Camera dei deputati Dossier D19105c.htm

Camera dei deputati - Legislatura - Dossier di documentazione (Versione per stampa)
Autore:	Servizio Studi - Dipartimento Istituzioni
Titolo:	Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica
Riferimenti:	AC N.2100-B/XVIII
Serie:	Progetti di legge Numero: 203/3
Data:	11/11/2019
Organi della Camera:	I Affari costituzionali, IX Trasporti

Articolo 1, commi 1 e 2
(Istituzione del perimetro di sicurezza nazionale cibernetica)

L'articolo 1, comma 1 (modificato durante l'esame presso la Camera dei deputati in prima lettura) istituisce il perimetro di sicurezza nazionale cibernetica, al fine di assicurare la sicurezza di reti, sistemi informativi e servizi informatici necessari allo svolgimento di funzioni o alla prestazione di servizi, dalla cui discontinuità possa derivare un pregiudizio alla sicurezza nazionale.

Il comma 2 (anch’esso modificato dalla Camera dei deputati in prima lettura) demanda ad un decreto del Presidente del Consiglio dei ministri, da adottare previo parere delle competenti Commissioni parlamentari, l'individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica. Tale DPCM fa parte del novero di atti previsti per l'attuazione del decreto-legge in esame.

In particolare, il menzionato comma 1 fa riferimento ad amministrazioni pubbliche, nonché ad enti e operatori nazionali, pubblici e privati – aventi una sede nel territorio nazionale, come specificato nel corso dell’esame presso la Camera in prima lettura - le cui reti e sistemi informativi e informatici:

· sono necessari per l'esercizio di una funzione essenziale dello Stato;

· sono necessari per l'assolvimento di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;

· il cui malfunzionamento, interruzione – anche parziali - o uso improprio possono pregiudicare la sicurezza nazionale.

Il comma 2 demanda l'individuazione dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica ad un DPCM, adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR) entro quattro mesi dalla data di entrata in vigore della legge di conversione del decreto-legge in esame.

Come previsto dal comma 4-bis - aggiunto nel corso dell’esame presso la Camera dei deputati in prima lettura - sullo schema di decreto è acquisito il parere delle competenti Commissioni parlamentari, da esprimere nel termine di 30 giorni, decorso il quale il decreto può essere comunque adottato.

Il decreto legislativo 18 maggio 2018, n. 65, pone le misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva (UE) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione. In particolare, al Presidente del Consiglio dei ministri compete l’adozione - sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR) - della strategia nazionale di sicurezza cibernetica per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale. Con la medesima procedura sono adottate linee di indirizzo per l'attuazione della strategia nazionale di sicurezza cibernetica.

Il Comitato interministeriale per la sicurezza della Repubblica (CISR) è un organismo di consulenza, proposta e deliberazione sugli indirizzi e le finalità generali della politica dell’informazione per la sicurezza. In particolare il Comitato: delibera sulla ripartizione delle risorse finanziarie e sui bilanci preventivi e consuntivi di DIS (Dipartimento delle informazioni per la sicurezza), AISE (Agenzia informazioni e sicurezza esterna) e AISI (Agenzia informazioni e sicurezza interna); indica il fabbisogno informativo necessario ai ministri per svolgere l’attività di governo.

Sono membri del CISR: il Presidente del Consiglio dei ministri; l’Autorità delegata; il Ministro degli affari esteri; il Ministro dell’interno; il Ministro della difesa; il Ministro della giustizia; il Ministro dell’economia e delle finanze; il Ministro dello sviluppo economico. Al Direttore generale del DIS sono assegnate le funzioni di segretario del Comitato.

Il decreto legislativo n. 65 del 2018, tra l'altro, definisce la “sicurezza della rete e dei sistemi informativi”, in corrispondenza con la direttiva europea, quale capacità "di resistere, a un determinato livello di riservatezza, a ogni azione che comprometta la disponibilità, l'autenticità, l'integrità o la riservatezza dei dati conservati o trasmessi o trattati e dei relativi servizi offerti o accessibili tramite tale rete o sistemi informativi" (art. 3, comma 1, lett. f). È altresì definita la nozione di autorità competente NIS, quale autorità competente per settore in materia di sicurezza delle reti e dei sistemi informativi. L'articolo 7, comma l, del decreto legislativo attribuisce ai singoli ministeri in base agli ambiti di competenza (Ministero dello sviluppo economico, Ministero delle infrastrutture e dei trasporti, Ministero dell’economia e delle finanze, Ministero della salute e Ministero dell’ambiente e della tutela del territorio) e, per taluni ambiti, alle regioni e province autonome.

Gli operatori di servizi essenziali, ai fini del decreto legislativo n. 65, sono i soggetti pubblici o privati, della tipologia prevista dall’elenco dell'allegato II (settori dell’energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali), individuati dalle autorità competenti NIS. E’ prescritto che, le autorità competenti NIS (quindi i ministeri competenti) identifichino con propri provvedimenti, per ciascun settore e sotto-settore, gli operatori con sede nel territorio nazionale, secondo i seguenti criteri e tenuto conto dei documenti prodotti al riguardo dal Gruppo di cooperazione: un soggetto fornisce un servizio che è essenziale per il mantenimento di attività sociali e/o o economiche fondamentali; la fornitura di tale servizio dipende dalla rete e dai sistemi informativi; un incidente avrebbe effetti negativi rilevanti sulla fornitura di tale servizio.

Il DPCM individua i soggetti inclusi nel perimetro secondo i seguenti criteri (comma 2, lettera a) dell'articolo in esame):

· il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato (num. 1);

· l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici (num. 2);

· come specificato nel corso dell’esame presso la Camera dei deputati in prima lettura, l’individuazione avviene secondo un criterio di gradualità, tenendo conto dell’entità del pregiudizio per la sicurezza nazionale che – in relazione alle specificità dei diversi settori di attività - può derivare dal malfunzionamento, interruzione, anche parziali, ovvero dall’utilizzo improprio delle suddette reti e dei predetti sistemi informativi e servizi informatici (num. 2-bis).

Resta ferma, per gli organismi di informazione e sicurezza, la specifica disciplina di cui alla legge 3 agosto 2007, n. 124 (recante "Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto").

La legge n. 124 del 2007 stabilisce che il Sistema di informazione per la sicurezza della Repubblica è composto dal Presidente del Consiglio dei ministri, dal Comitato interministeriale per la sicurezza della Repubblica (CISR), dall'Autorità delegata (Ministro senza portafoglio o Sottosegretario di Stato) ove istituita, dal Dipartimento delle informazioni per la sicurezza (DIS), dall'Agenzia informazioni e sicurezza esterna (AISE) e dall'Agenzia informazioni e sicurezza interna (AISI).

Il decreto legislativo n. 65 del 2018 (art. 3, comma 1, lett. e), di attuazione della direttiva NIS, definisce la nozione “rete e sistema informativo”, in corrispondenza con la direttiva europea, nel modo seguente:

1) una rete di comunicazione elettronica riconducibile a "sistemi di trasmissione e, se del caso, le apparecchiature di commutazione o di instradamento e altre risorse, inclusi gli elementi di rete non attivi, che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, comprese le reti satellitari, le reti terrestri mobili e fisse (a commutazione di circuito e a commutazione di pacchetto, compresa Internet), le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui siano utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato" (la disposizione rinvia all'articolo 1, comma 1, lettera dd), del decreto legislativo n. 259 del 2003);

2) qualsiasi dispositivo o gruppo di dispositivi interconnessi o collegati, uno o più dei quali eseguono, in base ad un programma, un trattamento automatico di dati digitali;

3) i dati digitali conservati, trattati, estratti o trasmessi per mezzo di reti o dispositivi di cui ai numeri 1) e 2), per il loro funzionamento, uso, protezione e manutenzione.

Il medesimo DPCM (lettera b) dovrà fissare, sulla base di un’analisi del rischio e di un criterio di gradualità che tenga conto delle specificità dei diversi settori di attività (modifica introdotta presso la Camera dei deputati in prima lettura), i criteri che i soggetti inclusi nel perimetro dovranno seguire nel compilare l'elenco delle reti, dei sistemi e dei servizi (comprensivo dell'architettura e della componentistica) rilevanti ai fini della presente disciplina. Tale elenco dovrà essere aggiornato con cadenza almeno annuale.

Si prevede inoltre - a seguito di una modifica introdotta nel corso dell’esame alla Camera in prima lettura - che per le reti, i sistemi informativi e i servizi informatici attinenti alla gestione delle informazioni classificate si applichi quanto previsto dal regolamento adottato ai sensi dell’articolo 4, comma 3, lettera l) della legge n. 124 del 2007. In attuazione di tale disposizione è stato emanato il decreto del Presidente del Consiglio dei ministri 6 novembre 2015, n. 5 recante Disposizioni per la tutela amministrativa del segreto di Stato e delle informazioni classificate e a diffusione esclusiva, successivamente modificato e integrato dal DPCM 2 ottobre 2017, n. 3.

L’articolo 4, comma 3, lettera l) della legge n. 124 del 2007 prevede che il Dipartimento delle informazioni per la sicurezza (DIS) assicuri l'attuazione delle disposizioni impartite dal Presidente del Consiglio dei Ministri con apposito regolamento ai fini della tutela amministrativa del segreto di Stato e delle classifiche di segretezza, vigilando altresì sulla loro corretta applicazione.

Al DIS compete altresì, in base al suddetto articolo 4, vigilare sulla corretta applicazione delle previsioni di tale regolamento.

L'organismo tecnico di supporto al CISR, integrato da un rappresentante della Presidenza del Consiglio dei ministri, provvede alla predisposizione di tali criteri adottando "opportuni moduli organizzativi".

Il "CISR Tecnico" (disciplinato dall'art. 5 del DPCM 17 febbraio 2017) opera, a supporto del CISR, quale organismo collegiale permanente di coordinamento, presieduto dal Direttore Generale del DIS e composto dai Direttori di AISE ed AISI, oltre che dai Dirigenti di Vertice dei "ministeri CISR" (Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico).

Entro sei mesi dall'entrata in vigore del DPCM di cui qui si tratta, gli elenchi così predisposti sono inviati:

· alla Presidenza del Consiglio dei ministri dai soggetti pubblici e dai soggetti che intendono fornire servizi fiduciari qualificati o svolgere l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale oppure dai soggetti che intendono svolgere l'attività di conservatore di documenti informatici, rispettivamente qualificati;

· al Ministero dello sviluppo economico dai soggetti accreditati dall'AgID (si tratta dei soggetti individuati dall'art. 29 del Codice dell'amministrazione digitale, di cui al decreto legislativo n. 82 del 2005).

Quindi, la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico inoltrano i rispettivi elenchi:

· al DIS, Dipartimento delle informazioni per la sicurezza, organo incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea e designato, dall'art. 7 del decreto legislativo n. 65 del 2018, quale punto di contatto unico per tali questioni, anche per le attività di prevenzione, preparazione e gestioni delle crisi svolte dal Nucleo per la sicurezza cibernetica;

· all'organo per la regolarità e sicurezza dei servizi di telecomunicazione presso il Ministero dell'interno il quale assicura i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale individuate con decreto del Ministro dell'interno 9 gennaio 2008, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate (art. 7-bis del decreto-legge n. 144 del 2005, recante " Misure urgenti per il contrasto del terrorismo internazionale").

Il Nucleo per la sicurezza cibernetica (NSC) è stato introdotto dal DPCM 24 gennaio 2013 a supporto del Presidente del Consiglio dei ministri, per gli aspetti relativi alla prevenzione e all’approntamento rispetto a situazioni di crisi. Il DPCM 17 febbraio 2017, art. 7, ha previsto la sua collocazione istituzionale presso il DIS in via permanente. Ai sensi del medesimo articolo 7, il Nucleo è presieduto da un vice direttore generale del DIS, designato dal direttore generale, ed è composto dal Consigliere militare e da un rappresentante rispettivamente del DIS, dell'AISE, dell'AISI, del Ministero degli affari esteri, del Ministero dell'interno, del Ministero della difesa, del Ministero della giustizia, del Ministero dello sviluppo economico, del Ministero dell'economia e delle finanze, del Dipartimento della protezione civile e dell'Agenzia per l'Italia digitale. Per gli aspetti relativi alla trattazione di informazioni classificate, il Nucleo è integrato da un rappresentante dell'ufficio centrale per la segretezza di cui all'art. 9, della legge n. 124 del 2007.

Ai sensi del comma 5 dell'articolo 1 del decreto-legge in esame, si procede ad un aggiornamento almeno biennale di quanto previsto dal decreto di cui al comma 2, con ulteriori decreti adottati con le stesse modalità previste dai commi 2, 3, 4 e 4-bis (v. infra).

Per ulteriori approfondimenti sull’evoluzione della normativa nazionale e dell’Unione europea in materia sicurezza cibernetica si veda il dossier del Servizio studi, Dominio cibernetico, nuove tecnologie e politiche di sicurezza e difesa cyber, 24 settembre 2019.

A livello di Unione europea la direttiva (UE) 2016/1148 del 6 luglio 2016 reca misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (c.d. direttiva NIS - Network and Information Security) al fine di conseguire un "livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell'Unione europea".

La direttiva è stata recepita nell'ordinamento italiano con il decreto legislativo 18 maggio 2018, n. 65. Esso detta la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva 2016/1148.

In particolare, al Presidente del Consiglio dei ministri compete l'adozione, sentito il Comitato interministeriale per la sicurezza della Repubblica (CISR), della strategia nazionale di sicurezza cibernetica per la tutela della sicurezza delle reti e dei sistemi di interesse nazionale. Con la medesima procedura sono adottate linee di indirizzo per l'attuazione della strategia nazionale di sicurezza cibernetica.

La qualifica di "autorità competente NIS" viene attribuita ai singoli ministeri in base ai settori di competenza (Ministero dello sviluppo economico, Ministero dell'economia e delle finanze, Ministero della salute e Ministero dell'ambiente e della tutela del territorio) e, per taluni ambiti, alle regioni e alle province autonome di Trento e di Bolzano. Tali autorità sono i soggetti competenti per settore (settori dell'energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali) in materia di sicurezza delle reti e dei sistemi informativi; verificano, in particolare, l'applicazione della direttiva a livello nazionale ed individuano gli operatori di servizi essenziali nell'ambito dei criteri ivi definiti.

Presso la Presidenza del Consiglio dei ministri è istituito il CSIRT-Computer Emergency Response Team italiano, al quale sono attribuite le funzioni del CERT nazionale (attualmente presso il Ministero per lo sviluppo economico) e del CERT-PA (attualmente presso l'Agenzia per l'Italia digitale-AGID). Il CSIRT è definito dalla direttiva 2016/1148 quale "gruppo di intervento per la sicurezza informatica in caso di incidente", che ogni Stato membro è chiamato a designare con il compito di trattare gli incidenti e i rischi secondo una procedura definita (con il DPCM 8 agosto 2019, pubblicato nella G.U. 8 novembre 2019, sono state adottate disposizioni sull’organizzazione e il funzionamento del - CSIRT italiano).

Viene designato il Dipartimento delle informazioni per la sicurezza (DIS) quale punto di contatto unico, organo incaricato a livello nazionale di coordinare le questioni relative alla sicurezza delle reti e dei sistemi informativi e la cooperazione transfrontaliera a livello di Unione europea.

L'autorità di contrasto è individuata nell'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione al quale è attualmente attribuita la competenza ad assicurare i servizi di protezione informatica delle infrastrutture critiche informatizzate di interesse nazionale, operando mediante collegamenti telematici definiti con apposite convenzioni con i responsabili delle strutture interessate.

Gli operatori di servizi essenziali, ai fini del provvedimento, sono i soggetti pubblici o privati, della tipologia prevista dall'elenco dell'allegato II (settori dell'energia e trasporti, settore bancario, infrastrutture dei mercati finanziari, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali), individuati dalle autorità competenti NIS. Entro il 9 novembre 2018 le autorità competenti sono tenute ad identificare tali soggetti, ai fini del rispetto degli obblighi della direttiva.

