CAMERA DEI DEPUTATI
Martedì 15 ottobre 2019
254.
XVIII LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Giustizia (II)
COMUNICATO
Pag. 35

AUDIZIONI INFORMALI

  Martedì 15 ottobre 2019.

Audizione, nell'ambito dell'esame della proposta di legge C. 1740 Piero Aiello, recante modifiche e integrazioni della disciplina concernente i testimoni di giustizia, del segretario dell'Associazione nazionale testimoni di giustizia e di Gianfranco Donadio, procuratore della Repubblica presso il Tribunale di Lagonegro.

  L'audizione informale è stata svolta dalle 12 alle 13.05.

SEDE CONSULTIVA

  Martedì 15 ottobre 2019. — Presidenza del vicepresidente Franco VAZIO. — Interviene il sottosegretario di Stato per la giustizia, Vittorio FERRARESI.

  La seduta comincia alle 13.05.

Conversione in legge del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.
C. 2100 Governo.
(Parere alle Commissioni riunite I e IX).
(Esame e rinvio).

  La Commissione inizia l'esame del provvedimento in oggetto.

  Gianfranco DI SARNO (M5S), relatore, ricorda che la Commissione è chiamata ad esaminare, ai fini dell'espressione del prescritto parere ai sensi dell'articolo 73, Pag. 36comma 1-bis del Regolamento della Camera, il disegno di legge di conversione in legge del decreto-legge 21 settembre 2019, n. 105, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica, assegnato alle Commissioni riunite I e IX.
  Rileva preliminarmente come l'obiettivo del provvedimento sia quello di garantire, per le finalità di sicurezza nazionale, l'integrità e la sicurezza delle reti – anche inerenti ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G e dei dati che vi transitano – nonché di costituire un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti, in linea con le più elevate ed aggiornate misure di sicurezza adottate a livello internazionale. Ulteriore obiettivo dell'intervento legislativo è quello di disporre di più idonei strumenti d'immediato intervento che consentano di affrontare con la massima efficacia e tempestività eventuali situazioni di emergenza in ambito cibernetico.
  Nel rinviare alla documentazione predisposta dagli uffici per una dettagliata descrizione dei contenuti del provvedimento in esame, costituito da 7 articoli, precisa che in questa sede si limiterà ad illustrare le disposizioni che attengono ai profili di competenza della Commissione Giustizia: si riferisce ai commi da 9 a 14 dell'articolo 1, che recano un articolato sistema sanzionatorio.
  Prima di illustrare tali disposizioni di competenza della Commissione Giustizia, rileva la necessità di descrivere brevemente l'impianto su cui si innesta il sistema sanzionatorio, e quindi i commi da 1 a 8 dell'articolo 1.
  Segnala pertanto che l'articolo 1 istituisce il perimetro di sicurezza nazionale cibernetica, al fine di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale. In particolare, il comma 1 fa riferimento ad amministrazioni pubbliche, nonché ad enti e operatori nazionali, pubblici e privati le cui reti e sistemi informativi e informatici: sono necessari per l'esercizio di una funzione essenziale dello Stato; sono necessari per l'assolvimento di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato; il cui malfunzionamento, interruzione – anche parziali – o uso improprio possono pregiudicare la sicurezza nazionale.
  Ricorda inoltre che il comma 2 demanda ad un decreto della Presidenza del Consiglio dei ministri (DPCM) – da adottare entro quattro mesi dalla data di entrata in vigore della legge di conversione del decreto in esame, su proposta del Comitato interministeriale per la sicurezza della Repubblica – l'individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica (lettera a)) nonché i criteri in base ai quali i medesimi soggetti predispongono l'elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza (lettera b)). Il comma 3 demanda ad un ulteriore DPCM – da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto in esame – la definizione delle procedure alle quali i soggetti del perimetro di sicurezza nazionale cibernetica devono attenersi per segnalare gli incidenti aventi impatto su reti, sistemi informativi e sistemi informatici (lettera a)) nonché le misure volte a garantire elevati livelli di sicurezza (lettera b)).
