno disciplinate con determinazione del direttore generale dell'Agenzia, pubblicata nella Gazzetta Ufficiale. Per i casi di reiterata inosservanza dell'obbligo di notifica, l'Agenzia per la cybersicurezza nazionale potrà applicare una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000. La violazione delle disposizioni di cui al comma 1 può costituire causa di responsabilità disciplinare e amministrativo-contabile (commi 4 e 5).
Infine, è prevista l'esclusione dall'ambito di applicazione dei richiamati obblighi, fermi restando gli obblighi e le sanzioni, anche penali, previsti da altre norme di legge, dei soggetti di cui all'articolo 3, comma 1, lettere g) e i), del decreto legislativo n. 65 del 2018 (cosiddetti «soggetti NIS», ossia gli operatori di servizi essenziali e i fornitori di servizi digitali), di quelli di cui all'articolo 1, comma 2-bis, del decreto-legge n. 105 del 2019 (cosiddetti «soggetti Perimetro»), nonché degli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, e degli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124 (comma 6).
L'articolo 2 (Mancato o ritardato adeguamento a segnalazioni dell'Agenzia per la cybersicurezza nazionale) stabilisce l'obbligo di adottare gli interventi risolutivi in conseguenza delle segnalazioni che l'Agenzia per la cybersicurezza nazionale effettua circa specifiche vulnerabilità.
Tale obbligo si riferisce ai soggetti indicati nel comma 1 dell'articolo 1 del presente disegno di legge nonché ai soggetti Perimetro, ai soggetti NIS e ai soggetti di cui all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259 (cosiddetti «soggetti Telco»), e riguarda le segnalazioni effettuate dall'Agenzia relative alle vulnerabilità cui tali soggetti risultano potenzialmente esposti (comma 1).
Sono previste l'applicazione di sanzioni per la mancata o ritardata adozione dei richiamati interventi nonché una causa di esclusione dall'applicazione delle stesse sanzioni nel caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all'Agenzia per la cybersicurezza nazionale, impediscano l'adozione degli interventi opportuni o ne comportino il differimento oltre il termine indicato (comma 2).
L'articolo 3 (Norme di raccordo con le disposizioni del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133) modifica l'articolo 1, comma 3-bis, di tale decreto-legge, per finalità di raccordo e coordinamento con le disposizioni recate dal presente disegno di legge. In particolare, si prevede, anche per i soggetti Perimetro, l'applicazione della medesima procedura – che consta delle due distinte fasi della segnalazione e della notifica – nonché degli stessi termini, introdotti dall'articolo 1 del presente provvedimento, in relazione alle ipotesi di notifica già previste per gli stessi soggetti Perimetro dal richiamato comma 3-bis, e cioè in relazione agli incidenti aventi impatto su reti, sistemi informativi e servizi informatici, di pertinenza di tali soggetti, diversi da quelli inseriti nel Perimetro. È stata conseguentemente prevista l'applicazione delle medesime sanzioni introdotte dall'articolo 1 del presente disegno di legge per i casi di reiterata violazione dell'obbligo di notifica (comma 1).
L'articolo 4 (Disposizioni in materia di Nucleo per la cybersicurezza) prevede una specifica modalità di funzionamento del Nucleo per la cybersicurezza, di cui all'articolo 8 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, in relazione a specifiche questioni di particolare rilevanza concernenti i compiti di proposta di iniziative in materia di cybersicurezza del Paese. In particolare, è prevista la possibile convocazione del Nucleo con la partecipazione dei rappresentanti delle sole amministrazioni e soggetti interessati, di volta in volta, estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d'Italia o di uno o più operatori di cui all'articolo 1, comma 2-bis, del decreto-legge n. 105 del 2019, nonché di eventuali altri soggetti interessati alle stesse questioni.
L'articolo 5 (Disposizioni in materia di coordinamento operativo tra i servizi di informazione per la sicurezza e l'Agenzia per la cybersicurezza nazionale) stabilisce la possibilità di differire le attività di resilienza previste dall'articolo 7, comma 1, lettere n) e n-bis), del decreto-legge n. 82 del 2021, nei casi in cui i servizi di cui agli articoli 6 e 7 della legge 3 agosto 2007, n. 124, avuta notizia di un evento o un incidente informatici, lo ritengano strettamente necessario per motivi legati al perseguimento delle finalità istituzionali del Sistema di informazione per la sicurezza della Repubblica. Ove ravvisino tale necessità, i predetti servizi, per il tramite del Dipartimento delle informazioni per la sicurezza, ne danno informazione al Presidente del Consiglio dei ministri oppure, ove istituita, all'Autorità delegata di cui all'articolo 3 della medesima legge n. 124 del 2007 (comma 1). Il Presidente del Consiglio dei ministri, sentiti il direttore generale del Dipartimento delle informazioni per la sicurezza e il direttore generale dell'Agenzia per la cybersicurezza nazionale, può disporre il differimento degli obblighi informativi cui è in ogni caso tenuta l'Agenzia medesima ai sensi delle disposizioni vigenti, ivi compresi quelli previsti ai sensi dell'articolo 17, commi 4 e 4-bis, del decreto-legge n. 82 del 2021, nonché il differimento di una o più delle attività di resilienza di cui all'articolo 7, comma 1, lettere n) e n-bis), del medesimo decreto-legge (comma 2).
L'articolo 6 (Rafforzamento della resilienza delle pubbliche amministrazioni. Referente per la cybersicurezza) reca norme che mirano al rafforzamento della resilienza delle pubbliche amministrazioni, proseguendo, in tal modo, nella realizzazione dell'obiettivo anticipato con la direttiva del Presidente del Consiglio dei ministri del 6 luglio 2023, con cui sono stati approvati indirizzi di coordinamento volti a promuovere la gestione adeguata degli incidenti di cybersicurezza.
In particolare, l'articolo 6 stabilisce che le pubbliche amministrazioni indicate nell'articolo 1, comma 1, del presente disegno di legge debbano provvedere a individuare, ove non già presente, una struttura, anche tra quelle esistenti, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, preposta alle relative attività di cybersicurezza (comma 1) e presso la quale opererà l'istituenda figura del referente per la cybersicurezza, che svolge, tra l'altro, la funzione di punto di contatto unico dell'amministrazione con l'Agenzia per la cybersicurezza nazionale (comma 2).
È inoltre prevista l'esclusione dall'ambito di applicazione dei richiamati obblighi dei soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge n. 105 del 2019 (soggetti Perimetro), per i quali continuano a trovare applicazione gli obblighi previsti dalle disposizioni di cui alla richiamata disciplina, nonché degli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato, e degli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124 (comma 3).