Il decreto definisce inoltre gli obblighi in capo agli operatori dei servizi essenziali e ai fornitori dei servizi digitali con riferimento alla sicurezza della rete e dei sistemi informativi che utilizzano nel contesto dei servizi individuati dall'allegato III. È posto a loro carico l'obbligo di individuare le misure tecniche e organizzative relative alla gestione dei rischi, alle misure per prevenire e minimizzare gli impatti degli incidenti e, sotto il profilo procedurale, sono definite le modalità di notifica degli incidenti che abbiano un impatto rilevante sui servizi forniti individuando altresì le condizioni e le modalità secondo le quali potranno essere coinvolti gli organismi di altri Paesi.

Sono poi individuati i poteri di controllo delle autorità NIS sia nei confronti degli operatori di servizi essenziali, che dei fornitori di servizi digitali anche prevedendo poteri di verifica e di ispezione oltre che l'irrogazione di sanzioni amministrative nel caso di mancato adempimento degli obblighi previsti.

Nel mese di luglio 2019 le linee guida sulla gestione dei rischi e la prevenzione, mitigazione e notifica degli incidenti, elaborate dalle Autorità NIS, sono state adottate e condivise con i 465 operatori di servizi essenziali (OSE) già individuati nel dicembre 2018 (si veda, al riguardo, il comunicato stampa del 3 luglio 2019 del Dipartimento delle informazioni per la sicurezza - DIS e la scheda sul sito "Agenda digitale").

Il decreto del Ministro dello sviluppo economico 12 dicembre 2018, in attuazione degli articoli 16-bis e 16-ter del decreto legislativo n. 259 del 2003, ha dettato misure di natura tecnico-organizzativa per la sicurezza e l'integrità delle reti e dei servizi di comunicazione elettronica, al fine di conseguire un livello di sicurezza adeguato al rischio esistente e ha definito i casi in cui la violazione delle reti o la perdita dell'integrità sono da considerarsi significative, ai fini della notifica alle Autorità competenti da parte dei fornitori di reti e servizi.

Il decreto del Ministro dello sviluppo economico 15 febbraio 2019, in attuazione del DPCM 12 febbraio 2017, ha istituito il Centro di Valutazione e Certificazione nazionale (CVCN), presso l'Istituto Superiore delle Comunicazioni e delle Tecnologie dell'Informazione, per la verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche, nonché di ogni altro operatore per cui sussista un interesse nazionale.

Può valere ricordare altresì come il decreto legge 25 marzo 2019, n. 22 (in materia di 'Brexit') abbia recato (all'art. 1, comma 1) modifiche alla disciplina sui poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G, di cui al decreto-legge 15 marzo 2012, n. 21.

Sulla materia dei poteri speciali esercitabili dal Governo per la salvaguardia degli assetti proprietari delle società operanti in settori reputati strategici e di interesse nazionale è successivamente intervenuto il decreto-legge 11 luglio 2019, n. 64, non convertito in legge.

Si rammenta inoltre che il Regolamento (CE) n. 2019/452/UE istitutivo di un quadro per il controllo degli investimenti esteri diretti nell'Unione, stabilisce (art. 4) che gli Stati membri dell'UE, nel determinare se un investimento estero diretto possa incidere sulla sicurezza o sull'ordine pubblico, devono prendere in considerazione, tra l'altro, fattori quali le infrastrutture critiche (fisiche e visuali) e le tecnologie critiche, (tra cui l'intelligenza artificiale, la robotica, la cibersicurezza ecc.).

Sulla materia si veda infra la scheda sull'articolo 4 del decreto-legge in esame, come modificato nel corso dell'esame alla Camera dei deputati in prima lettura.

Si ricorda infine che il 1° agosto 2019, il Governo allora in carica ha presentato al Senato il disegno di legge recante "Disposizioni in materia di perimetro di sicurezza nazionale cibernetica" (A.S. n. 1448), assegnato alla 1ª Commissione permanente (Affari Costituzionali) in sede redigente il 7 agosto 2019. L'esame del disegno di legge non è stato avviato. Il decreto-legge in esame ne riprende, in parte, i contenuti.

Articolo 1, commi 3-5
(Procedure di segnalazione degli incidenti e misure di sicurezza)

L'articolo 1, comma 3 demanda ad un DPCM la determinazione di un duplice profilo: le procedure di notifica degli incidenti prodottisi su reti, sistemi informativi e sistemi informatici inclusi nel perimetro di sicurezza nazionale cibernetica; le misure di sicurezza.

Come specificato con modifica introdotta dalla Camera dei deputati in prima lettura, sullo schema di decreto è acquisito il parere delle competenti Commissioni parlamentari, da esprimere nel termine di 30 giorni.

Il comma 4 determina i soggetti ministeriali preposti all'elaborazione delle misure di sicurezza.

Il comma 5, statuisce in ordine all'aggiornamento - almeno biennale - di quanto previsto dal menzionato DPCM, anche in tal caso (come aggiunto nel corso dell’esame presso la Camera dei deputati in prima lettura) provvedendo all’acquisizione del parere delle competenti Commissioni parlamentari.

In particolare, il comma 3 demanda ad un DPCM - da adottare entro dieci mesi dalla conversione del decreto legge - la definizione di un duplice profilo:

· le procedure secondo cui i soggetti del perimetro di sicurezza nazionale cibernetica segnalino gli incidenti aventi impatto su reti, sistemi informativi e sistemi informatici (lettera a);

· le misure volte a garantirne elevati livelli di sicurezza (lettera b).

Per quanto riguarda le procedure di segnalazione - di cui alla lettera a) - degli incidenti su reti, sistemi informativi e sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica, i relativi soggetti (amministrazioni pubbliche, nonché enti oppure operatori nazionali, pubblici e privati) devono notificare l'incidente al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) italiano.

Il CSIRT procede poi a inoltrare tempestivamente tali notifiche al Dipartimento delle informazioni della sicurezza (DIS).

Siffatta trasmissione è prevista anche qualora siano interessate attività demandate al Nucleo per la sicurezza cibernetica.

Il medesimo DIS assicura indi una duplice ulteriore trasmissione:

· all'organo del Ministero dell'interno preposto alla sicurezza e regolarità dei servizi di telecomunicazioni;

· alla Presidenza del Consiglio dei ministri (se le notifiche degli incidenti giungano da un soggetto pubblico - o da un soggetto fornitore di servizi fiduciari qualificati o svolgente l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale, ai sensi dell'art. 29 del Codice dell'amministrazione digitale, decreto legislativo n. 82 del 2005) ovvero al Ministero dello sviluppo economico (se le notifiche giungano da un soggetto privato del perimetro di sicurezza nazionale cibernetica).

Per quanto riguarda le misure di sicurezza - di cui alla lettera b) - esse devono assicurare elevati livelli di prevenzione e salvaguardia delle reti, sistemi informativi e sistemi informatici rientranti nel perimetro di sicurezza nazionale cibernetica, tenendo conto degli standard definiti a livello internazionale e dell’Unione europea, come specificato nel corso dell’esame presso la Camera dei deputati in prima lettura.

In particolare, siffatte misure devono essere definite sì da agire su più versanti:

· la struttura organizzativa preposta alla gestione della sicurezza, come specificato nel corso dell’esame presso la Camera in prima lettura;

· politiche di sicurezza e gestione del rischio;

· politiche di sicurezza, struttura organizzativa e gestione del rischio;

· mitigazione e gestione degli incidenti e loro prevenzione (anche attraverso "interventi" - espressione che figura a seguito di modifica approvata dalla Camera dei deputati in prima lettura, in luogo di quella più vincolante di "sostituzione" che era nel testo originario - di apparati o prodotti che risultino "gravemente inadeguati" sul piano della sicurezza);

· protezione fisica e logica e dei dati informativi;

· integrità delle reti e dei sistemi informativi;

· gestione operativa (compresa la continuità del servizio);

· monitoraggio, test e controllo;

· formazione e consapevolezza;

· affidamento di forniture, sistemi e servizi di tecnologie dell'informazione e della comunicazione (ICT nell'acronimo inglese: Information and Communication Technology) anche mediante definizione di caratteristiche e requisiti di carattere generale, standard e eventuali limiti (come specificato nel corso dell’esame presso la Camera dei deputati in prima lettura).

L'elaborazione delle misure di sicurezza sopra menzionate è realizzata, secondo l'ambito di propria competenza, dal Ministero per lo sviluppo economico e dalla Presidenza del Consiglio.

È prevista l'intesa con il Ministero della difesa, il Ministero dell'interno, il Ministero dell'economia e finanze, il Dipartimento delle informazioni per la sicurezza (comma 4).

Ai sensi del comma 4-bis, introdotto dalla Camera dei deputati in prima lettura, sullo schema di decreto è acquisito il parere delle competenti Commissioni parlamentari, da esprimere nel termine di 30 giorni, decorso il quale il decreto può essere comunque adottato.

Il comma 5 prevede un aggiornamento almeno biennale delle previsioni del DPCM di cui qui si tratta - dunque di determinazione (ai sensi del comma 3) delle misure di sicurezza nonché delle procedure di segnalazione degli incidenti.

Medesimo aggiornamento almeno biennale è del pari previsto per l'altro DPCM, di determinazione (ai sensi del comma 2) dei soggetti, reti e sistemi facenti parte del perimetro di sicurezza nazionale cibernetica.

In entrambi i casi, in base alle modifiche introdotte dalla Camera dei deputati in prima lettura, con cui è stato espressamente richiamato quanto disposto dal comma 4-bis, è acquisito il parere delle competenti Commissioni parlamentari, da esprimere nel termine di 30 giorni.

Il comma 3 sopra ricordato menziona alcuni soggetti istituzionali in ambito di sicurezza.

Il Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT: acronimo per Computer Security Incident Response Team) è stato definito dalla direttiva dell'Unione europea n. 1148 del 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell'Unione.

Secondo quella direttiva (art. 9), ogni Stato membro è chiamato a designare un “Gruppo di intervento per la sicurezza informatica in caso di incidente”, con il compito di trattare gli incidenti e i rischi secondo una procedura definita.

Attuazione alla direttiva è stata data con il decreto legislativo n. 65 del 2018.

Il suo articolo 8 istituisce, a tal fine, presso la Presidenza del Consiglio dei ministri un nuovo organismo, il CSIRT italiano, al quale sono attribuite funzioni innanzi spettanti al CERT nazionale (acronimo per Computer Emergency Response Team, presso il Ministero per lo sviluppo economico) e del CERT-PA (presso l'Agenzia per l'Italia digitale-AGID), con altresì specificatamente attribuite 30 unità di personale.

Le funzioni attribuite al CSIRT italiano sono definite rinviando in gran parte ai requisiti indicati all’Allegato I del medesimo decreto legislativo n. 65.

Tale Allegato individua infatti i requisiti per il CSIRT (punto 1) e i relativi compiti (punto 2), riprendendo testualmente l’Allegato I della direttiva (UE) 2016/1148, che detta i requisiti e i compiti dei CSIRT.

I requisiti, di cui il CSIRT è chiamato ad assicurare la conformità, prevedono:

- che sia garantito un alto livello di disponibilità dei propri servizi di comunicazione, evitando singoli punti di guasto, e dispone di vari mezzi che permettono allo stesso di essere contattato e di contattare altri in qualsiasi momento. Inoltre, i canali di comunicazione devono essere chiaramente specificati e ben noti alla loro base di utenti e ai partner con cui collaborano;

- i locali del CSIRT e i sistemi informativi di supporto devono essere ubicati in siti sicuri;

- ai fini della continuità operativa, il CSIRT deve essere dotato di un sistema adeguato di gestione e inoltro delle richieste in modo da facilitare i passaggi; dispone di personale sufficiente per garantirne l'operatività 24 ore su 24; opera in base a un'infrastruttura di cui è garantita la continuità. A tal fine è necessario che siano disponibili “sistemi ridondanti e spazi di lavoro di backup”.

- il CSIRT ha la possibilità, se lo ritiene, di partecipare a reti di cooperazione internazionale.

I compiti del CSIRT sono così definiti:

- monitoraggio degli incidenti a livello nazionale;

- emissione di preallarmi, allerte, annunci e divulgazione di informazioni alle parti interessate in merito a rischi e incidenti;

- intervento in caso di incidente;

- analisi dinamica dei rischi e degli incidenti, nonché sensibilizzazione situazionale;

- partecipazione alla rete dei CSIRT.

Il CSIRT è chiamato inoltre a stabilire relazioni di cooperazione con il settore privato.

Per facilitare la cooperazione, il CSIRT promuove l'adozione e l'uso di prassi comuni o standardizzate nelle procedure di trattamento degli incidenti e dei rischi e nei sistemi di classificazione degli incidenti, dei rischi e delle informazioni.

Il DPCM 8 agosto 2019, pubblicato nella G.U. 8 novembre 2019, ha provveduto a disciplinare l’organizzazione e il funzionamento del CSIRT italiano.

Il Dipartimento delle informazioni della sicurezza è stato istituito presso la Presidenza del Consiglio dei ministri dall'articolo 4 della legge n. 124 del 2007, per il coordinamento della programmazione e delle attività operative di Agenzia informazioni e sicurezza esterna (AISE) e Agenzia informazioni e sicurezza esterna (AISI).

La legge del 2007 è stata novellata dalla legge n. 133 del 2013, che ha inteso rafforzare, del Dipartimento, le attività di informazione per la protezione delle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali.

Ulteriori previsioni concernenti il Dipartimento sono sopraggiunte con il DPCM 17 febbraio 2017, recante "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali" (pubblicato nella G.U. del 13 aprile 2017).

Il Nucleo per la sicurezza cibernetica è stato oggetto di disposizioni contenute nel citato DPCM 17 febbraio 2017 (artt. 8-10). Esso è stato traslato (dall'ufficio del Consigliere militare presso la Presidenza del Consiglio, com'era secondo il DPCM 24 gennaio 2013) presso il Dipartimento delle informazioni per la sicurezza, nella materia della sicurezza dello spazio cibernetico per gli aspetti relativi alla prevenzione, preparazione ad eventuali situazioni di crisi, attivazione delle procedure di allertamento.

Tra i suoi compiti figura quello di promuovere la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l'elaborazione delle necessarie procedure di coordinamento interministeriale.

Costituisce (ferme restando le competenze ministeriali) punto di riferimento nazionale per i rapporti con l’ONU, la NATO, l’UE, altre organizzazioni internazionali ed altri Stati.

Il Nucleo è presieduto da un vice direttore generale del Dipartimento delle informazioni per la sicurezza, designato dal direttore generale, ed è composto dal Consigliere militare e da un rappresentante rispettivamente del DIS, dell’AISE, dell’AISI, del Ministero degli affari esteri, del Ministero dell’interno, del Ministero della difesa, del Ministero della giustizia, del Ministero dello sviluppo economico, del Ministero dell’economia e delle finanze, del Dipartimento della protezione civile e dell’Agenzia per l’Italia digitale. Per gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è integrato da un rappresentante dell’Ufficio centrale per la segretezza di cui all’articolo 9, della legge n. 124 del 2007.

Per la gestione delle crisi di natura cibernetica, la composizione del Nucleo è integrata, in ragione delle necessità, con un rappresentante del Ministero della salute, del Ministero delle infrastrutture e dei trasporti, del Dipartimento dei Vigili del fuoco, del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione interministeriale tecnica di difesa civile (CITDC), dell’Ufficio del Consigliere militare del Presidente del Consiglio dei ministri autorizzati ad assumere decisioni che impegnano la propria amministrazione. Alle riunioni i componenti possono farsi accompagnare da altri funzionari della propria amministrazione. Alle stesse riunioni possono essere chiamati a partecipare rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad assumere decisioni, degli operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica, di altri soggetti eventualmente interessati.

Articolo 1, comma 6
(Determinazione delle procedure e delle modalità per l’acquisizione di sistemi ICT nel perimetro di sicurezza nazionale cibernetica e relativi compiti di vigilanza)

L'articolo 1, comma 6, modificato nel corso dell’esame in prima lettura della Camera dei deputati, rimette ad un regolamento da emanarsi con decreto del Presidente del Consiglio dei ministri, entro 10 mesi dalla data di entrata in vigore della legge di conversione del decreto-legge, la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, ai sensi del decreto del Presidente del Consiglio dei ministri di cui al comma 2, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT, destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici individuati nell’elenco trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico, secondo quanto previsto dalla lettera b) del comma 2.