  Il comma 4 determina i soggetti ministeriali preposti all'elaborazione delle misure di sicurezza, mentre il comma 5 dispone in merito all'aggiornamento almeno biennale di quanto previsto dai summenzionati DPCM.
  Evidenzia che il comma 6 rimette ad un regolamento di esecuzione – da emanarsi ai sensi dell'articolo 17, comma 1, della legge 23 agosto 1988, n. 400, recante disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri, entro 10 mesi dalla data di entrata in vigore della legge di conversione del decreto in esame – la definizione delle Pag. 37procedure, delle modalità e dei termini alle quali si attengono i seguenti soggetti: le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, quando intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti e sui sistemi informativi e per l'espletamento dei servizi informatici di pertinenza (lettera a)). In particolare i soggetti sopra indicati sono tenuti a dare comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso l'ISCTI (Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione) dal Ministro dello sviluppo economico, dell'intendimento di provvedere all'affidamento di tali forniture. Il CVCN, sulla base di una valutazione del rischio, anche in relazione all'ambito di impiego e in un'ottica di gradualità, può, entro trenta giorni, imporre condizioni e test di hardware e software. In tale ipotesi, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, l'affidamento ovvero il contratto al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN; i soggetti individuati quali fornitori di beni, sistemi e servizi, nel fornire la propria collaborazione per l'effettuazione delle attività di test, sostenendone gli oneri (lettera b)); la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico, nello svolgimento delle attività di ispezione e verifica in relazione a quanto previsto dal presente decreto (lettera c)).
  Il comma 7 individua alcuni compiti del Centro di valutazione e certificazione nazionale con riferimento all'approvvigionamento di prodotti, processi, servizi di tecnologie dell'informazione e della comunicazione (ICT) e associate infrastrutture – qualora destinati a reti, sistemi informativi, sistemi informatici ricompresi nel perimetro di sicurezza nazionale cibernetica.
  Il comma 8 determina alcuni obblighi per gli operatori dei servizi essenziali, i fornitori di servizi digitali e le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico, inclusi nel perimetro di sicurezza nazionale cibernetica. Tali obblighi riguardano l'osservanza delle misure di sicurezza e la notifica degli incidenti aventi impatto su reti, sistemi informativi e sistemi informatici del perimetro di sicurezza nazionale cibernetica.
  I commi da 9 a 14, come detto, disciplinano un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti dal decreto-legge in esame. Più nel dettaglio, il comma 11 punisce con la pena della reclusione da uno a cinque anni coloro che, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2, lettera b) (procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici) e di cui al comma 6, lettera a) (procedimenti relativi all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti e sui sistemi informativi) o delle attività ispettive e di vigilanza da parte della Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico, di cui al comma 6, lettera c): forniscono informazioni, dati o fatti non rispondenti al vero, rilevanti per l'aggiornamento degli elenchi su ricordati o ai fini delle comunicazioni previste nei casi di affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, o per lo svolgimento delle attività ispettive e di vigilanza; omettono di comunicare i predetti dati, informazioni o elementi di fatto.
  Evidenzia che il medesimo comma 11 stabilisce che, nei casi sopra indicati, all'ente privato responsabile ai sensi del decreto legislativo 8 giugno 2001, n.  231 (che reca la disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica), si applica la sanzione pecuniaria fino a quattrocento quote.