L'articolo 7 (Funzioni dell'Agenzia per la cybersicurezza nazionale in materia di intelligenza artificiale) modifica l'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, inserendo la lettera m-quater), finalizzata a conferire all'Agenzia, in ragione del ruolo di Autorità nazionale per la cybersicurezza, la possibilità di promuovere e sviluppare ogni iniziativa, anche di partenariato pubblico-privato, per la valorizzazione dell'intelligenza artificiale come risorsa per il rafforzamento della sicurezza e della resilienza cibernetiche nazionali, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia (comma 1).
L'articolo 8 (Procedimento amministrativo sanzionatorio per l'accertamento e la contestazione delle violazioni in materia di cybersicurezza di competenza dell'Agenzia per la cybersicurezza nazionale) modifica l'articolo 17 del citato decreto-legge 14 giugno 2021, n. 82, prevedendo la possibilità di adottare con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza, un regolamento per la disciplina del procedimento sanzionatorio amministrativo dell'Agenzia per la cybersicurezza nazionale che stabilisca, in particolare, termini e modalità per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del citato decreto-legge n. 82 del 2021 e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Fino all'entrata in vigore di tale regolamento, da adottare entro novanta giorni dalla data di entrata in vigore della legge, ai procedimenti sanzionatori si applicano, per ciascuna delle richiamate fasi procedimentali (accertamento, contestazione e notificazione delle violazioni della normativa in materia di cybersicurezza e irrogazione delle relative sanzioni), le disposizioni contenute nel capo I, sezioni I e II, della legge 24 novembre 1981, n. 689.
L'articolo 9 (Disposizioni in materia di personale dell'Agenzia per la cybersicurezza nazionale) prevede a carico dei dipendenti appartenenti al ruolo del personale dell'Agenzia, che abbiano partecipato, nell'interesse e a spese dell'Agenzia, a specifici percorsi formativi di specializzazione, il divieto, della durata di due anni, di accettare l'assunzione o il conferimento di incarichi da parte di soggetti privati per lo svolgimento di mansioni in materia di cybersicurezza. Il medesimo articolo 9 prevede specifiche cause di esclusione dall'applicazione del richiamato divieto nel caso di collocamento a riposo d'ufficio, di raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, di cessazione a domanda per inabilità ovvero di dispensa dal servizio per motivi di salute. I percorsi formativi di specializzazione che danno luogo al predetto divieto di assunzione sono individuati con determinazione del direttore generale dell'Agenzia, tenendo conto della particolare qualità dell'offerta formativa, dei costi, della durata e del relativo livello di specializzazione che consegue alla frequenza dei suddetti percorsi (comma 1).
L'articolo 10 (Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e misure di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133) reca disposizioni dirette a indicare criteri di cybersicurezza in tema di appalti pubblici. In particolare, è prevista l'adozione di un decreto del Presidente del Consiglio dei ministri, entro centoventi giorni dalla data di entrata in vigore della legge, su proposta dell'Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la cybersicurezza, di cui all'articolo 4 del decreto-legge 14 giugno 2021, n. 82, con cui sono individuati gli elementi essenziali di cybersicurezza da tenere in considerazione in relazione alle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici (comma 1).
Le disposizioni dettate mirano a promuovere maggiore garanzia delle esigenze di cybersicurezza, nel caso in cui le attività di approvvigionamento siano connesse alla tutela degli interessi nazionali strategici, prevedendo un richiamo all'applicazione delle disposizioni del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, con specifico riferimento agli articoli 107 e 108 dello stesso (comma 2).
Le richiamate disposizioni vengono coordinate con quanto stabilito dal decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di prodotti, processi, servizi di tecnologia dell'informazione e delle telecomunicazioni (ICT) e associate infrastrutture destinati alle reti, ai sistemi informativi e per l'espletamento dei servizi informatici conferiti nel perimetro di sicurezza nazionale cibernetica (commi 3 e 4).
Il capo II reca disposizioni per la prevenzione e il contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e comprende gli articoli da 11 a 18, che vengono di seguito partitamente esaminati.
L'articolo 11 contiene modifiche al codice penale.
Si interviene, innanzitutto, sul delitto di accesso abusivo ad un sistema informatico, di cui all'articolo 615-ter del codice (comma 1, lettera a)).
Quanto alle aggravanti previste dal secondo comma, sono stati raddoppiati i limiti edittali (comminandosi ora la pena della reclusione da due a dieci anni), la circostanza di cui al numero 2) è stata ampliata al fine di affiancare all'uso della violenza anche l'impiego della minaccia, mentre in quella di cui al numero 3) è stata contemplata altresì l'ipotesi in cui dal fatto derivi «la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al titolare» dei dati, delle informazioni o dei programmi contenuti nel sistema informativo.
Sono altresì innalzate le pene previste dal terzo comma per i casi in cui l'oggetto materiale delle condotte delittuose sia costituito da sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico. Per l'ipotesi base si prevede la pena della reclusione da tre a dieci anni, mentre per le fattispecie aggravate da quattro a dodici anni. Limitatamente alle circostanze previste dal numero 3) del secondo comma, si introduce un divieto di bilanciamento, stabilendosi che «le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alle predette circostanze aggravanti».
Quanto alla fattispecie prodromica di detenzione, diffusione e installazione abusiva di apparecchiature, codici e altri mezzi atti all'accesso a sistemi informatici o telematici, prevista dall'articolo 615-quater del codice (comma 1, lettera b)), oltre ad ampliarsi il dolo specifico «di profitto» in quello «di vantaggio», si interviene sul sistema delle aggravanti, che vengono sostanzialmente mantenute, sostituendosi l'improprio rinvio all'articolo 617-quater, quarto comma, con il richiamo alle corrispondenti aggravanti di cui all'articolo 615-ter e, contestualmente, distribuendole in due successivi commi e irrobustendo le relative cornici edittali. Al secondo comma si prevede, infatti, la pena della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1), mentre al terzo viene comminata la reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma, primo periodo.
Anche l'intervento (apparentemente abrogativo) operato sull'ulteriore fattispecie prodromica di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, di cui all'articolo 615-quinquies (comma 1, lettera c)), risponde innanzitutto ad esigenze di riordino sistematico, giacché la disposizione viene in realtà ricollocata all'articolo 635-quater.1 nel più appropriato contesto dei delitti di danneggiamento (comma 1, lettera p)). Vengono inoltre introdotte anche per tale fattispecie le aggravanti appena illustrate con riferimento all'articolo 615-quater.