Tale disciplina non si applica agli affidamenti delle forniture di beni, sistemi e servizi necessari per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e quelli per i quali è stata dal regolamento disposta una deroga in quanto per la loro acquisizione è indispensabile procedere in sede estera.

A seguito di una modifica introdotta dalla Camera dei deputati in prima lettura, non si tratta di tutti i beni, sistemi e servizi ICT potenzialmente oggetto di acquisto ma solo di quelli appartenenti a categorie individuate da un decreto del Presidente del Consiglio dei ministri sulla base di criteri tecnici (secondo una previsione su cui è intervenuta una modifica approvata nel corso dell'esame presso il Senato – al fine di specificare con maggiore evidenza che i criteri di natura tecnica si riferiscono alla individuazione delle categorie). Il decreto dovrà essere emanato entro 10 mesi dall’entrata in vigore della norma di conversione del decreto.

Secondo quanto previsto dall’ultimo periodo del comma 6, lettera a), per lo svolgimento delle attività di prevenzione, accertamento e di repressione dei reati e nei casi di deroga, sono utilizzati reti, sistemi e servizi ICT conformi ai livelli di sicurezza di cui al comma 3, lettera b) dell’articolo 1, qualora non incompatibili con gli specifici impieghi cui essi sono destinati.

In particolare il comma 6, lettera a), stabilisce che i soggetti sopra indicati, ovvero le centrali di committenza cui essi fanno ricorso ai sensi dell'articolo 1, comma 512, della legge 28 dicembre 2015, n. 208 (riferimento inserito nel corso dell’esame presso la Camera in prima lettura), danno comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso l’ISCTI (Istituto Superiore della Comunicazioni e delle Tecnologie dell'Informazione) dal Ministro dello sviluppo economico, dell’intendimento di provvedere all’affidamento di tali forniture.

L’articolo 1, comma 512 della legge di stabilità 2016 stabilisce che al fine di garantire l'ottimizzazione e la razionalizzazione degli acquisti di beni e servizi informatici e di connettività, fermi restando gli obblighi di acquisizione centralizzata previsti per i beni e servizi dalla normativa vigente, le amministrazioni pubbliche e le società inserite nel conto economico consolidato della pubblica amministrazione, provvedono ai propri approvvigionamenti esclusivamente tramite gli strumenti di acquisto e di negoziazione di Consip Spa o dei soggetti aggregatori, ivi comprese le centrali di committenza regionali, per i beni e i servizi disponibili presso gli stessi soggetti.

Si ricorda che l'articolo 9, commi 1 e 2, del D.L. n. 66/2014 ha istituito, nell'ambito dell'anagrafe delle stazioni appaltanti, l'elenco dei soggetti aggregatori, di cui fanno parte di diritto Consip e una centrale di committenza per ciascuna regione, qualora costituita. Questi soggetti hanno il compito di aggregare i fabbisogni delle amministrazioni dei rispettivi ambiti territoriali e di gestire le procedure di gara. La norma ha limitato, con il comma 5, il numero massimo dei soggetti aggregatori presenti sul territorio nazionale a 35, in un'ottica di riduzione e razionalizzazione dei centri di spesa della PA. Attualmente i soggetti aggregatori sono 32 e ne fanno parte Consip, in qualità di Centrale acquisti nazionale, le 21 Centrali acquisti regionali, 9 Città metropolitane e 1 Provincia.

A seguito di una modifica approvata dalla Camera dei deputati in prima lettura, la comunicazione comprende anche la valutazione del rischio associata all’oggetto della fornitura, anche in relazione all’ambito d’impiego. Sempre a seguito della citata modifica è stato previsto che entro 45 giorni dalla ricezione della comunicazione - prorogabile di 15 giorni una sola volta in caso di particolare complessità - il CVCN può effettuare verifiche preliminari ed imporre condizioni e test di hardware e software secondo un approccio gradualmente crescente nelle verifiche di sicurezza.

Nel testo approvato dalla Camera era previsto che "eventualmente" fosse esercitata la facoltà potestativa di imposizione di condizioni e test di hardware e software da parte del CVCN; nel corso dell’esame al Senato è stata soppressa la parola "eventualmente".

La medesima modifica approvata dal Senato dispone inoltre una riformulazione, onde specificare con maggiore immediatezza che la collaborazione (prevista a seguito di modifica introdotta dalla Camera dei deputati in prima lettura) dei soggetti rientranti nel perimetro di cui al comma 2, lettera a) del presente articolo, sia all'effettuazione dei test da parte del CVCN.

Decorso il termine senza che il CVCN si sia pronunciato, i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento.

In caso di imposizione di condizioni e test hardware e software, i relativi bandi di gara e contratti sono integrati con clausole che condizionano, sospensivamente ovvero risolutivamente, il contratto (il testo originario prevedeva: "l'affidamento ovvero il contratto": modifica approvata dalla Camera dei deputati in prima lettura ha espunto la menzione dell'affidamento come ipotetica 'sede' altra delle clausole integratrici) al rispetto delle condizioni e all'esito favorevole dei test disposti dal CVCN. Sempre con una precisazione introdotta nel corso dell’esame presso la Camera in prima lettura si prevede che i test debbano essere conclusi nel termine di 60 giorni. Decorso tale termine i soggetti che hanno effettuato la comunicazione possono proseguire nella procedura di affidamento.

Per le forniture di beni, sistemi e servizi ICT da impiegare su reti, sistemi informativi e servizi informatici del Ministero della difesa, sopra ricordati, il predetto Ministero può procedere (la dizione “può” è stata introdotta nel corso dell’esame al Senato) nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, in coerenza con quanto previsto dal decreto-legge all’esame, attraverso un proprio Centro di valutazione. Una modifica approvata dal Senato introduce analoga previsione per il Ministero dell'interno, che così può avvalersi anch'esso di un proprio Centro di valutazione.

Per la realizzazione di tale Centro di valutazione del Ministero dell'interno, altra e conseguente modifica (al comma 19) approvata dal Senato autorizza la spesa di 200.000 euro per il 2019; di 1,5 milioni per ciascun anno 2020-2021.

Altra modifica approvata dal Senato specifica che il Centro di valutazione del Ministero della difesa e quello del Ministero dell'interno siano anch'essi accreditati (per le attività di cui al presente decreto-legge ed ai sensi del comma 7, lettera b), v. infra) presso il CVCN. E sono tenuti a impiegare metodologie di verifica e test quali definite del CVCN.

Inoltre la modifica approvata dal Senato sopprime la previsione (contenuta nel testo originario del decreto-legge) di un "raccordo" del Centro di valutazione del Ministero della difesa - cui ora si aggiunge, si è detto, il Centro di valutazione del Ministero dell'interno - con la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico, per i profili di rispettiva competenza.

La diversa previsione introdotta dal Senato dispone un obbligo di informativa di quei Centri di valutazione con il CVCN, secondo modalità da stabilirsi con DPCM (il medesimo atto di cui al comma 7, lettera b), v. infra).

Ancora: modifica approvata in prima lettura dalla Camera dei deputati ha previsto l'esenzione dall'obbligo di comunicazione per gli affidamenti delle forniture di beni, sistemi e servizi ICT destinate alle reti, ai sistemi informatici per lo svolgimento delle attività di prevenzione, accertamento e repressione dei reati e i casi di deroga stabiliti con riguardo alle forniture per le quali sia indispensabile procedere in sede estera. Resta fermo così per lo svolgimento di quelle attività che per quei casi di deroga, l'utilizzo di beni sistemi servizi ICT che siano conformi ai livelli di sicurezza (questi ultimi oggetto del comma 3, lettera b), v. supra).

Il Senato ha approvato inoltre la seguente aggiunta: "salvo motivate esigenze connesse agli specifici impieghi cui [i beni, sistemi, servizi ICT] sono destinati".

Il comma 6, lettera b) prevede che i fornitori di beni, sistemi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici individuati nell’elenco che deve essere trasmesso alla Presidenza del Consiglio dei ministri e al Ministero dello sviluppo economico (secondo quanto previsto dalla lettera b) del comma 2), assicurano al CVCN e, limitatamente agli ambiti di specifica competenza, al Centro di valutazione operante presso il Ministero della difesa, la propria collaborazione per l'effettuazione delle attività di test, sostenendone gli oneri.

Una modifica approvata dal Senato (a fini di coordinamento con la modifica sopra ricordata incidente sulla lettera a) menziona altresì il Centro di valutazione operante presso il Ministero dell'interno (oltre a quello operante presso il Ministero della difesa).

La mancata collaborazione da parte di tali soggetti fornitori è segnalata dal CVCN:

· al Ministero dello sviluppo economico, in caso di fornitura destinata a soggetti privati;

· alla Presidenza del Consiglio dei ministri, in caso di fornitura destinata a soggetti pubblici ovvero ai soggetti che forniscono servizi fiduciari qualificati o svolgono l'attività di gestore di posta elettronica certificata o di gestore dell'identità digitale (ai sensi dell'articolo 29 del codice di cui al decreto legislativo 7 marzo 2005, n. 82);

Il comma 6, lettera c), prevede che la Presidenza del Consiglio dei ministri e il Ministero dello sviluppo economico, secondo la ripartizione di competenza indicata nelle precedenti disposizioni, svolgano attività di ispezione e verifica in relazione a quanto previsto dal comma 2, lettera b), dal comma 3 e dalla lettera a) del comma 6 senza che ciò comporti accesso a dati o metadati personali e amministrativi, impartendo, se necessario, specifiche prescrizioni.

Per le reti, i sistemi informativi e i servizi informatici inseriti nell’elenco di cui al comma 2, lettera b), connessi alla funzione di prevenzione e repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica, alla difesa civile (modifica introdotta nel corso dell’esame presso la Camera dei deputati in prima lettura) e alla difesa e sicurezza militare dello Stato, le attività di ispezione e verifica sono svolte dalle strutture specializzate in tema di protezione di reti e sistemi, nei casi in cui siano espressamente previste dalla legge (precisazione introdotta nel corso dell’esame presso la Camera in prima lettura), nonché in tema di prevenzione e di contrasto del crimine informatico, delle amministrazioni da cui dipendono le Forze di polizia e le Forze armate, che ne comunicano gli esiti alla Presidenza del Consiglio dei ministri per i profili di competenza.

Tale attività è svolta, nell'ambito delle risorse umane e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica.

Il comma 19 prevede l’autorizzazione di spesa per la copertura finanziaria relativa alla realizzazione, all'allestimento e al funzionamento del CVCN, di cui ai commi 6 e 7 (v. infra).

Articolo 2, commi 1 e 2
(Personale per esigenze di funzionamento del CVCN)

Il comma 1 autorizza il MISE ad assumere a tempo indeterminato, con incremento della vigente dotazione organica nel limite delle unità eccedenti, in aggiunta alle ordinarie facoltà assunzionali, un contingente massimo di 77 unità di personale, di cui 67 di area terza e 10 di area seconda, nel limite di spesa di euro 3.005.000 annui a decorrere dal 2020, tenuto conto dell’esigenza di disporre di personale in possesso della professionalità necessaria per lo svolgimento delle funzioni del Centro di valutazione e certificazione nazionale (CVCN), di cui all’articolo 1, commi 6 e 7 (alla cui scheda di lettura si rinvia).

Il Centro di valutazione e certificazione nazionale è stato istituito con decreto del Ministro dello sviluppo economico del 15 febbraio 2019. Il centro è stato istituito presso l'Istituto Superiore delle comunicazioni e tecnologie dell'informazione. Il 19 aprile 2019 è stato firmato il decreto direttoriale che descrive il modello di funzionamento, l'organizzazione e il piano di sviluppo del CVCN, così come previsto dal richiamato decreto del Ministro dello sviluppo economico.

Per un approfondimento si veda il resoconto stenografico della seduta della Commissione Trasporti della Camera dei deputati del 7 maggio 2019, audizione di rappresentanti dell'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione (ISCOM) del Ministero dello sviluppo economico nell’ambito dell’indagine conoscitiva sulle nuove tecnologie delle telecomunicazioni, con particolare riguardo alla transizione verso il 5g ed alla gestione dei big data.

In particolare, nel documento depositato presso la IX Commissione della Camera, si osserva che [i]"n questa prospettiva va letta, infatti, la recente istituzione del Centro di valutazione e certificazione nazionale (CVCN) presso il Ministero dello Sviluppo Economico, che si aggiunge ai già attivi OCSI (Organismo di certificazione della sicurezza informatica) per prodotti e sistemi ICT commerciali – attivato nel 2004 - e CE.VA. (Centro di Valutazione) della sicurezza informatica di prodotti e sistemi destinati a gestire dati coperti dal segreto di Stato o di vietata divulgazione), anch’essi operativi presso l’ISCTI del Ministero dello Sviluppo Economico.

Sul piano normativo, il DPCM 17 febbraio 2017 aveva definito l’architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica.

In questo contesto, è stato all’epoca previsto che il Ministero dello sviluppo economico promuovesse “l'istituzione di un centro di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità di prodotti, apparati e sistemi destinati ad essere utilizzati per il funzionamento di reti, servizi e infrastrutture critiche, nonché di ogni altro operatore per cui sussista un interesse nazionale”.

Successivamente, il Piano nazionale per la sicurezza cibernetica e la sicurezza informatica, varato dalla Presidenza del Consiglio dei Ministri nel marzo 2017, ha precisato che tale Centro sarebbe stato realizzato presso il Ministero dello sviluppo economico.

In tale contesto, il Centro di valutazione e certificazione nazionale, istituito con decreto del Ministro dello sviluppo economico del 15 febbraio 2019, costituisce, soprattutto in prospettiva, un importante tassello ai fini della sicurezza cibernetica del Paese.

Il Centro è stato istituito presso l’Istituto Superiore delle Comunicazioni e Tecnologie dell’Informazione (ISCTI) del Mise per la competenza acquisita negli anni nel settore della certificazione informatica. La fase di progettazione del Centro è stata ultimata ed è in corso di completamento anche la definizione delle procedure per il suo funzionamento, perseguendo l’obiettivo generale di contemperare gli aspetti di sicurezza e le esigenze di mercato delle imprese coinvolte.

Il 19 aprile 2019 il Direttore dell’ISCTI ha firmato il Decreto che descrive il modello di funzionamento, l’organizzazione ed il piano di sviluppo del CVCN.

La sua operatività si svilupperà secondo un approccio graduale sulla base delle risorse umane e finanziarie disponibili.

Al di là degli aspetti tecnici di realizzazione del Centro l’impatto delle sue attività dipenderà da una serie di fattori, in particolare la definizione di un quadro normativo che individui le infrastrutture critiche e strategiche - problematica comunque già all’attenzione del Governo - e stabilisca specifici obblighi per l’acquisizione di prodotti e sistemi destinati alle predette infrastrutture. Tale quadro dovrà tenere anche conto delle disposizioni sulla realizzazione del framework di certificazione europea, contenute in un regolamento di prossima pubblicazione nell’Unione Europea, comunemente denominato Cyber Act.

Tale regolamento, che fra l’altro prevede il rafforzamento del mandato dell’ENISA, istituisce un perimetro normativo comune per la certificazione della sicurezza informatica. Il nuovo quadro di certificazione mira a rafforzare il mercato unico digitale dell’Unione, accrescendo l’affidabilità dei prodotti e la consapevolezza degli utenti.

In questo nuovo contesto, che prevede la costituzione di sistemi europei di certificazione di prodotti e servizi ICT, il nostro Paese, per il tramite del Ministero dello sviluppo economico, si trova assolutamente in linea con l’azione europea".