  Il comma 9 disciplina una serie di illeciti amministrativi. Le sanzioni amministrative pecuniarie irrogate sono scaglionate Pag. 38in relazione alla gravità della condotta. Più dettagliatamente, salvo che il fatto costituisca reato, è punito con la sanzione amministrativa pecuniaria da 200.000 a 1.200.000 euro il mancato adempimento degli obblighi di predisposizione e di aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informativi di cui al comma 2, lettera b) (comma 9, lettera a)); da 250.000 a 1.500.000 euro: il mancato adempimento nei termini prescritti dell'obbligo di notifica degli incidenti aventi impatto su reti, sistemi informativi e sistemi informatici, di cui al comma 3, lettera a) (comma 9, lettera b)); l'inosservanza delle misure volte a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica, di cui al comma 3, lettera b) (comma 9, lettera c)); la mancata collaborazione per l'effettuazione delle attività di test di cui al comma 6, lettera a) da parte dei fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici (comma 9, lettera f)); il mancato adempimento delle prescrizioni indicate dal Ministero dello sviluppo economico o dalla Presidenza del Consiglio dei ministri in esito alle attività di verifica e ispezione svolte ai sensi del comma 6, lettera c) (comma 9, lettera g)); il mancato rispetto delle prescrizioni di utilizzo dettate dal CVCN (comma 9, lettera h)); da 300.000 a 1.800.000 euro: la mancata comunicazione, nei termini prescritti, dell'intendimento di provvedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici di cui al comma 6, lettera a) (comma 9, lettera d)); l'impiego di prodotti e servizi sulle reti e sui sistemi informativi e l'espletamento dei servizi informatici su menzionati, in violazione delle condizioni imposte dal CVCN o in assenza del superamento del test di hardware e software di cui al comma 6, lettera a) (comma 9, lettera e)).
  Ai sensi del comma 10, in caso di inottemperanza alle condizioni imposte dal CVCN o in assenza dell'esito favorevole dei test di hardware e software, il contratto non produce effetto ovvero cessa di produrre effetti ed è fatto divieto alle parti di darvi, anche provvisoriamente, esecuzione. Oltre alla sanzione pecuniaria di cui al comma 9, lettera e), la violazione di tale divieto comporta, per coloro che abbiano disposto l'affidamento del contratto, la sanzione amministrativa accessoria della incapacità ad assumere incarichi di direzione, amministrazione e controllo nelle persone giuridiche e nelle imprese, per un periodo di tre anni a decorrere dalla data di accertamento della violazione.
  Segnala che con il comma 12 vengono individuate le autorità competenti all'accertamento delle violazioni e all'irrogazione delle sanzioni previste dai commi precedenti. Si tratta: della Presidenza del Consiglio dei Ministri, per le amministrazioni pubbliche, gli enti e gli operatori nazionali pubblici inclusi nel perimetro di sicurezza nazionale nonché per i soggetti qualificati o accreditati per fornire servizi fiduciari o attività di gestore di posta elettronica certificata o di gestore dell'identità digitale (in base all'articolo 29 del decreto legislativo 7 marzo 2005, n. 82, recante il codice dell'amministrazione digitale); del Ministero dello Sviluppo economico, per gli operatori nazionali privati inclusi nel perimetro di sicurezza nazionale.
  Come previsto dal comma 13, per l'accertamento delle violazioni e l'irrogazione delle sanzioni si applica il procedimento disciplinato dalla legge 24 novembre 1981, n. 689, che, per l'applicazione della sanzione amministrativa pecuniaria, prevede: accertamento, contestazione-notifica al trasgressore; pagamento in misura ridotta o inoltro di memoria difensiva all'autorità amministrativa (con conseguente archiviazione o emanazione di ordinanza ingiunzione di pagamento); eventuale opposizione all'ordinanza ingiunzione davanti all'autorità giudiziaria ordinaria (giudice di pace o tribunale); accoglimento dell'opposizione, anche parziale, o rigetto (con Pag. 39sentenza ricorribile per cassazione); eventuale esecuzione forzata per la riscossione delle somme.
  Rileva infine che il comma 14 specifica che per la violazione delle disposizioni dell'articolo 1 i dipendenti delle amministrazioni pubbliche, degli enti e degli operatori nazionali pubblici inclusi nel perimetro di sicurezza nazionale possono incorrere in responsabilità disciplinare e amministrativo-contabile. Si tratta di violazioni che determinano infatti a carico del datore di lavoro una responsabilità amministrativa per il pagamento di una sanzione pecuniaria.