Analoga estensione, seppur limitata alle sole circostanze di cui all'articolo 615-ter, secondo comma, numero 1), è operata per il delitto di detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni o conversazioni telegrafiche o telefoniche, previsto dall'articolo 617-bis (comma 1, lettera d)).
L'intervento operato sull'articolo 617-quater, relativo al delitto di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, determina un innalzamento dei limiti edittali previsti per le aggravanti e un riallineamento, di natura sistematica, del quarto comma al sistema delle aggravanti previste per l'accesso abusivo a sistema informatico, dal quale è stato altresì mutuato – al nuovo quinto comma – il divieto di bilanciamento (comma 1, lettera e)).
Per il delitto di detenzione, diffusione e installazione abusiva di apparecchiature e di altri mezzi atti a intercettare, impedire o interrompere comunicazioni informatiche o telematiche, di cui all'articolo 617-quinquies, l'intervento consiste in un innalzamento dei limiti edittali delle fattispecie aggravate, simile a quello previsto per l'articolo 635-quater.1 (comma 1, lettera f)). Il nuovo secondo comma prevede la pena della reclusione da due a sei anni quando ricorra taluna delle circostanze di cui all'articolo 617-quater, quarto comma, numero 2), mentre per i casi di cui al numero 1) i commi successivi comminano la reclusione da tre a otto anni e prevedono il divieto di bilanciamento con le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater, nei termini già in precedenza illustrati.
Quanto al delitto di falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche, previsto dall'articolo 617-sexies, si rivede la cornice edittale per le ipotesi aggravate (ora innalzata in una forbice da tre a otto anni) e, al terzo comma, si introduce il divieto di bilanciamento di cui sopra (comma 1, lettera g)).
In correlazione con il descritto aggravamento sanzionatorio, è parso in parte necessario, in parte opportuno, prevedere due circostanze attenuanti volte a mitigarne gli effetti, introducendo nel rinominato capo III-bis del titolo XII (comma 1, lettera h)) un nuovo articolo 623-quater (comma 1, lettera i)).
Pertanto, al fine di prevenire qualsiasi possibile profilo di frizione dei più severi limiti edittali introdotti con i princìpi costituzionali, si è innanzitutto prevista – al primo comma – una circostanza diminuente correlata alla lieve entità del fatto, all'uopo riproducendo i tradizionali indicatori di cui all'articolo 311 (natura, specie, mezzi, modalità o circostanze dell'azione; particolare tenuità del danno o del pericolo). Con il secondo comma, per stimolare forme di collaborazione ab intra, è introdotta un'attenuante (in questo caso «ad effetto speciale», con riduzione delle pene dalla metà a due terzi) a favore di colui che «si adoper[i] per evitare che l'attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l'autorità di polizia o l'autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi». Il terzo comma della disposizione, infine, sempre con la finalità di garantire l'assoluta ortodossia costituzionale dell'intervento, sottrae entrambe le circostanze al divieto di prevalenza sulla recidiva reiterata e sulle altre circostanze di cui all'articolo 69, quarto comma.
In ragione della specifica gravità e della frequenza dei ricatti realizzati attraverso la minaccia o l'attuazione di attacchi informatici, al terzo comma dell'articolo 629 è stata introdotta un'autonoma figura di estorsione per i casi in cui essa venga realizzata «mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies, ovvero con la minaccia di compierle», assoggettandola a più severe comminatorie edittali (da sei a dodici anni di reclusione e da 5.000 a 10.000 euro di multa, per l'ipotesi base; da otto a ventidue anni di reclusione e da 6.000 a 18.000 euro di multa, nelle fattispecie aggravate) (comma 1, lettera l)).
Per il delitto di danneggiamento di informazioni, dati e programmi informatici, previsto dall'articolo 635-bis, oltre ad aggravare il trattamento sanzionatorio sia per l'ipotesi base sia per le fattispecie aggravate (è ora comminata la reclusione da due a sei anni per la prima e da tre a otto anni per le seconde), le originarie circostanze aggravanti connesse all'impiego della violenza o della minaccia nonché alle qualità personali dell'agente sono state ampliate attraverso il riallineamento a quelle previste dall'articolo 615-ter, secondo comma, numeri 1) e 2) (comma 1, lettera m)). Identico intervento è stato realizzato per il delitto di danneggiamento di sistemi informatici o telematici, previsto dall'articolo 635-quater (comma 1, lettera o)).
Quanto al danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità, di cui all'articolo 635-ter, oltre a semplificare il nomen iuris (in danneggiamento di informazioni, dati e programmi informatici «pubblici o di interesse pubblico»), si è intervenuti al fine di:
uniformare a quella già prevista dall'articolo 615-ter, comma 3, l'indicazione della natura delle informazioni, dei dati e dei programmi informatici protetti;
aumentare le soglie edittali per l'ipotesi base e le fattispecie aggravate (reclusione da due a sei anni per la prima, da tre a otto anni per le seconde);
uniformare a quella di cui all'articolo 615-ter, comma 2, l'elencazione delle circostanze aggravanti;
comminare la pena della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorra con taluna delle circostanze cui al numero 3), escludendo – in tal caso – che circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 639-ter possano essere ritenute equivalenti o prevalenti (comma 1, lettera n)).
Anche in questo caso, un intervento sostanzialmente identico è stato operato sul delitto di danneggiamento di sistemi informatici o telematici di pubblico utilità (ora «di pubblico interesse»), previsto dall'articolo 635-quinquies, del quale si è altresì adeguata la formulazione del primo comma riproducendo estensivamente la descrizione del «fatto di cui all'articolo 635-quater» in precedenza impiegata nella norma (lettera q)).
Della (apparente) nuova introduzione dell'articolo 635-quater.1, relativo alla fattispecie prodromica di detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, già prevista dall'articolo 615-quinquies, s'è già detto nel commentare l'avvenuta abrogazione di tale disposizione (lettera p)).
Un ultimo intervento è costituito, infine, dall'introduzione del nuovo articolo 639-ter, con cui sono state previste due circostanze attenuanti per i casi di lieve entità del fatto e di collaborazione, del tutto corrispondenti – per struttura, efficacia e regime di bilanciamento – a quelle esaminate in relazione all'articolo 623-quater, alla quale può dunque senz'altro operarsi integrale rinvio (lettera r)).