Il comma 2 prevede che, fino al completamento delle procedure di assunzione, il MISE, fatte salve le unità dedicate all’assolvimento delle esigenze connesse alle operazioni condotte dalle Forze armate per la difesa nazionale anche nell’ambito del Trattato dell’Atlantico del Nord, può avvalersi, per le esigenze del CVCN di un contingente di personale non dirigenziale appartenente alle pubbliche amministrazioni di cui all’art. 1, co. 2, d.lgs. 165/2001, con esclusione del personale docente, educativo, amministrativo, tecnico e ausiliario delle istituzioni scolastiche, in posizione di fuori ruolo o di comando o altro analogo istituto previsto dai rispettivi ordinamenti ai sensi dell’art. 17, co. 14, L. 127/1997, e dell’art. 70, co. 12, d.lgs. 165/2001, per un massimo del 40 per cento delle unità di personale da assumere in base al comma 1.

In base all’art. 17, co. 14, L. 127/1997, nel caso in cui disposizioni di legge o regolamentari dispongano l'utilizzazione presso le amministrazioni pubbliche di un contingente di personale in posizione di fuori ruolo o di comando, le amministrazioni di appartenenza sono tenute ad adottare il provvedimento di fuori ruolo o di comando entro quindici giorni dalla richiesta.

L’art. 70, co. 12, d.lgs. 165/2001, prevede che in tutti i casi, anche se previsti da normative speciali, nei quali enti pubblici territoriali, enti pubblici non economici o altre amministrazioni pubbliche, dotate di autonomia finanziaria sono tenute ad autorizzare l'utilizzazione da parte di altre pubbliche amministrazioni di proprio personale, in posizione di comando, di fuori ruolo, o in altra analoga posizione, l'amministrazione che utilizza il personale rimborsa all'amministrazione di appartenenza l'onere relativo al trattamento fondamentale.

Nei limiti complessivi della stessa quota il MISE può avvalersi, in posizione di comando, di personale che non risulti impiegato in compiti operativi o specialistici con qualifiche o gradi non dirigenziali del comparto sicurezza-difesa fino a un massimo di 20 unità, conservando lo stato giuridico e il trattamento economico fisso, continuativo ed accessorio, secondo quanto previsto dai rispettivi ordinamenti, con oneri a carico del MISE, ai sensi dell’art. 1777 del codice dell’ordinamento militare (d.lgs. 66/2010) e dell’art. 2, co. 91, L. 244/2007.

L’art. 1777 del codice dell’ordinamento militare prevede che, ferma restando, in quanto compatibile, la disciplina generale in materia di trattamento economico e di assegno per il nucleo familiare dei dipendenti pubblici prevista dalle disposizioni vigenti, al personale dell'Esercito italiano, della Marina militare e dell'Aeronautica militare si applicano le disposizioni emanate a seguito delle procedure di concertazione previste dal d.lgs. 195/1995, nonché le norme del libro VI (Trattamento economico, assistenza e benessere) che hanno efficacia ai soli fini del trattamento economico. Al medesimo personale si applicano le disposizioni di cui all'articolo 2, comma 91, della legge 24 dicembre 2007, n. 244, che pongono a carico delle amministrazioni utilizzatrici gli oneri del trattamento economico fondamentale e accessorio del personale in posizione di comando appartenente alle Forze di polizia e al Corpo nazionale dei vigili del fuoco.

In base all’art. 2, co. 91, L. 244/2007, a decorrere dal 1º febbraio 2008, il trattamento economico fondamentale ed accessorio attinente alla posizione di comando del personale appartenente alle Forze di polizia e al Corpo nazionale dei vigili del fuoco è posto a carico delle amministrazioni utilizzatrici dello stesso.

Articolo 3
(Disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G)

L'articolo 3 (modificato nel corso dell’esame presso la Camera dei deputati in prima lettura) detta disposizioni di raccordo tra il decreto in commento e la normativa in materia di esercizio dei poteri speciali governativi sui servizi di comunicazione a banda larga basati sulla tecnologia 5G.

Il comma 1 stabilisce che le disposizioni del decreto in esame si applicano ai soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, anche per i contratti o gli accordi - ove conclusi con soggetti esterni all'Unione europea – relativi ai servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, rispetto ai quali è prevista dall'articolo 1-bis del decreto-legge in materia di poter speciali n. 21 del 2012, espressamente richiamato, una notifica alla Presidenza del Consiglio dei ministri al fine dell'eventuale esercizio del potere di veto o dell'imposizione di specifiche prescrizioni o condizioni.

In ragione di ciò è esclusa l’applicazione dell'articolo 1, comma 6, lettera a) che dispone la previsione di un obbligo di comunicazione al CVCN con riferimento all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici, appartenenti alle categorie individuate con apposito decreto del Consiglio dei ministri, indicati nell’elenco da predisporre ai sensi dell’articolo 1, comma 2, lettera b) del decreto-legge all’esame.

Il comma 2 detta norme in materia di esercizio dei poteri speciali. Esso stabilisce che dalla data di entrata in vigore del regolamento previsto dal citato articolo 1, comma 6, i poteri speciali sono esercitati previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti e dei dati che vi transitano, da parte dei centri di valutazione di cui all'articolo 1, comma 6, lettera a), (ossia il CVCN e il Centro di valutazione del Ministero della difesa) sulla base della disciplina prevista in attuazione del predetto regolamento.

Il comma 3, modificato dalla Camera dei deputati in prima lettura, stabilisce una disciplina transitoria, prevedendo la possibilità di ridefinire, nel termine di sessanta giorni dalla data di entrata in vigore del predetto regolamento, le condizioni o le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati con i provvedimenti di esercizio dei poteri speciali relativi a soggetti inclusi nel perimetro di sicurezza nazionale, al fine di garantire livelli di sicurezza equivalenti a quelli previsti dal decreto-legge in esame.

In dettaglio il comma 1 stabilisce che - fatta eccezione per quanto previsto dall'articolo 1, comma 6, lettera a) in materia di procurement - le disposizioni del decreto in esame si applicano ai soggetti indicati dall'articolo 1, comma 2, lettera a) inclusi nel perimetro di sicurezza nazionale cibernetica, anche nei casi in cui questi siano tenuti alla notifica al Governo delle operazioni di cui all'articolo 1-bis del decreto-legge n. 21 del 2012, in materia di poteri speciali.

Tale articolo 1-bis qualifica i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G quali attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale, ai fini dell'esercizio dei poteri speciali; esso stabilisce l'assoggettamento a notifica (di cui all'articolo 1, comma 4 del decreto legge n. 21 del 2012) per i contratti o gli accordi ivi indicati - ove conclusi con soggetti esterni all'Unione europea - al fine dell'eventuale esercizio del potere di veto o dell'imposizione di specifiche prescrizioni o condizioni.

Si tratta dei contratti o accordi che abbiano ad oggetto:

- l'acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di tecnologia 5G

- ovvero l'acquisizione di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione.

A tal fine, la norma specifica che sono oggetto di valutazione anche gli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza delle reti e dei dati che vi transitano.

Ai fini dell'inquadramento della normativa in materia di poter speciali, si ricorda che il D.L. n. 21 del 2012, come convertito in legge, reca norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni.

L'articolo 1-bis di tale D.L. è stato inserito dall'art. 1, comma 1, del D.L. 25 marzo 2019, n. 22, convertito, con modificazioni, dalla L. 20 maggio 2019, n. 41 e disciplina la materia dei poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G. Si ricorda che sull'articolo 1-bis in parola era intervenuto, con novelle, il D.L. 11 luglio 2019, n. 64 (in particolare si veda l'art. 1, comma 3, dello stesso), successivamente però non convertito in legge (Comunicato 10 settembre 2019, pubblicato nella G.U. 10 settembre 2019, n. 212).

Nel dettaglio, l'articolo 1-bis indicato stabilisce l'assoggettamento a notifica (di cui all'articolo 1, comma 4 del decreto legge n. 21 del 2012) per i contratti o gli accordi, qualora siano conclusi con soggetti esterni all'Unione europea, che abbiano ad oggetto l'acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G; altresì soggette a notifica sono le acquisizioni di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione. La previsione come detto è finalizzata all'eventuale esercizio del potere di veto o all'imposizione di specifiche prescrizioni o condizioni.

A tal fine, si specifica altresì che sono oggetto di valutazione anche gli elementi indicanti la presenza di fattori di vulnerabilità che potrebbero compromettere l'integrità e la sicurezza sia delle reti sia dei dati che vi transitano.

Un soggetto si intende esterno all'Unione europea qualora rientri nelle seguenti categorie:

1) persona fisica o persona giuridica, che non abbia la residenza, la dimora abituale, la sede legale o dell'amministrazione ovvero il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilito;

2) persona giuridica che abbia stabilito la sede legale o dell'amministrazione o il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, e che risulti controllato direttamente o indirettamente da una persona fisica o da una persona giuridica di cui al n. 1) precedente;

3) persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell'amministrazione o il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, al fine di eludere l'applicazione della disciplina della nuova norma introdotta.

Si demanda ad un DPCM, sentito il Gruppo di coordinamento (costituito col citato decreto del Presidente del Consiglio dei ministri del 6 agosto 2014) la facoltà di individuare misure di semplificazione in ordine a modalità di notifica, termini, procedure relativi all'istruttoria, ai fini dell'eventuale esercizio dei poteri di veto ovvero di imposizione di specifiche prescrizioni.

In ordine all'ambito applicativo della disposizione, i soggetti di cui all'articolo 1, comma 2, lettera a), indicati nella norma, sono quelli individuati (entro quattro mesi dalla data di entrata in vigore della legge di conversione del decreto-legge in esame) con DPCM adottato su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR); in particolare, ai sensi della menzionata lettera a), sono individuate le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati inclusi nel perimetro di sicurezza nazionale cibernetica e tenuti al rispetto delle misure e degli obblighi previsti dall'articolo 1 del decreto-legge in esame.

Alla predetta individuazione, fermo restando che per gli Organismi di informazione per la sicurezza si applicano le norme previste dalla legge 3 agosto 2007, n. 124, si procede sulla base degli indicati criteri:

1) il soggetto esercita una funzione essenziale dello Stato, ovvero assicura un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato;

2) l'esercizio di tale funzione o la prestazione di tale servizio dipende da reti, sistemi informativi e servizi informatici dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale.

Si ricorda che il decreto-legge in esame stabilisce, al comma 1 dell'articolo 1, l'istituzione del perimetro di sicurezza nazionale cibernetica, con la finalità di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

La norma in esame precisa, come detto, che è fatta eccezione per quanto previsto dall'articolo 1, comma 6, lettera a), il quale demanda ad un DPCM, da adottare entro dieci mesi dalla data di entrata in vigore della legge di conversione del decreto-legge in esame, la disciplina di procedure, modalità e termini cui devono attenersi le amministrazioni pubbliche, gli enti e gli operatori nazionali, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi di information and communication technology - ICT indicati dalla normativa in esame.

Per approfondimenti si rinvia alla relativa scheda riferita all'articolo 1, comma 6.

Il comma 2 detta norme in materia di esercizio dei poteri speciali. Esso stabilisce che, dalla data di entrata in vigore del citato regolamento su procedure, modalità e termini per l’affidamento di forniture di beni e servizi ICT (previsto dall'articolo 1, comma 6), i poteri speciali inerenti le reti 5G (di cui all'articolo 1-bis del D.L. n. 21 del 2012 già richiamato), sono esercitati previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità, che potrebbero compromettere l'integrità e la sicurezza delle reti e dei dati che vi transitano, da parte dei centri di valutazione di cui all'articolo 1, comma 6, lettera a), sulla base della disciplina prevista in attuazione del predetto regolamento.

Dalla formulazione letterale della norma, che fa riferimento ai “centri di valutazione” sembra desumersi che tale attività sia svolta dal Centro di valutazione nazionale istituito presso il MISE e da quello proprio del Ministero della difesa, entrambi citati dal richiamato comma 6, lettera a) dell’articolo 1.

Il comma 3 stabilisce una disciplina transitoria, prevedendo la possibilità di ridefinire, nel termine di sessanta giorni dalla data di entrata in vigore del regolamento di cui all'articolo 1, comma 6, le condizioni o le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati.

Al riguardo si ricorda che il termine ultimo per l’emanazione del regolamento in questione è di 10 mesi dalla data di entrata in vigore del disegno di legge di conversione del decreto-legge e che pertanto gli interventi concernenti i contratti già autorizzati potrebbero intervenire in un periodo di oltre 10 mesi e 60 giorni dalla data di pubblicazione della legge di conversione del decreto-legge. Considerato che l’esercizio dei poteri speciali con riferimento alle reti di telecomunicazione elettronica a banda larga con tecnologia 5G è stato introdotto dal decreto-legge n. 22 del 2019, si deve ritenere che tale possibilità di intervento si estenda a tutti i contratti conclusi dalla data nella quale le disposizioni del citato decreto-legge sono entrate in vigore e per i quali vi sia stata un’autorizzazione ai sensi dell’articolo 1-bis del decreto-legge n. 21 del 2012.

In particolare, possono essere modificate o integrate con misure aggiuntive necessarie ad assicurare livelli di sicurezza equivalenti a quelli previsti dal decreto-legge in esame le condizioni e le prescrizioni relative ai beni e servizi acquistati con contratti già autorizzati con decreti del Presidente del Consiglio dei ministri - e adottati sulla base della normativa sui poteri speciali in data anteriore alla data di entrata in vigore del medesimo regolamento -, qualora attinenti:

- alle reti

- ai sistemi informativi

- e ai servizi informatici

inseriti negli elenchi dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica.

Si indica a tal fine la procedura di cui al comma 2 della disposizione in commento, che prevede la previa valutazione degli elementi indicanti la presenza di fattori di vulnerabilità, da parte dei centri di valutazione, sulla base della disciplina prevista in attuazione del predetto regolamento.

Con una modifica introdotta nel corso dell’esame presso la Camera in prima lettura sono precisati i presupposti sulla base dei quali è possibile intervenire sugli approvvigionamenti di materiali necessari alle reti 5G già autorizzati in sede di esercizio dei poteri speciali.

Si dispone infatti che qualora, a seguito delle valutazioni svolte dai centri di valutazione, emergano elementi indicanti fattori di vulnerabilità che potrebbero compromettere l’integrità e la sicurezza delle reti e dei dati che vi transitano, possono essere disposte misure aggiuntive anche prescrivendo, qualora indispensabile al fine di risolvere le vulnerabilità accertate, la sostituzione di apparati e di prodotti.

Si ricorda che, nella seduta del 5 settembre 2019 il Consiglio dei Ministri, su proposta del Ministro dello sviluppo economico, a norma dell’articolo 1-bis del decreto-legge 15 marzo 2012, n. 21, ha deliberato:

§ l’esercizio dei poteri speciali in relazione alla informativa notificata dalla società LINKEM S.p.a. relativa a contratti o accordi aventi ad oggetto l’acquisto di beni e servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga su tecnologia 5G e acquisizione di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione;

§ l’esercizio di poteri speciali, con condizioni e prescrizioni, in relazione all’operazione notificata dalla società Vodafone S.p.a. consistente in accordi aventi ad oggetto l’acquisto di beni e servizi per la realizzazione e la gestione di reti di comunicazione elettronica basate sulla tecnologia 5G;

§ l’esercizio dei poteri speciali in relazione all’informativa notificata dalla società TIM S.p.a. relativa agli accordi conclusi prima del 26 marzo relativi ad apparati e sistemi di comunicazione rispetto ai quali la tecnologia 5G può essere considerata una naturale evoluzione;

§ l’esercizio dei poteri speciali, con prescrizioni, in relazione all’informativa notificata dalla società Wind Tre S.p.a. circa gli accordi stipulati con la società Huawei, aventi ad oggetto l’acquisto di beni e servizi per la realizzazione e la gestione di reti di comunicazione elettronica basate sulla tecnologia 5G;

§ l’esercizio dei poteri speciali in relazione all’informativa notificata dalla società FASTWEB S.p.a. relativa all’acquisto dalla società ZTE Corporation degli apparati relativi alle componenti radio per la realizzazione dell’ultima tratta della rete 5G FWA.

Tali poteri sono stati esercitati con decreti del Presidente del Consiglio dei ministri del 5 settembre 2019, trasmessi alle Camere ai sensi dell’articolo 1 e 1-bis del decreto-legge n. 21 del 2012.