  Giusi BARTOLOZZI (FI) chiede di sapere quali siano i tempi per l'esame del provvedimento.

  Franco VAZIO (PD), presidente, avverte che, votando la Commissione competente il mandato al relatore nella giornata di giovedì, il prescritto parere dovrà essere espresso nella seduta di domani.

  Giusi BARTOLOZZI (FI), dal momento che il decreto-legge in esame deve essere convertito in legge entro il 20 novembre prossimo, ritiene che vi sia tutto il tempo per un esame attento del provvedimento, anche in considerazione della complessità della relazione testé svolta dal collega Di Sarno.

  Franco VAZIO (PD), presidente, ricorda alla collega Bartolozzi che il provvedimento è iscritto all'ordine del giorno dell'Assemblea nella seduta di lunedì 21 ottobre e che pertanto i tempi di esame da parte della Commissione saranno necessariamente quelli già indicati. Avverte quindi che si provvederà alla votazione della proposta di parere nella giornata di domani. Nessun altro chiedendo di intervenire, rinvia il seguito dell'esame ad altra seduta.

  La seduta termina alle 13.10.

SEDE REFERENTE

  Martedì 15 ottobre 2019. — Presidenza del vicepresidente Franco VAZIO. — Interviene il sottosegretario di Stato per la giustizia, Vittorio Ferraresi.

  La seduta comincia alle 13.10.

Modifiche al codice penale, alla legge 29 maggio 2017, n. 71, e al regio decreto-legge 20 luglio 1934, n. 1404, convertito, con modificazioni, dalla legge 27 maggio 1935, n. 835, in materia di prevenzione e contrasto del fenomeno del bullismo e di misure rieducative dei minori.
C. 1524 Dori.

(Seguito dell'esame e rinvio – Abbinamento della proposta di legge C. 1834 Meloni).

  La Commissione prosegue l'esame del provvedimento in oggetto, rinviato nella seduta del 2 ottobre scorso.

  Franco VAZIO, presidente, avverte che è assegnata alla II Commissione la proposta di legge C. 1834 Meloni, la quale, vertendo su identica materia, è abbinata, ai sensi dell'articolo 77, comma 1, del Regolamento, alla proposta di legge in esame. Ricorda che nella precedente seduta era stato concluso l'esame preliminare della proposta di legge C. 1524 Dori, adottata come testo base, ed era stato fissato il termine per la presentazione di proposte emendative. A seguito dell'abbinamento odierno della proposta C. 1834 Meloni, chiede se si intenda confermare come testo base la proposta di legge C. 1524 Dori.

  Devis DORI (M5S), relatore, chiede che la Commissione sospenda brevemente i propri lavori, per consentire ai colleghi che si sono già allontanati di partecipare ad un'eventuale votazione.

  Franco VAZIO, presidente, evidenzia come la conferma del testo base possa evincersi dall'assenza di obiezioni.

Pag. 40

  Emanuela ROSSINI (MISTO-MIN.LING.) chiede se sia possibile effettuare l'abbinamento di una proposta di legge anche successivamente all'adozione del testo base e alla fissazione del termine per la presentazione degli emendamenti.

  Franco VAZIO, presidente, precisa che, a norma del Regolamento della Camera, l'abbinamento è sempre possibile fino alla votazione del mandato al relatore.

  Maria Carolina VARCHI (FdI) ringrazia il presidente per aver precisato che l'abbinamento della proposta di legge Meloni C. 1834 è stato effettuato d'ufficio, in modo da sgombrare il campo da qualsiasi ipotesi di concessione nei confronti della minoranza. Ringrazia altresì il presidente per aver disposto l'abbinamento in maniera tempestiva, in modo da consentire il rispetto del termine già fissato per la presentazione degli emendamenti. Nel sottolineare che la prima firmataria della proposta di legge in questione è la leader di Fratelli d'Italia, fa presente che la richiesta di abbinamento ha una valenza politica, volendo evidenziare la sensibilità del suo gruppo rispetto al fenomeno del bullismo. Precisa pertanto di non avere nulla da obiettare in merito alla decisione assunta dalla Commissione di adottare la proposta di legge C. 1524 del collega Dori come testo base per il prosieguo dei lavori.

  Franco VAZIO, presidente, constatando l'assenza di obiezioni, avverte che è confermata l'adozione come testo base per il prosieguo dell'esame della proposta di legge C. 1524 Dori e che resta altresì confermato il termine per la presentazione di proposte emendative a venerdì 18 ottobre alle ore 12.

  La seduta termina alle 13.20.