Il potenziamento della risposta sanzionatoria illustrato in relazione all'articolo 11 è corredato dell'estensione ai reati di criminalità informatica più gravi di alcune delle disposizioni processuali penali riservate dal legislatore alle fattispecie di reato di maggiore allarme sociale.
In particolare, l'articolo 12:
oltre a sopprimere il riferimento all'articolo 615-quinquies del codice penale (inserito nel nuovo 635-quater.1), integra il catalogo dei reati informatici attribuiti dall'articolo 51, comma 3-quinquies, del codice di procedura penale alla competenza del procuratore distrettuale, comprendendovi le fattispecie delittuose di cui agli articoli 635-quater.1 (detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) e 635-quinquies (danneggiamento di sistemi informatici o telematici di pubblico interesse) del codice penale, nonché il delitto di cui all'articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133 (che punisce le false informazioni tese a ostacolare o condizionare la formazione e trasmissione dell'elenco delle reti, sistemi informatici e informativi da parte degli operatori compresi nel perimetro di sicurezza cibernetica, le procedure di affidamento delle forniture di strumenti destinati ai servizi e sistemi informatici, o le attività ispettive o di vigilanza su reti, sistemi informatici e servizi informatici (lettera a));
estende ai reati informatici di cui al catalogo previsto al numero 7-ter) dell'articolo 407, comma 2, lettera a), del codice di procedura penale, introdotto dalla successiva lettera c), la portata applicativa della deroga disposta all'articolo 406, comma 5-bis, così escludendo la richiamata categoria di reati dal regime ordinario di notifica dell'avviso della richiesta di proroga delle indagini preliminari e di fissazione dell'udienza in camera di consiglio da parte del giudice per le indagini preliminari, in caso di mancato accoglimento dell'istanza (lettera b));
introduce all'articolo 407, comma 2, lettera a), il numero 7-ter), in tal modo estendendo ai delitti informatici previsti dagli articoli 615-ter, 615-quater, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635-quater.1 e 635-quinquies del codice penale, il regime che amplia a due anni il termine per le indagini preliminari, qualora il fatto sia commesso in danno di sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico (lettera c)).
Quale naturale sviluppo dell'aggravamento del trattamento sanzionatorio per i reati informatici e del rafforzamento degli strumenti investigativi per il relativo contrasto, è stata prevista l'estensione della disciplina dei collaboratori di giustizia (articolo 13) e dei testimoni di giustizia (articolo 16) agli autori dei reati informatici per i quali l'articolo 2-bis del decreto-legge 10 agosto 2023, n. 105, convertito, con modificazioni, dalla legge 9 ottobre 2023, n. 137, ha recentemente attribuito il coordinamento al procuratore nazionale antimafia e antiterrorismo.
L'articolo 13 del disegno di legge, in particolare, modifica l'articolo 9, comma 2, del decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, consentendo così l'adozione, per gli autori dei reati informatici previsti al comma 4-bis dell'articolo 371-bis del codice di procedura penale, delle speciali misure di protezione riservate ai soggetti che abbiano collaborato nell'ambito di un procedimento penale, rendendo dichiarazioni qualificate ai sensi del comma 3 del medesimo articolo (intrinseca attendibilità, carattere di novità e completezza, di notevole importanza per lo sviluppo delle indagini, eccetera) (lettera a)).
Viene modificato, quindi, l'articolo 11, comma 2, del medesimo decreto-legge n. 8 del 1991, prevedendo che per i reati informatici di cui all'articolo 371-bis, comma 4-bis, sia effettuata la comunicazione della proposta di ammissione alle speciali misure di protezione al procuratore nazionale antimafia e antiterrorismo, ampliando altresì la cognizione di quest'ultimo sui contrasti nel caso di più uffici del pubblico ministero che procedono a indagini collegate (lettera b)).
Infine, si modifica l'articolo 16-nonies, comma 1, del medesimo decreto-legge, estendendo alle persone condannate per i reati informatici attribuiti al coordinamento del procuratore nazionale antimafia e antiterrorismo dall'articolo 371-bis, comma 4-bis, la disciplina speciale dei benefìci penitenziari riservati dalla legge ai soggetti che collaborano con la giustizia (lettera c)).
Il disegno di legge, in un'ottica di sistema, all'articolo 16 estende anche la disciplina recante le disposizioni per la protezione dei testimoni di giustizia prevedendo, con la modifica dell'articolo 11, comma 2, della legge 11 gennaio 2018, n. 6, che la proposta di ammissione alle speciali misure di protezione possa riguardare anche i reati informatici di cui all'articolo 371-bis, comma 4-bis, in ordine ai quali è dunque previsto il parere del procuratore nazionale antimafia e antiterrorismo.
Nella prospettiva del potenziamento degli strumenti investigativi, l'articolo 14 modifica l'articolo 13 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, inserendo un comma 3-bis che estende la disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici rimessi dall'articolo 371-bis al coordinamento del procuratore nazionale antimafia e antiterrorismo.
La disciplina prevede che le intercettazioni possano essere autorizzate dal giudice per le indagini preliminari sulla base di sufficienti indizi di reato, quando necessarie per la prosecuzione delle indagini, per un termine di quaranta giorni, suscettibile di proroga per ulteriori periodi di venti giorni.
L'articolo 15 interviene, poi, in materia di responsabilità amministrativa degli enti per gli illeciti dipendenti da reato informatico, modificando sul punto l'articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231, con l'innalzamento delle sanzioni previste al comma 1 (che passano da un arco edittale compreso tra cento e cinquecento quote, ad un arco compreso tra duecento e settecento quote), l'inserimento di un comma 1-bis che prevede la sanzione pecuniaria per la nuova ipotesi di estorsione informatica introdotta all'articolo 629, terzo comma, del codice penale, la previsione di sanzioni pecuniarie al comma 2 per il reato di nuova formulazione previsto all'articolo 635-quater.1 (per il quale è innalzata la sanzione sino a quattrocento quote) e infine la previsione, al comma 4 dello stesso articolo, delle sanzioni interdittive di cui all'articolo 9, comma 2, nei casi di condanna per il delitto indicato nel citato comma 1-bis.
Il quadro illustrato trova completamento all'articolo 17 del disegno di legge, con la regolazione dei rapporti tra l'Agenzia per la cybersicurezza nazionale (di seguito ACN), il procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria e il pubblico ministero, realizzata intervenendo sull'articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109 (decreto che, come noto, definisce l'architettura nazionale della cybersicurezza e istituisce l'ACN).