Inoltre, con il decreto del Presidente del Consiglio dei ministri del 26 giugno 2019, sono stati esercitati i poteri speciali a norma dell’articolo 1-bis del decreto-legge n. 21 del 2012 in relazione all’accordo tra Fastweb e Samsung per la progettazione, fornitura, configurazione e manutenzione di apparati software relativi alle componenti radio e core network necessari alla realizzazione della rete 5G Fixed Wireless Access nelle città pilota di Bolzano e Biella.

La previsione del comma 3 andrà quindi inserita nell’ambito dei principi generali che regolano l’autonomia negoziale, anche tenuto conto dei tempi che saranno necessari (vedi supra) ai fini dell’attuazione della nuova normativa.

Il 5G è il nuovo standard per la comunicazione mobile che presenta caratteristiche tali da costituire non una semplice evoluzione delle precedenti generazioni ma una vera e propria tecnologia abilitante idonea a costruire un ecosistema che potrà adattarsi ad un’ampia gamma di applicazioni: tra le sue caratteristiche fondamentali, oltre ad assicurare una velocità di download e upload molto elevata, sono da annoverare: la bassa latenza (ossia distanza temporale tra il momento in cui un evento succede e viene raccolto come dato e quello in cui un'azione consegue che risulta pari o addirittura inferiore ai tempi di reazione umana), la capacità di connettere un numero assai più elevato di oggetti (si passa da 10-15.000 sensori per chilometro quadrato ad un milione), la maggiore economicità della trasmissione e la direzionalità del segnale (che “seguirà” l’oggetto da raggiungere con la connessione assicurando un uso più efficiente dello spettro e minori emissioni) e il cosiddetto slicing ossia la capacità di offrire sulla stessa infrastruttura connessioni specializzate per applicazioni critiche (ad esempio per la connessione delle auto a guida autonoma, o per la telemedicina) per le quali sono richieste caratteristiche specifiche in termini di latenza, affidabilità, sicurezza ecc.

Con la decisione n. 243/2012/UE del 14 marzo 2012, è stato definito un programma pluriennale europeo in materia di spettro radio ("Radio Spectrum Policy Programme"- RSPP), che prevede che gli Stati membri e la Commissione europea cooperino per sostenere e conseguire una serie di obiettivi strategici, in particolare che adottino tutte le misure necessarie per garantire la disponibilità di spettro radio sufficiente (almeno 1.200 Mhz) per copertura e capacità all'interno dell'Unione, al fine di consentire di disporre della banda larga più veloce e fare in modo che le applicazioni senza fili ed il ruolo guida europeo nei nuovi servizi possano contribuire efficacemente alla crescita economica e alla realizzazione dell'obiettivo dell'accesso ad una velocità della banda larga di almeno 30 Mbps entro il 2020 per tutti cittadini (Risoluzione del Parlamento europeo del 19 gennaio 2016). La comunicazione della Commissione del 6 maggio 2015 "A Digital Single Market Strategy for Europe" e la successiva la comunicazione, c.d "Gigabit Society" del 14 settembre 2016, hanno evidenziato che disponibilità di un idoneo quantitativo di spettro radio rappresenta uno dei presupposti essenziali per la fornitura e diffusione dei servizi wireless a banda larga e ultra-larga, insieme ad adeguati standard a garanzia di una comunicazione efficiente tra i vari componenti digitali (quali dispositivi, reti e archivi di dati), sottolineando l'importanza delle reti di telecomunicazione ad alta capacità, ritenute un asset fondamentale affinché l'Unione europea possa competere nel mercato globale.

Le politiche europee per lo sviluppo del 5G sono esposte nel "Piano di azione per il 5G" della Commissione europea, di cui alla comunicazione della Commissione europea del 14 settembre 2016, COM(2016) 588 final. La Comunicazione prevede una serie di azioni mirate al dispiegamento tempestivo e coordinato in Europa delle reti 5G. In particolare obiettivo della Comunicazione è quello di assicurare l'allineamento delle tabelle di marcia e delle priorità per il dispiegamento coordinato delle reti 5G per una loro rapida introduzione entro il 2018 e per una progressiva introduzione su larga scala entro il 2020. E' inoltre in preparazione il nuovo Codice europeo delle comunicazioni elettroniche (Proposta di direttiva 2016/0288/COD), che ha la finalità di consentire ai consumatori di beneficiare di un maggiore livello di protezione uniforme in tutta l'UE e nel cui ambito si prevede la promozione degli investimenti nel 5G, disponendo che gli Stati membri dovranno garantire agli operatori, in linea generale, la prevedibilità normativa per un periodo di almeno 20 anni per quanto riguarda la concessione di licenze relative allo spettro per la banda larga senza fili. Dopo aver raggiunto un accordo provvisorio con il Parlamento europeo sulla riforma di tale codice, nonché su un aggiornamento del mandato dell'Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC), il 29 giugno 2018 gli ambasciatori dei paesi dell'UE hanno approvato, a nome del Consiglio, un testo, che dovrà essere approvato dal Parlamento europeo e dal Consiglio.

I lavori per la standardizzazione e lo sviluppo dei sistemi 5G, iniziati nel 2013 (a partire dall'iniziativa della Commissione UE: " 5G Public Private Partnership" e del gruppo di lavoro 5G Architecture Working Group), sono tuttora in corso, con impiego di risorse europee che stanno finanziando numerosi progetti di ricerca (19 progetti).

Per ulteriori approfondimenti, anche in relazione agli interventi per lo sviluppo del 5G, si vedano i temi web della Camera, dove è attualmente in corso, presso la Commissione Trasporti, poste e telecomunicazioni (IX), l'Indagine conoscitiva sulle nuove tecnologie delle telecomunicazioni, con particolare riguardo alla transizione verso il 5G ed alla gestione dei big data.

Articolo 4 (SOPPRESSO)
(Disposizioni in materia di infrastrutture e tecnologie critiche)

L'articolo 4 estende l’ambito operativo delle norme in tema di poteri speciali esercitabili dal Governo nei settori ad alta intensità tecnologica (cd. golden power), contenute nel decreto legge n. 21 del 2012.

Tale articolo 4 del decreto-legge è stato soppresso durante l'esame presso la Camera dei deputati in prima lettura. Peraltro, i contenuti del suo comma 2 sono stati trasposti, con alcune modifiche, nel comma 3 dell'articolo 4-bis.

Più in dettaglio:

· viene ampliato (soppresso comma 1) il perimetro dei beni che possono essere inclusi nell'ambito di applicazione di tale disciplina, nel caso in cui sussista un pericolo per la sicurezza e l'ordine pubblico, attraverso il rinvio alle norme europee; ai fini della verifica del pericolo, viene ricompreso il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti;

· fino all’entrata in vigore delle norme secondarie che individuano puntualmente i settori rilevanti, sono assoggettati a notifica al Governo gli acquisti, da parte di soggetti esterni all'Unione europea, di partecipazioni in società che detengono specifici beni e rapporti, fra cui le infrastrutture e le tecnologie critiche legate alla gestione dei dati e alla cybersicurezza, nonché le infrastrutture finanziarie. La notifica in particolare riguarda gli acquisti rilevanti, ovvero in grado di determinare l'insediamento stabile dell'acquirente, in ragione dell'assunzione del controllo della società (comma 2; si veda ora articolo 4, comma 3);

· a seguito della notifica, il Governo può, sulla base di specifici criteri, esercitare poteri speciali imponendo condizioni e impegni diretti a garantire la tutela degli interessi essenziali dello Stato, nonché opponendosi all'acquisto della partecipazione (medesimo comma 2; si veda ora articolo 4, comma 3).

Si ricorda in questa sede che, per salvaguardare gli assetti proprietari delle società operanti in settori reputati strategici e di interesse nazionale, il legislatore ha organicamente disciplinato, con il decreto-legge 15 marzo 2012, n. 21 – come successivamente modificato nel tempo – la materia dei poteri speciali esercitabili dal Governo anche per aderire alle indicazioni e alle censure sollevate in sede europea. Sono stati in particolare definiti, anche mediante il rinvio ad atti di normazione secondaria (DPCM), l'ambito oggettivo e soggettivo, la tipologia, le condizioni e le procedure di esercizio da parte dello Stato (in particolare, del Governo) dei suddetti poteri speciali. Si tratta di poteri esercitabili nei settori della difesa e della sicurezza nazionale, nonché di taluni ambiti di attività definiti di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni.

Per ulteriori approfondimenti sulla disciplina, si rinvia alla ricostruzione contenuta nel focus pubblicato sul portale della documentazione della Camera dei deputati.

Per quanto rileva ai fini del presente lavoro, si rammenta che:

- il decreto-legge n. 148 del 2017 ha modificato ed esteso la disciplina dell'esercizio dei poteri speciali del Governo in ordine alla governance di società considerate strategiche; ha inoltre ampliato l'esercizio dei poteri speciali, applicabili nei settori dell'energia, dei trasporti e delle comunicazioni, al settore della cd. alta intensità tecnologica;

- successivamente il decreto-legge n. 22 del 2019 ha introdotto disposizioni specifiche in tema di poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G;

- il decreto-legge n. 64 del 2019 ha modificato le norme in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni. Il Consiglio dei ministri, nella riunione del 5 settembre 2019, ha deliberato l’esercizio dei poteri speciali ai sensi di tale provvedimento, con riferimento ad alcune operazioni riguardanti le comunicazioni elettroniche basate su tecnologia 5G e l’acquisizione di componenti ad alta intensità tecnologica. Tuttavia, stante la mancata conversione in legge, il provvedimento è decaduto il 9 settembre 2019. Si segnala inoltre che, nel corso dell'esame parlamentare del disegno di legge di conversione del decreto legge n. 75 del 2019 (A.S. 1460), è stato approvato un emendamento al medesimo disegno di legge con il quale si prevede la sanatoria degli effetti del decreto legge n. 64 del 2019. Per approfondimenti sulle disposizioni di tale ultimo decreto si rinvia al dossier predisposto dai servizi di Camera e Senato.

Come anticipato, l'articolo 4 del decreto-legge in esame, soppresso durante l'esame del disegno di legge di conversione presso la Camera dei deputati in prima lettura, modifica l'articolo 2 del decreto legge n. 21 del 2012, che disciplina i poteri speciali inerenti agli attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni, nonché nei settori ad alta intensità tecnologica.

In particolare, occorre rammentare che ai sensi dell’articolo 2 del decreto legge n. 21 del 2012 il Governo può:

- esercitare il potere di veto alle delibere, atti e operazioni che abbiano per effetto modifiche della titolarità, del controllo, della disponibilità o della destinazione degli attivi strategici, dando luogo a una situazione eccezionale, non disciplinata dalla normativa nazionale ed europea di settore, di minaccia di grave pregiudizio per gli interessi pubblici relativi alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti (articolo 2, comma 3). L'esercizio del potere è assistito dall'obbligo, per la società, di fornire al Governo una informativa completa su delibera, atto o operazione (articolo 2, comma 4);

- imporre condizioni e impegni diretti a garantire la tutela degli interessi essenziali dello Stato, in caso di acquisto da parte di un soggetto esterno all'Unione europea di partecipazioni in società che detengono gli attivi strategici (articolo 2, comma 6, primo periodo). L'esercizio del potere è assistito da un obbligo di notifica dell'acquisto di rilevanza tale da determinare l'insediamento stabile dell'acquirente in ragione dell'assunzione del controllo della società la cui partecipazione è oggetto dell'acquisto (articolo 2, comma 5);

- opporsi all'acquisto da parte di un soggetto esterno all'Unione europea di partecipazioni in società che detengono gli attivi strategici in casi eccezionali di rischio per la tutela dei predetti interessi, non eliminabili attraverso l'assunzione degli impegni (articolo 2, comma 6, secondo periodo). L'esercizio del potere è assistito da un obbligo di notifica dell'acquisto (articolo 2, comma 5).

Tali poteri speciali sono esercitati esclusivamente sulla base di criteri oggettivi e non discriminatori (articolo 2, comma 7), tenendo conto, in particolare, di elementi quali:

- la sussistenza di legami fra l'acquirente e Paesi terzi che non riconoscono i principi di democrazia o dello Stato di diritto, che non rispettano le norme del diritto internazionale o che hanno assunto comportamenti a rischio nei confronti della comunità internazionale, desunti dalla natura delle loro alleanze, o hanno rapporti con organizzazioni criminali o terroristiche o con soggetti ad esse comunque collegati;

- l'idoneità dell'assetto risultante dall'atto giuridico o dall'operazione, tenuto conto anche delle modalità di finanziamento dell'acquisizione e della capacità economica, finanziaria, tecnica e organizzativa dell'acquirente, a garantire la sicurezza e la continuità degli approvvigionamenti, nonché il mantenimento, la sicurezza e l'operatività delle reti e degli impianti. Per le operazioni di acquisto di partecipazioni è valutato anche il pericolo per la sicurezza o per l'ordine pubblico.

Il decreto legge n. 148 del 2017 ha ampliato l'esercizio dei poteri speciali applicabili nei settori dell'energia, dei trasporti e delle comunicazioni, al settore della cd. alta intensità tecnologica (articolo 2, comma 1-ter del decreto legge n. 21 del 2012) affidando a uno o più regolamenti, adottati ai sensi dell'articolo 17, comma 1, della legge n. 400 del 1988, il compito di individuare, ai fini della verifica in ordine alla sussistenza di un pericolo per la sicurezza e l'ordine pubblico, i settori ad alta intensità tecnologica.

Tra di essi la norma annovera:

a) le infrastrutture critiche o sensibili, tra cui immagazzinamento e gestione dati, infrastrutture finanziarie;

b) tecnologie critiche, compresa l'intelligenza artificiale, la robotica, i semiconduttori, le tecnologie con potenziali applicazioni a doppio uso, la sicurezza in rete, la tecnologia spaziale o nucleare;

c) sicurezza dell'approvvigionamento di input critici;

d) accesso a informazioni sensibili o capacità di controllare le informazioni sensibili.

Tali regolamenti sono adottati su proposta del Ministro dell'economia e delle finanze, del Ministro dello sviluppo economico e del Ministro delle infrastrutture e dei trasporti, di concerto con il Ministro dell'interno, con il Ministro della difesa e con il Ministro degli affari esteri, oltre che con i Ministri competenti per settore, previo parere delle Commissioni parlamentari competenti.

L'articolo 4, comma 1 (soppresso) del decreto in esame integra il disposto del comma 1-ter sotto un duplice profilo.

In primo luogo si chiarisce che, in seno alla verifica sulla sussistenza di un pericolo per la sicurezza e l’ordine pubblico, è compreso anche il possibile pregiudizio alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti.

Viene poi ampliato l’oggetto delle richiamate norme regolamentari, per chiarire che esse individuano i beni e i rapporti di rilevanza strategica per l'interesse nazionale – i quali si pongono come ulteriori rispetto a quelli individuati con riferimento al sistema di difesa e sicurezza nazionale, nonché con riferimento ai settori dell'energia, dei trasporti e delle comunicazioni – nei settori individuati come rilevanti per l’ordine pubblico e per la sicurezza dalle norme europee, in particolare ai sensi dell'articolo 4, paragrafo 1, del regolamento (UE) n. 452 del 2019, inclusi i settori ad alta intensità tecnologica.

Tali ultimi settori restano dunque inclusi nell'ambito di applicazione dei regolamenti il cui contenuto, contestualmente, viene ampliato mediante l'inclusione di ulteriori situazioni che possono recare pregiudizio alla sicurezza e all'ordine pubblico.

Rinviando all'articolo 4, paragrafo 1, del regolamento (UE) n. 452 del 2019, viene inclusa una lista che amplia (con alcune intersezioni) quella già contenuta nell'articolo 2, comma 1-ter del decreto legge n. 21 del 2012.

In base alla norma europea, nel determinare se un investimento estero diretto possa incidere sulla sicurezza o sull'ordine pubblico, gli Stati membri e la Commissione possono prendere in considerazione i suoi effetti potenziali, tra l'altro, a livello di:

a) infrastrutture critiche, siano esse fisiche o virtuali, tra cui l'energia, i trasporti, l'acqua, la salute, le comunicazioni, i media, il trattamento o l'archiviazione di dati, le infrastrutture aerospaziali, di difesa, elettorali o finanziarie, e le strutture sensibili, nonché gli investimenti in terreni e immobili fondamentali per l'utilizzo di tali infrastrutture;

b) tecnologie critiche e prodotti a duplice uso, tra cui l'intelligenza artificiale, la robotica, i semiconduttori, la cibersicurezza, le tecnologie aerospaziali, di difesa, di stoccaggio dell'energia, quantistica e nucleare, nonché le nanotecnologie e le biotecnologie;

c) sicurezza dell'approvvigionamento di fattori produttivi critici, tra cui l'energia e le materie prime, nonché la sicurezza alimentare;

d) accesso a informazioni sensibili, compresi i dati personali, o la capacità di controllare tali informazioni; o

e) libertà e pluralismo dei media.

I "prodotti a duplice uso" vengono definiti dall'articolo 2, punto 1, del regolamento (CE) n. 428 del 2009 come i prodotti, inclusi il software e le tecnologie, che possono avere un utilizzo sia civile sia militare. Essi comprendono tutti i beni che possono avere sia un utilizzo non esplosivo sia un qualche impiego nella fabbricazione di armi nucleari o di altri congegni esplosivi nucleari.

Per il contenuto del comma 2 si rinvia alla scheda sull'articolo 4-bis, comma 3, introdotto durante l'esame presso la Camera in prima lettura.

Articolo 4-bis
(Esercizio dei poteri speciali del Governo)

L'articolo 4-bis, introdotto durante l'esame presso la Camera dei deputati in prima lettura, detta disposizioni in materia di esercizio dei poteri speciali del Governo nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni, recando norme analoghe a quelle contenute nel decreto-legge n. 64 del 2019 con una serie di modifiche ed integrazioni.

Il Consiglio dei ministri, nella riunione del 5 settembre 2019, aveva deliberato l’esercizio dei poteri speciali ai sensi del decreto-legge n. 64, con riferimento ad alcune operazioni riguardanti le comunicazioni elettroniche basate su tecnologia 5G e l’acquisizione di componenti ad alta intensità tecnologica. Stante la mancata conversione in legge, il richiamato provvedimento è decaduto il 9 settembre 2019. Nel corso nel corso dell'esame parlamentare del disegno di legge di conversione del decreto legge n. 75 del 2019 (ora legge n. 107 del 4 ottobre 2019), è stata introdotta la sanatoria degli effetti del decreto legge n. 64 del 2019.

Le norme in esame, come già il decreto-legge n. 64, modificano il decreto legge n. 21 del 2012 in tema di poteri speciali del Governo nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni (cd. golden power). Sono in sintesi riproposte le seguenti modifiche:

· viene in generale allungato il termine per l’esercizio dei poteri speciali da parte del Governo, con contestuale arricchimento dell’informativa resa dalle imprese detentrici degli asset strategici;

· si amplia l’oggetto di alcuni poteri speciali;

· sono modificati e integrati gli obblighi di notifica finalizzati all’esercizio dei poteri speciali;

· viene modificata la disciplina dei poteri speciali in tema di tecnologie 5G, per rendere il procedimento sostanzialmente simmetrico rispetto a quello per l'esercizio dei poteri speciali nei settori della difesa e della sicurezza nazionale;

· viene ridefinito il concetto di “soggetto esterno all'Unione europea” e sono precisati i criteri per determinare se un investimento estero è suscettibile di incidere sulla sicurezza o sull'ordine pubblico.

Rispetto al contenuto del decreto-legge n. 64, l’articolo aggiuntivo 4-bis:

· introduce ulteriori circostanze che il Governo può tenere in considerazione, per l’esercizio dei poteri speciali, nel caso in cui l’acquirente di partecipazioni rilevanti sia un soggetto esterno all’Unione europea;

· sottopone all’obbligo di notifica anche l’acquisizione, a qualsiasi titolo – in luogo del solo acquisto - di beni o servizi relativi alle reti reti 5G, quando posti in essere con soggetti esterni all'Unione europea;

· consente di aggiornare i regolamenti che individuano gli attivi di rilevanza strategica tramite decreti del Presidente del Consiglio dei ministri, in luogo di decreti del Presidente della Repubblica, anche in deroga alle procedure richieste dalla legge n. 400 del 1988; viene semplificata la procedura per l’espressione del parere delle Commissioni parlamentari competenti;

· disciplina la notifica riguardante delibere, atti e operazioni relativi a specifici asset di rilevanza strategica per l’interesse nazionale nei settori dei trasporti, dell’energia e delle comunicazioni, in presenza di condizioni particolari relative alla provenienza dell’acquirente ovvero agli effetti delle operazioni compiute.

Modifiche ai poteri speciali nei settori della difesa e della sicurezza nazionale

Il comma 1, lettera a), dell’articolo aggiuntivo 4-bis novella l'articolo 1 del decreto legge n. 21 del 2012, che disciplina i poteri speciali nei settori della difesa e della sicurezza nazionale.

L'esercizio di tali poteri è condizionato all'esistenza di una minaccia di grave pregiudizio per gli interessi essenziali della difesa e della sicurezza nazionale, ed è demandato al Governo, mediante l'adozione, secondo le norme vigenti, di un decreto del Presidente del Consiglio dei ministri, su conforme deliberazione del Consiglio dei ministri, da trasmettere alle Commissioni parlamentari competenti.

Il testo vigente prevede che la trasmissione alle Commissioni parlamentari avvenga "contestualmente" all'adozione mentre, ai sensi del comma 1, lettera a) n. 1), il decreto con cui vengono esercitati poteri speciali è trasmesso alle Commissioni competenti "tempestivamente e per estratto".

I poteri speciali, con riferimento a imprese che svolgono attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale, consentono al Governo di:

· esercitare il veto all'adozione di specifiche delibere dell'assemblea o degli organi di amministrazione (articolo 1, comma 1, lettera b) del decreto legge n. 21 del 2012). Il comma 1, lettera a), numero 2.1 estende la possibilità di esercitare il veto anche con riferimento all'adozione di atti o operazioni da parte dell'assemblea o degli organi di amministrazione. L'oggetto delle delibere, atti o operazioni, soggetti all'esercizio del veto riguarda la fusione, la scissione o il trasferimento dell'azienda o di rami di essa, il trasferimento all'estero della sede sociale, nonché la modifica dell'oggetto sociale (in luogo del mutamento dell'oggetto sociale, come disposto dal comma 1, lettera a), numero 2.2), lo scioglimento della società, la modifica di specifiche clausole statutarie, le cessioni di diritti reali o di utilizzo relative a beni materiali o immateriali o l'assunzione di vincoli che ne condizionino l'impiego. Con riferimento a tali vincoli, il comma 1, lettera a), numero 2.3 specifica che gli stessi possono sussistere anche in ragione della sottoposizione dell'impresa a procedure concorsuali;

· imporre specifiche condizioni nel caso di acquisto di partecipazioni (articolo 1, comma 1, lettera a) del decreto legge n. 21 del 2012). Le condizioni fanno riferimento alla sicurezza di approvvigionamenti e informazioni, ai trasferimenti tecnologici e al controllo delle esportazioni;

· opporsi all'acquisto di partecipazioni da parte di un soggetto diverso dallo Stato italiano, enti pubblici italiani o soggetti da questi controllati, qualora l'acquirente venga a detenere un livello della partecipazione al capitale con diritto di voto in grado di compromettere nel caso specifico gli interessi della difesa e della sicurezza nazionale (articolo 1, comma 1, lettera c) del decreto legge n. 21 del 2012). Per evitare comportamenti elusivi rispetto all'attivazione di tale potere speciale, la disposizione specifica che gli acquisti possono essere effettuati direttamente o indirettamente, anche attraverso operazioni successive, per interposta persona o tramite soggetti altrimenti collegati. Ai fini dell'esercizio del potere speciale viene considerata la partecipazione detenuta da terzi con i quali l'acquirente ha stipulato un patto parasociale volto a disciplinare l'esercizio del diritto di voto e, in generale, la stabilizzazione degli assetti proprietari o il governo della società (di cui all'articolo 2341-bis del codice civile e all'articolo 122 del decreto legislativo n. 58 del 1998, Testo unico delle disposizioni in materia di intermediazione finanziaria, TUF).

Si segnala che le norme non riproducono l’articolo 1, comma 2, lettera c), del decreto-legge n. 64 che, nell’ultima delle suesposte ipotesi, considerava anche la partecipazione detenuta da terzi che hanno aderito alla richiesta di conferimento di deleghe di voto rivolta a più di duecento azionisti su specifiche proposte di voto ovvero accompagnata da raccomandazioni, dichiarazioni o altre indicazioni idonee a influenzare il voto (sollecitazione di deleghe di voto disciplinata dall'articolo 136 del TUF).

Il comma 1, lettera a), n. 3 dell’articolo 4-bis in esame apporta modifiche all’articolo 1, comma 2 del decreto-legge 21 del 2012, che disciplina i parametri che il Governo deve rispettare per valutare la minaccia di grave pregiudizio agli interessi essenziali della difesa e della sicurezza nazionale: viene inserito il richiamo, oltre che alle delibere, anche agli atti e alle operazioni su cui il Governo può esercitare il diritto di voto.

Viene inserito un comma 3-bis all’articolo 1 del decreto-legge n. 21 del 2012 (comma 1, lettera a), n. 4) che disciplina ulteriori circostanze che il Governo può tenere in considerazione per l’esercizio dei poteri speciali nel settore della difesa e della sicurezza nazionale, nel caso in cui l’acquirente di partecipazioni sia un soggetto esterno all’Unione europea.

In tale ipotesi il Governo può considerare altresì le circostanze che:

· l’acquirente sia direttamente o indirettamente controllato dall’amministrazione pubblica, inclusi organismi statali o forze armate, di un paese esterno all’Unione europea, anche attraverso l’assetto proprietario o finanziamenti consistenti;

· l’acquirente sia già stato coinvolto in attività che incidono sulla sicurezza o sull’ordine pubblico in uno Stato membro dell’Unione europea;

· vi sia un grave rischio che l’acquirente intraprenda attività illegali o criminali.

Il successivo n. 5 modifica l'articolo 1, comma 4, del decreto legge n. 21 del 2012, in tema di obblighi di notifica. L'impresa che svolge attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale è infatti tenuta a notificare alla Presidenza del Consiglio dei ministri una informativa completa sulla delibera o sull'atto da adottare in modo da consentire il tempestivo esercizio del potere di veto.

Il numero 5.1 estende tale obbligo di notifica alle operazioni che l'impresa intende effettuare, garantendo la simmetria con la nuova formulazione del potere di veto di cui all'articolo 1, comma 1, lettera b).

Il numero 5.2 modifica il terzo periodo del comma 4, prolungando da quindici a quarantacinque giorni dalla notifica il termine entro il quale il Presidente del Consiglio dei ministri comunica l'eventuale veto.

Il numero 5.3 integra il comma 4 dell’articolo 1 del decreto-legge n. 21, inserendovi un nuovo periodo dopo il quarto: esso prevede, oltre alla possibilità di richiedere informazioni all'impresa, anche quella di formulare richieste istruttorie a soggetti terzi. In tal caso, il termine per l'esercizio del potere di veto (quarantacinque giorni, come modificato dal numero 5.2) è sospeso fino al ricevimento delle informazioni richieste, che sono rese entro venti giorni.

Si segnala al riguardo che, rispetto alla formulazione del decreto-legge n. 64 del 2019, le norme in esame differenziano i termini di sospensione previsti per la richiesta di informazioni all’impresa (dieci giorni) da quelli previsti invece per le richieste istruttorie a terzi (venti giorni).

Il decreto-legge decaduto unificava il trattamento di entrambe le ipotesi, innalzando il termine della sospensiva da dieci a venti giorni.

Con le modifiche al successivo periodo (quinto periodo, n. 5.4), si dispone che le richieste istruttorie a soggetti terzi successive alla prima non hanno l’effetto di sospendere i termini per l’esercizio del potere di veto (come avviene, a norma vigente, per le richieste di informazioni successive alla prima).

Il numero 5.5 specifica, inoltre, che la notifica è soggetta ad una valutazione di completezza. Nel caso in cui la notifica risulti incompleta, pertanto, il termine di quarantacinque giorni decorre dal ricevimento delle informazioni o degli elementi che la integrano.

Ove l'esercizio del potere speciale non venga disposto nei termini così definiti, l'operazione può essere effettuata. Nel caso in cui, al contrario, venga adottato il decreto con cui si dispone l'esercizio del potere di veto, le delibere e gli atti adottati dall'impresa sono nulli. Il Governo può altresì ingiungere alla società e all'eventuale controparte di ripristinare a proprie spese la situazione anteriore.

Il n. 5.6 modifica e integra l'impianto sanzionatorio a tutela del potere speciale di veto, specificando che si applica la sanzione amministrativa pecuniaria - fino al doppio del valore dell'operazione e, comunque, non inferiore all'uno per cento del fatturato cumulato realizzato dalle imprese coinvolte nell'ultimo esercizio per il quale sia stato approvato il bilancio - anche per la violazione degli obblighi derivanti dal provvedimento di esercizio del potere di veto, eventualmente esercitato nella forma di imposizione di specifiche prescrizioni o condizioni, salvo che il fatto costituisca reato.

L'articolo 4-bis, comma 1, lettera a), n. 6 del decreto in esame modifica l'articolo 1, comma 5, del decreto legge n. 21 del 2012.

La disciplina vigente disciplina il potere di imporre specifiche condizioni per l’acquisto di partecipazioni, nonché il potere di opporsi all'acquisto di partecipazioni. Si stabilisce quindi che chiunque acquisti una partecipazione in imprese che svolgono attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale è tenuto a notificare l'acquisizione entro dieci giorni alla Presidenza del Consiglio dei ministri, trasmettendo nel contempo specifici elementi informativi. In particolare, il secondo periodo del comma 5 fa specifico riferimento all'acquisizione di azioni di una società ammessa alla negoziazione nei mercati regolamentati. Nel testo vigente del decreto-legge n. 21 del 2012 è previsto il rinvio all'articolo 120, comma 2, del TUF, che prevede una doppia soglia ai fini dell'obbligo di comunicazione delle partecipazioni rilevanti: il 3 per cento per le "grandi" società e il 5 per cento per piccole e medie società quotate, identificate con criteri dimensionali per cui tale seconda soglia può risultare applicabile anche ad imprese con una quota di mercato rilevante.

Per effetto della modifica apportata dal numero 6.1 viene eliminato il rinvio al TUF, chiarendo che la notifica deve essere effettuata qualora l'acquirente venga a detenere, a seguito dell'acquisizione, una partecipazione superiore alla soglia del 3 per cento.

Il numero 6.2 modifica di conseguenza l'elenco delle soglie al superamento delle quali sorgono ulteriori obblighi di notifica: 5 per cento, 10 per cento, 15 per cento, 20 per cento, 25 per cento e, per effetto del numero 6.3, anche al superamento della soglia del 50 per cento.

Il numero 6.4 estende gli obblighi di notifica previsti dall'articolo 1, comma 5, del decreto legislativo n. 21 del 2012, ai casi in cui l'acquisizione abbia ad oggetto azioni o quote di una società non ammessa alla negoziazione nei mercati regolamentati. Pertanto, per tutte le imprese che svolgono attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale, ammesse o non ammesse alla negoziazione in mercati regolamentati, sussiste l'obbligo di notificare entro dieci giorni alla Presidenza del Consiglio dei ministri l'acquisizione della partecipazione al superamento delle soglie del 3, 5, 10, 15, 20, 25 e 50 per cento del capitale rappresentato da azioni con diritto di voto.

Il numero 6.5 modifica il terzo periodo del comma 5, prolungando, simmetricamente alle modifiche relative al potere di veto, da quindici a quarantacinque giorni dalla notifica il termine entro il quale il Presidente del Consiglio dei ministri può esercitare il potere speciale di imporre specifiche condizioni nel caso di acquisto di partecipazioni, e il potere di opporsi all'acquisto di partecipazioni.

I successivi numeri 6.6 e 6.7 e 6.8 modificano l'istruttoria per l'esercizio di tali poteri, in simmetria con quanto disposto per il potere di veto, in particolare:

§ prevedendo la possibilità di formulare richieste istruttorie a soggetti terzi;

§ nella ipotesi di richieste istruttorie a terzi, sospendendo il termine di quarantacinque giorni fino al ricevimento delle informazioni richieste, rese entro il termine di venti giorni.