Viene prevista, in particolare, la trasmissione immediata delle notifiche di incidente (con un novellato comma 4 dell'articolo 17) da parte del personale dell'Agenzia addetto al CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155; la rapida informazione è funzionale a che l'obbligo di denuncia, in tal modo assolto da parte dell'ACN, consenta al pubblico ministero di ricevere tempestivamente la notizia di reato e, assunta la direzione delle indagini, valutare (comma 4-bis.3 dell'articolo 17):
a) la compatibilità degli accertamenti investigativi con le attività di ripristino svolte dall'ACN ai sensi dell'articolo 7, comma 1, lettera n-bis), del decreto-legge 14 giugno 2021, n. 82 (recentemente introdotto dall'articolo 2-bis del decreto-legge 10 agosto 2023, n. 105, convertito, con modificazioni, dalla legge 9 ottobre 2023, n. 137);
b) l'attivazione del raccordo informativo tra l'organo centrale predetto e l'ACN;
c) l'eventuale differimento delle attività di ripristino.
La disciplina introduce inoltre reciproci obblighi informativi tra l'ACN e l'autorità giudiziaria, funzionali ad assicurare l'efficace e tempestivo svolgimento delle attività di ripristino, l'assicurazione delle fonti di prova e il coordinamento del procuratore nazionale antimafia e antiterrorismo per i reati indicati nel novellato articolo 371-bis, comma 4-bis, del codice di procedura penale.
In particolare, l'Agenzia informa senza ritardo il procuratore nazionale antimafia e antiterrorismo della notizia di un attacco qualificato (comma 4-bis.1 dell'articolo 17); corrispondentemente il pubblico ministero dà tempestiva informazione all'ACN della notizia dei delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale (comma 4-bis.2 dell'articolo 17).
Viene, infine, introdotta la facoltà per l'ACN, in caso di accertamenti tecnici irripetibili per i delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, di assistere al conferimento dell'incarico e partecipare agli accertamenti, anche quando si procede nelle forme dell'incidente probatorio (comma 4-bis.4).
L'articolo 18 (Disposizioni finanziarie) reca, al comma 1, la clausola di invarianza finanziaria, stabilendo che dall'attuazione delle disposizioni di cui alla legge non devono derivano nuovi o maggiori oneri per la finanza pubblica e che le amministrazioni pubbliche interessate provvedono all'adempimento delle disposizioni della stessa con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente. Il comma 2 dispone che i proventi delle sanzioni di cui all'articolo 1, comma 5, confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.
RELAZIONE TECNICA
(Articolo 17, comma 3, della legge 31 dicembre 2009, n. 196).
DISEGNO DI LEGGE
Capo I
DISPOSIZIONI IN MATERIA DI RAFFORZAMENTO DELLA CYBERSICUREZZA NAZIONALE, RESILIENZA DELLE PUBBLICHE AMMINISTRAZIONI, PERSONALE E FUNZIONAMENTO DELL'AGENZIA PER LA CYBERSICUREZZA NAZIONALE, NONCHÉ DI CONTRATTI PUBBLICI DI BENI E SERVIZI INFORMATICI IMPIEGATI IN UN CONTESTO CONNESSO ALLA TUTELA DEGLI INTERESSI NAZIONALI STRATEGICI
Art. 1.
(Obblighi di notifica di incidenti)
1. Le pubbliche amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti e le aziende sanitarie locali segnalano e notificano, con le modalità e nei termini di cui al comma 2, gli incidenti indicati nella tassonomia di cui all'articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, aventi impatto su reti, sistemi informativi e servizi informatici. Tra i soggetti di cui al presente comma sono altresì comprese le rispettive società in house.
2. I soggetti di cui al comma 1 segnalano, senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia di cui al comma 1 ed effettuano, entro settantadue ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. La segnalazione e la successiva notifica sono effettuate tramite le apposite procedure disponibili nel sito internet istituzionale dell'Agenzia per la cybersicurezza nazionale.
3. Nell'ipotesi in cui i soggetti di cui al comma 1 effettuino notifiche volontarie di incidenti al di fuori dei casi indicati nella tassonomia di cui al medesimo comma 1, si applicano le disposizioni di cui all'articolo 18, commi 3, 4 e 5, del decreto legislativo 18 maggio 2018, n. 65.
4. Nel caso di inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale comunica all'interessato che la reiterazione dell'inosservanza comporterà l'applicazione delle disposizioni di cui al comma 5 e può disporre, nei dodici mesi successivi all'accertamento del ritardo o dell'omissione, l'invio di ispezioni, anche al fine di verificare l'attuazione, da parte dei soggetti interessati dall'incidente, di interventi di rafforzamento della resilienza agli stessi, direttamente indicati dall'Agenzia per la cybersicurezza nazionale ovvero previsti da apposite linee guida adottate dalla medesima Agenzia. Le modalità di tali ispezioni sono disciplinate con determinazione del direttore generale dell'Agenzia per la cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale.
5. Nei casi di reiterata inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale applica altresì, nel rispetto delle disposizioni dell'articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000. La violazione delle disposizioni del comma 1 del presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile.
6. Fermi restando gli obblighi e le sanzioni, anche penali, previsti da altre norme di legge, le disposizioni del presente articolo non si applicano:
a) ai soggetti di cui di cui all'articolo 3, comma 1, lettere g) e i), del decreto legislativo n. 65 del 2018 e a quelli di cui all'articolo 1, comma 2-bis, del decreto-legge n. 105 del 2019, convertito, con modificazioni, dalla legge n. 133 del 2019;
b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.
Art. 2.
(Mancato o ritardato adeguamento a segnalazioni dell'Agenzia per la cybersicurezza nazionale)
1. I soggetti di cui all'articolo 1, comma 1, della presente legge e quelli di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, all'articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65, e all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, in caso di segnalazioni puntuali dell'Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultino potenzialmente esposti, provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all'adozione degli interventi risolutivi indicati dalla stessa Agenzia.
2. La mancata o ritardata adozione degli interventi risolutivi di cui al comma 1 comporta l'applicazione delle sanzioni di cui all'articolo 1, comma 5, salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all'Agenzia per la cybersicurezza nazionale, ne impediscano l'adozione o ne comportino il differimento oltre il termine indicato al comma 1.
Art. 3.