Si segnala al riguardo che, rispetto alla formulazione del decreto-legge n. 64 del 2019, le norme in esame differenziano i termini di sospensione previsti per la richiesta di informazioni all’acquirente (dieci giorni) da quelli previsti invece per le richieste istruttorie a terzi (venti giorni). Il decreto-legge decaduto unificava il trattamento di entrambe le ipotesi innalzando il primo termine della sospensiva da dieci a venti giorni.

§ chiarendo che le richieste istruttorie a soggetti terzi successive alla prima non hanno effetti sospensivi;

§ specificando che, in caso di incompletezza della notifica, il termine di quarantacinque giorni previsto per l'esercizio dei poteri decorre dal ricevimento delle informazioni o degli elementi che la integrano.

I numeri da 6.9 a 6.12 modificano le restanti parti dell'articolo 1, comma 5, del decreto legge n. 21 del 2012, in conseguenza dell'estensione del perimetro degli obblighi anche a società i cui titoli rappresentativi del capitale non sono ammessi a negoziazione su un mercato regolamentato, per cui, oltre alla forma di società per azioni, potrebbero essere oggetto di notifica anche operazioni che hanno ad oggetto quote di società a responsabilità limitata.

Modifiche ai poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G

Il comma 1, lettera b) dell’articolo 4-bis novella l'articolo 1-bis del decreto legge n. 21 del 2012, introdotto dal decreto-legge n. 22 del 2019, che disciplina i poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G, con norme analoghe a quelle previste dal decreto-legge n. 64 del 2019, sebbene con alcune integrazioni e differenze di seguito evidenziate.

Ai sensi delle norme vigenti, i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G costituiscono attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale. Si assoggetta al potere di veto e al potere di imporre specifiche prescrizioni o condizioni la stipula di contratti o accordi aventi ad oggetto l'acquisto di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, ovvero l'acquisizione di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all'Unione europea. La definizione di soggetto esterno all'Unione europea è fornita dal comma 3 dell'articolo 1-bis e comprende, oltre alle persone fisiche e giuridiche stabilite fuori dello spazio economico europeo (soggetti esterni in senso stretto), quelle in esso stabilite ma controllate direttamente o indirettamente da soggetti esterni, nonché quelle che siano stabilite in Europa al fine di eludere l'applicazione della disciplina in argomento.

Con una norma ulteriore rispetto al decreto-legge n. 64 del 2019, l'articolo 4-bis, comma 1, lettera b), n. 1 in esame modifica il comma 2 dell’articolo 1-bis sopra citato. In particolare si sottopone all’obbligo di notifica anche l’acquisizione, a qualsiasi titolo – in luogo del solo acquisto - di beni o servizi relativi alla progettazione, alla realizzazione, alla manutenzione e alla gestione delle reti inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, ovvero l’acquisizione, a qualsiasi titolo, di componenti ad alta intensità tecnologica funzionali alla predetta realizzazione o gestione, quando posti in essere con soggetti esterni all'Unione europea.

Sono conseguentemente modificati i riferimenti agli obblighi di notifica strumentali all'esercizio dei poteri speciali (n. 1.3).

Il numero 2 inserisce il nuovo comma 2-bis all’articolo 1-bis.

Si prevede, in sede di prima applicazione degli obblighi di notifica previsti dal nuovo comma 3-bis, che l'impresa notificante deve fornire anche una informativa completa sui contratti o accordi relativi alla tecnologia 5G (indicati al primo periodo del comma 2 dell’articolo 1-bis) conclusi prima del 26 marzo 2019, ovvero prima dell’entrata in vigore delle norme relative ai poteri speciali nel settore del 5G.

Il decreto-legge n. 64 prevedeva invece che la predetta informativa fosse obbligatoria per i contratti la cui efficacia fosse cessata alla medesima data.

Come anticipato, il n. 4 – inserendo un nuovo comma 3-bis all'articolo 1-bis - regola l'esercizio dei poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G.

In particolare, si dispone che, entro dieci giorni dalla conclusione di un contratto o accordo avente ad oggetto l'acquisto di beni o servizi inerenti i servizi di comunicazione elettronica a banda larga basati sulla tecnologia 5G, posti in essere con soggetti esterni all'Unione europea, l'impresa acquirente notifichi alla Presidenza del Consiglio dei ministri una informativa completa, in modo da consentire l'eventuale esercizio del potere di veto o l'imposizione di specifiche prescrizioni o condizioni.

Il Presidente del Consiglio dei ministri comunica l'eventuale veto o l'imposizione di specifiche prescrizioni o condizioni entro trenta giorni dalla notifica, decorsi i quali i poteri speciali si intendono non esercitati.

Nel caso in cui la notifica risulti incompleta, il termine di quarantacinque giorni decorre dal ricevimento delle informazioni o degli elementi che la integrano. Una volta completata l'informativa, è comunque possibile richiedere informazioni ulteriori all'impresa e a soggetti terzi.

Anche per tale ipotesi il trattamento della sospensiva è differenziato secondo il soggetto è rivolta la richiesta di informazioni. In particolare:

· l'effetto della richiesta all’impresa acquirente è la sospensione del termine per l'esercizio del potere di veto, fino al ricevimento delle informazioni richieste, che sono rese entro dieci giorni;

· anche le richieste istruttorie a terzi sospendono il termine per l’esercizio dei poteri speciali, mentre le informazioni devono essere rese in venti giorni.

Le richieste successive alla prima non sospendono i termini.

Il procedimento è sostanzialmente simmetrico a quello per l'esercizio dei poteri speciali nei settori della difesa e della sicurezza nazionale, rispetto al quale viene tuttavia identificata un'ulteriore ipotesi di sospensione dei termini: essa origina dall'eventuale necessità di svolgere approfondimenti relativi ad aspetti tecnici riguardanti possibili fattori di vulnerabilità e cioè, in sostanza, gli approfondimenti sui rischi derivanti dall'applicazione della tecnologia 5G per l'integrità e la sicurezza delle reti e dei dati che vi transitano. In tali casi, il termine per l'esercizio dei poteri speciali può essere sospeso per un massimo di venti giorni (il decreto-legge n. 64 del 2019 ne prevedeva quarantacinque), prorogabili di ulteriori venti giorni in caso di particolare complessità degli elementi da approfondire.

Ove l’impresa notificante abbia iniziato l’esecuzione del contratto o dell’accordo oggetto della notifica prima della decorrenza del termine per l’esercizio dei poteri speciali il Governo, nel provvedimento di esercizio dei predetti poteri, può ingiungere alla società e all'eventuale controparte di ripristinare a proprie spese la situazione anteriore.

In caso di inosservanza degli obblighi di notifica e di quelli derivanti dall'esercizio dei poteri speciali, salvo che il fatto costituisca reato, è prevista una sanzione amministrativa pecuniaria fino al centocinquanta per cento del valore dell’operazione e comunque non inferiore al venticinque per cento del medesimo valore.

Tale importo risulta più elevato di quello previsto dal decreto-legge n. 64, che prevedeva una sanzione fino al doppio del valore dell'operazione e comunque non inferiore all'uno per cento del medesimo valore.

Modifiche ai poteri speciali inerenti agli attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni

La lettera c) modifica l'articolo 2 del decreto legge n. 21 del 2012, che disciplina i poteri speciali inerenti agli attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni.

Con riferimento agli attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni, la normativa vigente (articolo 2 del decreto legge n. 21) consente al Governo di esercitare:

· il potere di veto alle delibere, atti e operazioni che abbiano per effetto modifiche della titolarità, del controllo, della disponibilità o della destinazione di attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni, dando luogo a una situazione eccezionale, non disciplinata dalla normativa nazionale ed europea di settore, di minaccia di grave pregiudizio per gli interessi pubblici relativi alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti (articolo 2, comma 3). L'esercizio del potere è assistito dall'obbligo per la società di fornire al Governo una informativa completa sulla delibera, atto o operazione (articolo 2, comma 4);

· l'imposizione di condizioni e impegni diretti a garantire la tutela degli interessi essenziali dello Stato, in caso di acquisto da parte di un soggetto esterno all'Unione europea di partecipazioni in società che detengono attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni (articolo 2, comma 6, primo periodo). L'esercizio del potere è assistito da un obbligo di notifica dell'acquisto di rilevanza tale da determinare l'insediamento stabile dell'acquirente in ragione dell'assunzione del controllo della società la cui partecipazione è oggetto dell'acquisto (articolo 2, comma 5);

· l'opposizione all'acquisto da parte di un soggetto esterno all'Unione europea di partecipazioni in società che detengono attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni in casi eccezionali di rischio per la tutela dei predetti interessi, non eliminabili attraverso l'assunzione degli impegni (articolo 2, comma 6, secondo periodo). L'esercizio del potere è assistito da un obbligo di notifica dell'acquisto (articolo 2, comma 5).

Tali poteri speciali sono esercitati esclusivamente sulla base di criteri oggettivi e non discriminatori, tenendo conto, in particolare, di elementi quali:

· la sussistenza di legami fra l'acquirente e Paesi terzi che non riconoscono i principi di democrazia o dello Stato di diritto, che non rispettano le norme del diritto internazionale o che hanno assunto comportamenti a rischio nei confronti della comunità internazionale, desunti dalla natura delle loro alleanze, o hanno rapporti con organizzazioni criminali o terroristiche o con soggetti ad esse comunque collegati;

· l'idoneità dell'assetto risultante dall'atto giuridico o dall'operazione, tenuto conto anche delle modalità di finanziamento dell'acquisizione e della capacità economica, finanziaria, tecnica e organizzativa dell'acquirente, a garantire la sicurezza e la continuità degli approvvigionamenti, nonché il mantenimento, la sicurezza e l'operatività delle reti e degli impianti. Per le operazioni di acquisto di partecipazioni è valutato anche il pericolo per la sicurezza o per l'ordine pubblico.

In primo luogo – con norme non contenute nel decreto-legge n. 64 – il provvedimento modifica sia il comma 1 che il comma 1-ter (rispettivamente nn. 1 e 3 della lettera c) del predetto articolo 2, consentendo di aggiornare i regolamenti che individuano gli attivi di rilevanza strategica tramite decreti del Presidente del Consiglio dei Ministri, in luogo di decreti del Presidente della Repubblica, anche in deroga alle procedure richieste dalla legge n. 400 del 1988.

Si prevede l’espressione del parere da parte delle Commissioni parlamentari competenti, da rendere entro trenta giorni; decorso tale termine i quali, comunque, gli atti possono essere adottati.

Le norme di conseguenza abrogano (n. 2) il comma 1-bis, che concede alle Commissioni 20 giorni per l’espressione del parere e disciplina le procedure di interlocuzione tra Governo e Parlamento, nel caso in cui l’esecutivo non intenda conformarsi al primo parere - se identico - delle Commissioni delle due Camere.

Viene inoltre espunto, al comma 1-ter, il riferimento ai cd. settori ad alta intensità tecnologica, che sono comunque ricompresi nell’elenco dell’articolo 4 del Regolamento UE n. 452 del 2019 in materia di controllo degli investimenti esteri diretti nell'Unione (per i quali si veda la scheda di lettura dell’articolo 4 del presente decreto).

Con le modifiche al comma 2 (n. 4.1 e 4.4 della lettera c) in esame) il riferimento alle “società” viene sostituito da quello alle “imprese”, allargando dunque il perimetro dei soggetti privati interessati dalle norme sui poteri speciali per gli attivi nei settori di rilevanza strategica.

Con le modifiche di cui al n. 4.2 e al n. 5 (non contenute nel decreto-legge 64/2019) si chiarisce che il già illustrato obbligo di notifica riguarda le delibere, gli atti e le operazioni adottati da società che detengono asset di rilevanza strategica per l'interesse nazionale nei settori dell'energia, dei trasporti e delle comunicazioni, individuati dalle norme secondarie ai sensi dell’articolo 2, comma 1.

Coerentemente, riceve una specifica e separata disciplina la notifica riguardante delibere, atti e operazioni relativi agli ulteriori asset di rilevanza strategica per l’interesse nazionale (di cui al comma 1-ter dell’articolo 2), al verificarsi di specifiche condizioni relative alla provenienza dell’acquirente ovvero agli effetti delle operazioni.

Tale disciplina viene infatti rifusa nel nuovo comma 2-bis (introdotto dalla lettera c), n. 5). In particolare deve essere notificato entro dieci giorni - e comunque prima che vi sia data attuazione – all’esecutivo (Presidenza del Consiglio dei Ministri):

· qualsiasi atto, delibera ovvero operazione, adottato da una impresa che detiene uno o più degli attivi strategici (sempre individuati ai sensi del comma 1-ter), che abbia per effetto la modifica della titolarità, del controllo o della disponibilità degli attivi strategici a favore di un soggetto esterno all’Unione europea, comprese le delibere dell'assemblea o degli organi di amministrazione aventi ad oggetto la fusione o la scissione della società, il trasferimento dell'azienda o di rami di essa in cui siano compresi detti attivi o l'assegnazione degli stessi a titolo di garanzia, il trasferimento di società controllate che detengono i predetti attivi, ovvero che abbia per effetto il trasferimento della sede sociale in un paese esterno all’Unione europea;

· qualsiasi delibera, atto o operazione siano idonei ad avere effetti consistenti sugli asset strategici, quali: il cambiamento della loro destinazione, la modifica dell'oggetto sociale, lo scioglimento della società o la modifica di clausole statutarie che creino azioni con voto plurimo (art. 2351, terzo comma, c.c.) ovvero che limitano il possesso azionario (articolo 3, comma 1, del decreto-legge 31 maggio 1994, n. 332).

Il n. 6 dispone che il decreto con cui viene esercitato il potere di veto venga trasmesso alle Commissioni competenti non già "contestualmente", ma "tempestivamente e per estratto" e coordina i riferimenti normativi con il nuovo comma 2-bis.

Il n. 7 modifica il comma 4 dell’articolo 2 e, in particolare:

· prolunga da quindici a quarantacinque giorni dalla notifica il termine entro il quale il Presidente del Consiglio dei ministri comunica l'eventuale veto;

· consente al Governo di formulare richieste istruttorie, sempre ai fini dell'esercizio del potere di veto su delibere, atti e operazioni, oltre che alla società, anche a soggetti terzi, fissando un termine di venti giorni entro i quali è possibile dare riscontro alle richieste formulate.

· Viene sostanzialmente disciplinata una procedura analoga a quanto previsto, dal provvedimento in esame, per gli altri settori in cui il Governo può esercitare i poteri speciali;

· chiarisce che la notifica è soggetta ad una valutazione di completezza e, pertanto, nel caso in cui la stessa risulti incompleta, il termine di quarantacinque giorni per l'esercizio del potere di veto decorre dal ricevimento delle informazioni o degli elementi che la integrano;

· apporta alle norme le modifiche di coordinamento normativo dovute all’introduzione del comma 2-bis;

Il n. 8 sopprime il terzo periodo del comma 5, che reca la vigente definizione di soggetto esterno all'Unione europea. Integra inoltre l'impianto sanzionatorio a tutela dei poteri speciali relativi all'acquisto di partecipazioni.

In particolare si chiarisce che l'inosservanza degli obblighi di notifica comporta, salvo che il fatto costituisca reato e ferme le invalidità previste dalla legge, una sanzione amministrativa pecuniaria fino al doppio del valore dell'operazione e comunque non inferiore all'uno per cento del fatturato cumulato realizzato dalle imprese coinvolte nell'ultimo esercizio per il quale sia stato approvato il bilancio.

Con il n. 9, che inserisce il comma 5-bis all’articolo 2, viene sostituita la definizione di soggetto esterno all'Unione europea, in modo tale da fornirne una disciplina univoca per la disciplina relativa all’esercizio dei poteri speciali nei vari settori.