(Norme di raccordo con le disposizioni del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133)
1. All'articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, sono apportate le seguenti modificazioni:
a) il secondo periodo è sostituito dal seguente: «I medesimi soggetti provvedono a effettuare la segnalazione degli incidenti di cui al presente comma senza ritardo, comunque entro il termine massimo di ventiquattro ore, e ad effettuare la relativa notifica entro settantadue ore»;
b) dopo il quarto periodo è inserito il seguente: «Nei casi di reiterata inosservanza degli obblighi di notifica di cui al presente comma, si applica la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000».
Art. 4.
(Disposizioni in materia di Nucleo per la cybersicurezza)
1. All'articolo 8 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4 è inserito il seguente:
«4.1. In relazione a specifiche questioni di particolare rilevanza concernenti i compiti di cui all'articolo 9, comma 1, lettera a), il Nucleo può essere convocato nella composizione di cui al comma 4, di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d'Italia o di uno o più operatori di cui all'articolo 1, comma 2-bis, del decreto-legge perimetro, nonché di eventuali altri soggetti, interessati alle stesse questioni. Le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice».
Art. 5.
(Disposizioni in materia di coordinamento operativo tra i servizi di informazione per la sicurezza e l'Agenzia per la cybersicurezza nazionale)
1. Qualora i servizi di cui agli articoli 6 e 7 della legge 3 agosto 2007, n. 124, avuta notizia di un evento o un incidente informatici, ritengano strettamente necessario, per il perseguimento delle finalità istituzionali del Sistema di informazione per la sicurezza della Repubblica, il differimento di una o più delle attività di resilienza di cui all'articolo 7, comma 1, lettere n) e n-bis), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, i predetti servizi, per il tramite del Dipartimento delle informazioni per la sicurezza, ne informano il Presidente del Consiglio dei ministri o l'Autorità delegata di cui all'articolo 3 della citata legge n. 124 del 2007, ove istituita.
2. Nei casi di cui al comma 1, il Presidente del Consiglio dei ministri, sentiti il direttore generale del Dipartimento delle informazioni per la sicurezza e il direttore generale dell'Agenzia per la cybersicurezza nazionale, può disporre il differimento degli obblighi informativi cui è in ogni caso tenuta l'Agenzia ai sensi delle disposizioni vigenti, ivi compresi quelli previsti ai sensi dell'articolo 17, commi 4 e 4-bis, del decreto-legge n. 82 del 2021, nonché il differimento di una o più delle attività di resilienza di cui all'articolo 7, comma 1, lettere n) e n-bis), del medesimo decreto-legge.
Art. 6.
(Rafforzamento della resilienza delle pubbliche amministrazioni. Referente per la cybersicurezza)
1. I soggetti di cui all'articolo 1, comma 1, individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede:
a) allo sviluppo delle politiche e procedure di sicurezza delle informazioni;
b) alla produzione e all'aggiornamento di un piano per la gestione del rischio informatico;
c) alla produzione e all'aggiornamento di un documento che definisca i ruoli e l'organizzazione del sistema per la sicurezza delle informazioni dell'amministrazione;
d) alla produzione e all'aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell'amministrazione;
e) alla pianificazione e all'attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d);
f) alla pianificazione e all'attuazione dell'adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall'Agenzia per la cybersicurezza nazionale;
g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.
2. Presso le strutture di cui al comma 1 opera il referente per la cybersicurezza, individuato in ragione delle qualità professionali possedute. Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell'amministrazione con l'Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione. A tal fine, il nominativo del referente per la cybersicurezza è comunicato all'Agenzia per la cybersicurezza nazionale.
3. Le disposizioni di cui al presente articolo non si applicano:
a) ai soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ai quali continuano ad applicarsi gli obblighi previsti dalle disposizioni di cui alla richiamata disciplina;
b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124.
Art. 7.
(Funzioni dell'Agenzia per la cybersicurezza nazionale in materia di intelligenza artificiale)
1. All'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo la lettera m-ter) è inserita la seguente:
«m-quater) promuove e sviluppa ogni iniziativa, anche di partenariato tra soggetti pubblici e privati, volta a valorizzare l'intelligenza artificiale come risorsa per il rafforzamento della cybersicurezza nazionale, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia».
Art. 8.
(Procedimento amministrativo sanzionatorio per l'accertamento e la contestazione delle violazioni in materia di cybersicurezza di competenza dell'Agenzia per la cybersicurezza nazionale)
1. All'articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4-ter è inserito il seguente:
«4-quater. La disciplina del procedimento sanzionatorio amministrativo dell'Agenzia è definita con regolamento che stabilisce, in particolare, termini e modalità per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Il regolamento di cui al primo periodo è adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza. Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del capo I della legge 24 novembre 1981, n. 689».
Art. 9.
(Disposizioni in materia di personale dell'Agenzia per la cybersicurezza nazionale)
1. All'articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8-bis è aggiunto il seguente:
«8-ter. I dipendenti appartenenti al ruolo del personale dell'Agenzia di cui al comma 2, lettera a), che abbiano partecipato, nell'interesse e a spese dell'Agenzia, a specifici percorsi formativi di specializzazione, per la durata di due anni a decorrere dalla data di completamento dell'ultimo dei predetti percorsi formativi non possono essere assunti né assumere incarichi presso soggetti privati al fine di svolgere mansioni in materia di cybersicurezza. I contratti stipulati in violazione di quanto disposto dal presente comma sono nulli. Le disposizioni del presente comma non si applicano al personale cessato dal servizio presso l'Agenzia secondo quanto previsto dalle disposizioni del regolamento adottato ai sensi del presente articolo relative al collocamento a riposo d'ufficio, al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, alla cessazione a domanda per inabilità o alla dispensa dal servizio per motivi di salute. I percorsi formativi di specializzazione di cui al presente comma sono individuati con determinazione del direttore generale dell'Agenzia, tenendo conto della particolare qualità dell'offerta formativa, dei costi, della durata e del livello di specializzazione che consegue alla frequenza dei suddetti percorsi».
Art. 10.
(Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133)
1. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centoventi giorni dalla data di entrata in vigore della presente legge, su proposta dell'Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la cybersicurezza, di cui all'articolo 4 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla 4 agosto 2021, n. 109, sono individuati gli elementi essenziali di cybersicurezza che i soggetti di cui all'articolo 2, comma 2, del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici. Ai fini del presente articolo, per «elementi essenziali di cybersicurezza» si intende l'insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l'integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo.
2. Nei casi individuati ai sensi del comma 1, le stazioni appaltanti, comprese le centrali di committenza:
a) possono esercitare la facoltà di cui agli articoli 107, comma 2, e 108, comma 10, del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, se accertano che l'offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati con il decreto di cui al comma 1;
b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza di cui al comma 1 nella valutazione dell'elemento qualitativo, ai fini dell'individuazione del miglior rapporto qualità/prezzo per l'aggiudicazione;
c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell'articolo 108, comma 3, del codice di cui al decreto legislativo n. 36 del 2023, inseriscono gli elementi di cybersicurezza di cui al comma 1 tra i requisiti minimi dell'offerta;
d) nel caso in cui sia utilizzato il criterio dell'offerta economicamente più vantaggiosa, ai sensi dell'articolo 108, comma 4, del codice di cui al decreto legislativo n. 36 del 2023, nella valutazione dell'elemento qualitativo ai fini dell'individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10 per cento.
3. Le disposizioni di cui al comma 1 si applicano anche ai soggetti privati non compresi fra quelli di cui all'articolo 2, comma 2, del codice di cui al decreto legislativo 7 marzo 2005, n. 82, e inclusi nell'elencazione di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.
4. Resta fermo quanto previsto dall'articolo 1 del citato decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di prodotti, processi, servizi per tecnologie dell'informazione e delle telecomunicazioni e associate infrastrutture destinati alle reti, ai sistemi informativi e all'espletamento dei servizi informatici di cui al comma 2, lettera b), del medesimo articolo 1.
Capo II
DISPOSIZIONI PER LA PREVENZIONE E IL CONTRASTO DEI REATI INFORMATICI NONCHÉ IN MATERIA DI COORDINAMENTO DEGLI INTERVENTI IN CASO DI ATTACCHI A SISTEMI INFORMATICI O TELEMATICI
Art. 11.
(Modifiche al codice penale)
1. Al codice penale sono apportate le seguenti modificazioni:
a) all'articolo 615-ter:
1) al secondo comma:
1.1) all'alinea, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a dieci anni»;
1.2) al numero 2), dopo la parola: «usa» sono inserite le seguenti: «minaccia o»;
1.3) al numero 3), dopo le parole: «ovvero la distruzione o il danneggiamento» sono inserite le seguenti: «ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al titolare»;
2) al terzo comma:
2.1) le parole: «da uno a cinque anni e da tre a otto anni» sono sostituite dalle seguenti: «da tre a dieci anni e da quattro a dodici anni»;
2.2) è aggiunto, in fine, il seguente periodo: «Nei soli casi in cui concorrono anche le circostanze previste dal numero 3) del secondo comma, le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alle predette circostanze aggravanti»;
b) all'articolo 615-quater:
1) al primo comma, la parola: «profitto» è sostituita dalla seguente: «vantaggio»;
2) il secondo comma è sostituito dal seguente:
«La pena è della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1)»;
3) dopo il secondo comma è aggiunto il seguente:
«La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma, primo periodo»;
c) l'articolo 615-quinquies è abrogato;
d) all'articolo 617-bis:
1) dopo il primo comma è inserito il seguente:
«La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1)»;
2) al secondo comma, le parole: «ovvero da un pubblico ufficiale» fino alla fine del comma sono soppresse;
e) all'articolo 617-quater:
1) al quarto comma:
1.1) all'alinea, le parole: «da tre a otto anni» sono sostituite dalle seguenti: «da quattro a dieci anni»;
1.2) il numero 1) è sostituito dal seguente:
«1) in danno di taluno dei sistemi informatici o telematici indicati nell'articolo 615-ter, terzo comma, primo periodo»;
1.3) al numero 2), le parole: «da un pubblico ufficiale» sono sostituite dalle seguenti: «in danno di un pubblico ufficiale nell'esercizio o a causa delle sue funzioni o da un pubblico ufficiale» e la parola: «ovvero» è sostituita dalle seguenti: «o da chi esercita, anche abusivamente, la professione di investigatore privato, o»;
1.4) il numero 3) è abrogato;
2) dopo il quarto comma è aggiunto il seguente:
«Le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater, concorrenti con l'aggravante di cui al quarto comma, numero 1), non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alla predetta aggravante»;
f) all'articolo 617-quinquies:
1) il secondo comma è sostituito dal seguente:
«Quando ricorre taluna delle circostanze di cui all'articolo 617-quater, quarto comma, numero 2), la pena è della reclusione da due a sei anni»;
2) dopo il secondo comma sono aggiunti i seguenti:
«Quando ricorre taluna delle circostanze di cui all'articolo 617-quater, quarto comma, numero 1), la pena è della reclusione da tre a otto anni.
Le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater, concorrenti con l'aggravante di cui all'articolo 617-quater, quarto comma, numero 1), non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alla predetta aggravante»;
g) all'articolo 617-sexies:
1) al secondo comma, le parole: «da uno a cinque anni» sono sostituite dalle parole: «da tre a otto anni»;
2) dopo il secondo comma è inserito il seguente:
«Le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater, concorrenti con l'aggravante di cui all'articolo 617-quater, quarto comma, numero 1), non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alla predetta circostanza aggravante»;
h) nella rubrica del capo III-bis del titolo XII del libro secondo, le parole: «sulla procedibilità» sono soppresse;
i) dopo l'articolo 623-ter è inserito il seguente:
«Art. 623-quater. – (Circostanze attenuanti) – Le pene comminate per i delitti di cui agli articoli 615-ter, 615-quater, 617-quater, 617-quinquies e 617-sexies sono diminuite quando, per la natura, la specie, i mezzi, le modalità o circostanze dell'azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità.
Le pene previste per i delitti di cui al primo comma sono diminuite dalla metà a due terzi per chi si adopera per evitare che l'attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l'autorità di polizia o l'autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi.
Non si applica il divieto di cui all'articolo 69, quarto comma»;
l) all'articolo 629, dopo il secondo comma è aggiunto il seguente:
«Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nell'ultimo capoverso dell'articolo precedente»;
m) all'articolo 635-bis:
1) al primo comma, le parole: «da sei mesi a tre anni» sono sostituite dalle seguenti: «da due a sei anni»;
2) il secondo comma è sostituito dal seguente:
«La pena è della reclusione da tre a otto anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato»;
n) all'articolo 635-ter:
1) al primo comma, le parole: «utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni» sono sostituite dalle seguenti: «di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, è punito con la reclusione da due a sei anni»;
2) il secondo e il terzo comma sono sostituiti dai seguenti:
«La pena è della reclusione da tre a otto anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al legittimo titolare dei dati o dei programmi informatici.
La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3); in tal caso, le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 639-ter non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alle predette circostanze aggravanti»;
3) nella rubrica, le parole: «utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità» sono sostituite dalle seguenti: «pubblici o di interesse pubblico»;
o) all'articolo 635-quater:
1) al primo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a sei anni»;
2) il secondo comma è sostituito dal seguente:
«La pena è della reclusione da tre a otto anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato»;
p) dopo l'articolo 635-quater è inserito il seguente:
«Art. 635-quater.1. – (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) – Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico ovvero le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici è punito con la reclusione fino a due anni e con la multa fino a euro 10.329.
La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1).
La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma, primo periodo»;
q) l'articolo 635-quinquies è sostituito dal seguente:
«Art. 635-quinquies. – (Danneggiamento di sistemi informatici o telematici di pubblico interesse) – Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, compie atti diretti a distruggere, danneggiare o rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento è punito con la pena della reclusione da due a sei anni.
La pena è della reclusione da tre a otto anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici.
La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3); in tal caso, le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 639-ter non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alle predette circostanze aggravanti»;
r) dopo l'articolo 639-bis è inserito il seguente:
«Art. 639-ter. – (Circostanze attenuanti) – Le pene comminate per i delitti di cui agli articoli 629, terzo comma, 635-ter, 635-quater.1 e 635-quinquies sono diminuite quando per la natura, la specie, i mezzi, le modalità o circostanze dell'azione, ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità.
Le pene comminate per i delitti di cui al primo comma sono diminuite dalla metà a due terzi per chi si adopera per evitare che l'attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l'autorità di polizia o l'autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi.
Non si applica il divieto di cui all'articolo 69, quarto comma».
Art. 12.
(Modifiche al codice di procedura penale)
1. Al codice di procedura penale sono apportate le seguenti modificazioni:
a) all'articolo 51, comma 3-quinquies:
1) la parola: «615-quinquies,» è soppressa;
2) dopo la parola: «635-quater,» sono inserite le seguenti: «635-quater.1, 635-quinquies,»;
3) dopo le parole: «del codice penale,» sono inserite le seguenti: «o per il delitto di cui all'articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133,»;
b) all'articolo 406, comma 5-bis, le parole: «numeri 4 e 7-bis» sono sostituite dalle seguenti: «numeri 4), 7-bis) e 7-ter)»;
c) all'articolo 407, comma 2, lettera a), dopo il numero 7-bis) è aggiunto il seguente:
«7-ter) delitti previsti dagli articoli 615-ter, 615-quater, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635-quater.1 e 635-quinquies del codice penale, quando il fatto è commesso in danno di sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico».
Art. 13.
(Modifiche al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82)
1. Al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, sono apportate le seguenti modificazioni:
a) all'articolo 9, comma 2, dopo le parole: «51, comma 3-bis,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,»;
b) all'articolo 11, comma 2, dopo le parole: «51, commi 3-bis e 3-quater,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,»;
c) all'articolo 16-nonies, comma 1, dopo le parole: «51, comma 3-bis,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,».
Art. 14.
(Modifica al decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203)
1. All'articolo 13 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, dopo il comma 3 è aggiunto il seguente:
«3-bis. Le disposizioni dei commi 1, 2 e 3 si applicano anche quando si procede in relazione a taluno dei delitti, consumati o tentati, previsti dall'articolo 371-bis, comma 4-bis, del codice di procedura penale».
Art. 15.
(Modifiche al decreto legislativo 8 giugno 2001, n. 231)
1. All'articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231, sono apportate le seguenti modificazioni:
a) al comma 1, le parole: «da cento a cinquecento quote» sono sostituite dalle seguenti: «da duecento a settecento quote»;
b) dopo il comma 1 è inserito il seguente:
«1-bis. In relazione alla commissione del delitto di cui all'articolo 629, terzo comma, del codice penale, si applica all'ente la sanzione pecuniaria da trecento a ottocento quote»;
c) al comma 2, la parola: «615-quinquies» è sostituita dalla seguente: «635-quater.1» e le parole: «sino a trecento quote» sono sostituite dalle seguenti: «sino a quattrocento quote»;
d) al comma 4, dopo il primo periodo è inserito il seguente: «Nei casi di condanna per il delitto indicato nel comma 1-bis si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, per una durata non inferiore a due anni».
Art. 16.
(Modifica alla legge 11 gennaio 2018, n. 6)
1. All'articolo 11, comma 2, della legge 11 gennaio 2018, n. 6, dopo le parole: «51, commi 3-bis, 3-ter e 3-quater,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,».
Art. 17.
(Modifiche al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109)
1. All'articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le seguenti modificazioni:
a) il comma 4 è sostituito dal seguente:
«4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione immediata delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, costituisce adempimento dell'obbligo di cui all'articolo 331 del codice di procedura penale»;
b) dopo il comma 4-bis sono inseriti i seguenti:
«4-bis.1. Nei casi in cui l'Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale e in ogni caso quando risulti interessato taluno dei soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, di cui all'articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65, ovvero di cui all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, fermo restando quanto previsto dal comma 4 del presente articolo, procede alle attività di cui all'articolo 7, comma 1, lettere n) e n-bis), e ne informa senza ritardo il procuratore nazionale antimafia e antiterrorismo, ai sensi del comma 4-bis;
4-bis.2. Fuori dei casi di cui al comma 4-bis.1, quando acquisisce la notizia dei delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, il pubblico ministero ne dà tempestiva informazione all'Agenzia e assicura, altresì, il raccordo informativo con l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione ai fini di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.
4-bis.3. In ogni caso, il pubblico ministero impartisce le disposizioni necessarie ad assicurare che gli accertamenti urgenti siano compiuti tenendo conto delle attività svolte dall'Agenzia, a fini di resilienza, di cui all'articolo 7, comma 1, lettere n) e n-bis), e può disporre il differimento di una o più delle predette attività, con provvedimento motivato adottato senza ritardo, per evitare un grave pregiudizio per il corso delle indagini.
4-bis.4. Il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione ai delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, informa senza ritardo l'Agenzia, che mediante propri rappresentanti può assistere al conferimento dell'incarico e partecipare agli accertamenti. Le disposizioni del primo periodo si applicano anche quando agli accertamenti si procede nelle forme dell'incidente probatorio».
Art. 18.
(Disposizioni finanziarie)
1. Dall'attuazione della presente legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche competenti provvedono all'adempimento dei compiti derivanti dalla presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.
2. I proventi delle sanzioni di cui all'articolo 1, comma 5, confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.