In particolare, per soggetto esterno all'Unione europea si intende:

1) qualsiasi persona fisica o persona giuridica che non abbia la residenza, la dimora abituale, la sede legale o dell'amministrazione ovvero il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilito;

2) qualsiasi persona giuridica che abbia stabilito la sede legale o dell'amministrazione o il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, e che risulti controllato direttamente o indirettamente da una persona fisica o da una persona giuridica di cui al n. 1);

3) qualsiasi persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell'amministrazione ovvero il centro di attività principale in uno Stato membro dell'Unione europea o dello Spazio economico europeo o che sia comunque ivi stabilito, qualora vi siano elementi che indichino un comportamento elusivo rispetto all'applicazione della disciplina relativa all'esercizio dei poteri speciali contenuta nel decreto-legge n. 21 del 2012.

Il n. 10.1 modifica il primo periodo del comma 6, prolungando da quindici a quarantacinque giorni dalla notifica il termine entro il quale il Presidente del Consiglio dei ministri comunica l'imposizione di condizioni e impegni o l'opposizione all'acquisto, e prevede che il decreto con cui vengono esercitati tali poteri venga trasmesso alle Commissioni competenti non già "contestualmente" ma "tempestivamente e per estratto".

Il n. 10.2 integra il procedimento per l'esercizio dei medesimi poteri speciali, consentendo al Governo di formulare richieste istruttorie alla società e a soggetti terzi, ma differenziando le conseguenze delle due richieste.

Ove l’informazione sia richiesta all’acquirente, il termine di 45 giorni è sospeso una sola volta e le informazioni richieste sono rese entro dieci giorni. Per i soggetti terzi, le informazioni sono rese entro venti giorni. In entrambi i casi, le richieste successive alla prima non hanno effetto sospensivo: viene chiarito che la notifica è soggetta ad una valutazione di completezza. Pertanto, nel caso in cui la stessa risulti incompleta, il termine di quarantacinque giorni per l'esercizio del potere di veto decorre dal ricevimento delle informazioni o degli elementi che la integrano.

Per effetto dei numeri 10.3, 10.4 e 10.5, tutti i riferimenti alle azioni oggetto di acquisto vengono integrati dal riferimento anche alle quote, in modo da rendere la disciplina neutrale rispetto alla forma di società propria dei soggetti che detengono gli attivi rilevanti.

Il numero 10.6 modifica e integra i criteri per determinare se un investimento estero possa incidere sulla sicurezza o sull'ordine pubblico. In luogo di prevedere che sia presa in considerazione la circostanza che l'investitore straniero è controllato dal governo di un Paese terzo, non appartenente all'Unione europea, si dispone che vengano prese in considerazione le seguenti circostanze:

· l’acquirente che effettua l'investimento è direttamente o indirettamente controllato dall'amministrazione pubblica, inclusi organismi statali o forze armate, di un Paese extra UE, anche attraverso l'assetto proprietario o finanziamenti consistenti;

· l’acquirente è già stato coinvolto in attività che incidono sulla sicurezza o sull'ordine pubblico in uno Stato membro dell'Unione europea;

· vi è un grave rischio che il soggetto acquirente intraprenda attività illegali o criminali.

Il n. 11 apporta modifiche di coordinamento, sostituendo al comma 8 il riferimento ai “regolamenti” con quello ai “decreti”, stanti le modifiche alle fonti con cui sono individuati gli asset su cui possono essere esercitati i poteri speciali (v. supra).

Altre modifiche

L’articolo 4-bis, comma 1, lettera d), introduce due nuovi articoli nel decreto legge n. 21 del 2012.

L’articolo 2-bis (riproducendo l’articolo già introdotto dal decreto-legge n. 64 del 2019) impone alle autorità amministrative di settore di collaborare fra loro, anche attraverso lo scambio di informazioni, al fine di agevolare l'esercizio dei poteri speciali. Si tratta di: Banca d'Italia, Commissione nazionale per le società e la borsa (CONSOB), Commissione di vigilanza sui fondi pensione (COVIP), Istituto per la vigilanza sulle assicurazioni (IVASS), Autorità di regolazione dei trasporti (ART), Autorità garante della concorrenza e del mercato (AGCM), Autorità per le garanzie nelle comunicazioni (Agcom), Autorità di regolazione per energia reti e ambiente (ARERA) e Gruppo di coordinamento costituito ai sensi dell'articolo 3 del decreto del Presidente del Consiglio dei ministri del 6 agosto 2014; a tale Gruppo le altre autorità non possano opporre il segreto d'ufficio, esclusivamente per le finalità di agevolare l’esercizio dei poteri speciali. Il Gruppo di coordinamento è presieduto dal Segretario generale della Presidenza del Consiglio dei ministri o dal Vicesegretario delegato ed è composto dai responsabili di specifici uffici dei ministeri o da altri designati dai rispettivi ministri interessati.

L’articolo 2-ter coordina l’esercizio dei poteri speciali con i procedimenti disciplinati dalle norme europee (Reg. 2019/452/UE) sul controllo degli investimenti esteri diretti nell'Unione, disciplinando il dialogo tra autorità nazionali e Commissione europea.

Il Regolamento ha come scopo la creazione di un sistema comune di monitoraggio sugli investimenti esteri per tutelare le attività strategiche e monitorare le operazioni con potenziale impatto su sicurezza e ordine pubblico in Europa. Viene fatta salva la competenza esclusiva degli Stati per la sicurezza nazionale e il loro diritto di tutelare gli interessi essenziali della propria sicurezza (articolo 1).

Si crea un meccanismo di cooperazione attraverso il quale gli Stati membri e la Commissione dialogano per scambiarsi informazioni e affrontare questioni relative ad alcuni settori (articoli 6 e 7).

In particolare, gli Stati Membri devono notificare alla Commissione e agli altri Stati Membri tutti gli investimenti esteri diretti nel loro territorio che sono oggetto di un controllo in corso, con specifici obblighi informativi. Uno Stato membro che ritenga debitamente che un investimento estero diretto nel suo territorio possa incidere sulla sicurezza o sull'ordine pubblico può infatti chiedere alla Commissione di emettere un parere o agli altri Stati membri di formulare osservazioni.

È possibile che gli Stati, a specifiche condizioni, formulino reciproche osservazioni. Inoltre la Commissione europea può emettere un parere destinato allo Stato che effettua il controllo se ritiene che un investimento diretto estero possa incidere sulla sicurezza o sull'ordine pubblico di più di uno Stato Membro, ovvero su richiesta di uno Stato Membro. La Commissione può formulare pareri su investimenti diretti esteri ritenuti pregiudizievoli per progetti o programmi di interesse per l'Unione per motivi di sicurezza o ordine pubblico. Nel determinare se in un investimento diretto estero possa incidere sulla sicurezza o sull'ordine pubblico, gli Stati Membri e la Commissione europea possono prendere in considerazione i suoi effetti potenziali su:

- infrastrutture critiche, tra cui energia, trasporti, comunicazione, archiviazione dati, infrastruttura spaziali o finanziarie, e infrastrutture sensibili;

- tecnologie critiche, tra cui intelligenza artificiale, robotica, semiconduttori, cybersicurezza, tecnologia spaziale o nucleare;

- sicurezza dell'approvvigionamento di fattori produttivi critici;

- accesso a informazioni sensibili o capacità di controllare informazioni sensibili (articolo 4).

In particolare (comma 1), ove uno Stato membro o la Commissione notifichi l’intenzione di formulare osservazioni o di emettere un parere in relazione ad un investimento estero diretto, oggetto di un procedimento in corso, i termini per l’esercizio dei poteri speciali in materia di sicurezza e difesa, nonché di asset strategici, sono sospesi fino al ricevimento delle osservazioni dello Stato membro o del parere della Commissione europea.

Se il parere della Commissione europea è successivo alle osservazioni dello Stato membro, i termini per l’esercizio dei poteri speciali riprendono a decorrere dalla data di ricevimento del parere della Commissione.

I termini per l’esercizio dei poteri speciali sono altresì sospesi nel caso in cui il Governo richieda - ai sensi dell’articolo 6, paragrafo 4 - alla Commissione di emettere un parere o agli altri Stati membri di formulare osservazioni, in relazione a un procedimento in corso.

Viene fatta salva la possibilità di esercitare i poteri speciali anche prima del ricevimento del parere della Commissione o delle osservazioni degli Stati membri, nei casi in cui la tutela della sicurezza nazionale o dell’ordine pubblico richiedano l’adozione di una decisione immediata (ai sensi dell’articolo 6, paragrafo 8, del citato Regolamento (UE) n. 2019/452).

Il comma 2 dell’introdotto articolo 2-ter affida a un regolamento, emanato ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, su proposta del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze e, per i rispettivi ambiti di competenza, con i Ministri degli affari esteri, dell'interno, della difesa, dello sviluppo economico e delle infrastrutture e dei trasporti, nonché con i Ministri competenti per settore, la possibilità di ridisciplinare i termini per l’esercizio dei poteri speciali nei settori della sicurezza e della difesa, nonché degli asset strategici - di cui agli articoli 1 e 2 del decreto-legge 15 marzo 2012 n. 21-, per individuare procedure semplificate, tenuto conto del grado di potenziale pregiudizio per gli interessi essenziali della difesa, della sicurezza nazionale e dell’ordine pubblico, inclusi quelli relativi alla sicurezza e al funzionamento delle reti e degli impianti e alla continuità degli approvvigionamenti, nonché dell’esigenza di assicurare l’armonizzazione delle procedure nazionali con quelle relative ai meccanismi di controllo, scambio di informazione e cooperazione definiti ai sensi delle citate norme UE del regolamento n. 2019/452.

Viene stabilito (comma 3) che presso la Presidenza del Consiglio dei Ministri sia istituito il punto di contatto per l’attuazione del regolamento sugli investimenti esteri diretti (di cui all’articolo 11 del Regolamento (UE) n. 2019/452). Si affida a un DPCM la disciplina dell’organizzazione e il funzionamento del punto di contatto, senza nuovi o maggiori oneri a carico della finanza pubblica.

L’articolo 4-bis, comma 1, lettera e) in esame effettua alcune modifiche di coordinamento, in particolare discendenti dalla nuova definizione di “soggetto esterno all'Unione europea”.

Il comma 2 dell’articolo 4-bis dispone, infine, che le modifiche introdotte si applicano anche ai procedimenti in corso alla data di entrata in vigore della norma in esame. Di conseguenza, i termini non ancora decorsi sono prorogati fino al raggiungimento della durata stabilita in base alle nuove disposizioni applicabili.

Sono escluse da tale applicazione retroattiva le norme sulla cooperazione in sede UE in tema di investimenti esteri diretti.

Il comma 3 dell'articolo 4-bis riprende, con modifiche, il comma 2 dell'articolo 4 del decreto-legge, oggetto di soppressione alla Camera dei deputati in prima lettura.

Tale comma 3 stabilisce che, fino all'entrata in vigore delle norme secondarie (decreto del Presidente del Consiglio dei ministri, come specificato nella nuova formulazione, da adottare ai sensi dell'articolo 2, comma 1-ter, del decreto legge n. 21 del 2012, come modificato dal presente articolo), è soggetto a notifica (di cui al comma 5 del medesimo articolo 2) l'acquisto a qualsiasi titolo, da parte di un soggetto esterno all'Unione europea, di partecipazioni in società che detengono beni e rapporti nei settori delle infrastrutture e delle tecnologie critiche, come definiti dal richiamato articolo 4, paragrafo 1, lettere a) e b), del regolamento (UE) n. 452 del 2019, di rilevanza tale da determinare l'insediamento stabile dell'acquirente, in ragione dell'assunzione del controllo della società la cui partecipazione è oggetto dell'acquisto, ai sensi dell'articolo 2359 del codice civile e del Testo Unico Finanziario – TUF (decreto legislativo n. 58 del 1998).

Il comma 3 prevede altresì che, a seguito della notifica, trovino applicazione i commi 5, 5-bis e 6, dell'articolo 2 del decreto-legge n. 21 del 2012, come modificati dal presente articolo. Al riguardo, si veda sopra il paragrafo Modifiche ai poteri speciali inerenti agli attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni (in particolare, cfr. sopra la lettera c), nn. 8, 9 e 10).

Si fa presente che l'ultima Relazione al Parlamento sull’esercizio dei poteri speciali aggiornata a fine 2018, afferma che è in corso di predisposizione il regolamento attuativo delle novità introdotte con il decreto-legge n. 148 del 2017, per individuare i settori ad alta intensità tecnologica, nonché la tipologia di atti o operazioni oggetto dell’esercizio dei poteri speciali.

Con una norma di chiusura (articolo 4-bis, comma 4), si chiarisce che - fino alla data di entrata in vigore dei DPCM di individuazione degli asset strategici, come previsto dal novellato articolo 2, commi 1 e 1-ter, del decreto-legge 15 marzo 2012, n. 21 - continuano ad avere efficacia i decreti (DPR) adottati in attuazione delle norme previgenti.

[1] Gli acronimi, rispettivamente, stanno per: Internet Exchange Point; Domain Name Systems, Top-Level Domain.

Premessa

Articolo 1, commi 1 e 2
(Istituzione del perimetro di sicurezza nazionale cibernetica)

Articolo 1, commi 3-5
(Procedure di segnalazione degli incidenti e misure di sicurezza)

Articolo 1, comma 6
(Determinazione delle procedure e delle modalità per l’acquisizione di sistemi ICT nel perimetro di sicurezza nazionale cibernetica e relativi compiti di vigilanza)

Articolo 1, commi 7 e 19
(Compiti del Centro di valutazione e certificazione nazionale)

Articolo 1, comma 8
(Obblighi per alcuni specifici operatori)

Articolo 1, commi da 9 a 11-bis
(Disposizioni sanzionatorie)

Articolo 1, commi 12-14
(Accertamento delle violazioni e irrogazione delle sanzioni)

Articolo 1, commi 15 e 16
(Raccordi organizzativi e compiti dell’AGID)

Articolo 1, commi 17 e 18
(Novelle al decreto legislativo n. 65 del 2018 e invarianza degli oneri finanziari)

Articolo 1, comma 19-bis
(Coordinamento dell’attuazione delle disposizioni sul perimetro di sicurezza cibernetica e relazione alle Camere)

Articolo 2, commi 3 e 4
(Assunzioni presso la Presidenza del Consiglio)

Articolo 2, comma 5
(Reclutamento del personale del CVCN e della Presidenza del Consiglio dei ministri)

Articolo 3
(Disposizioni in materia di reti di telecomunicazione elettronica a banda larga con tecnologia 5G)

Articolo 4 (SOPPRESSO)
(Disposizioni in materia di infrastrutture e tecnologie critiche)

Articolo 4-bis
(Esercizio dei poteri speciali del Governo)

Modifiche ai poteri speciali nei settori della difesa e della sicurezza nazionale

Modifiche ai poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G

Modifiche ai poteri speciali inerenti agli attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni

Altre modifiche

Articolo 5
(Determinazioni del Presidente del Consiglio dei ministri
in caso di crisi di natura cibernetica)

Articolo 6
(Copertura finanziaria)

Articolo 7
(Entrata in vigore)

Articolo 1, commi 1 e 2 (Istituzione del perimetro di sicurezza nazionale cibernetica)

Articolo 1, comma 6 (Determinazione delle procedure e delle modalità per l’acquisizione di sistemi ICT nel perimetro di sicurezza nazionale cibernetica e relativi compiti di vigilanza)

Articolo 1, commi da 9 a 11-bis (Disposizioni sanzionatorie)

Articolo 1, commi 12-14 (Accertamento delle violazioni e irrogazione delle sanzioni)

Modifiche ai poteri speciali nei settori della difesa e della sicurezza nazionale

Modifiche ai poteri speciali inerenti le reti di telecomunicazione elettronica a banda larga con tecnologia 5G

Modifiche ai poteri speciali inerenti agli attivi strategici nei settori dell'energia, dei trasporti e delle comunicazioni

Altre modifiche

Articolo 6 (Copertura finanziaria)

Articolo 1, commi 1 e 2
(Istituzione del perimetro di sicurezza nazionale cibernetica)

Articolo 1, comma 6
(Determinazione delle procedure e delle modalità per l’acquisizione di sistemi ICT nel perimetro di sicurezza nazionale cibernetica e relativi compiti di vigilanza)

Articolo 1, commi da 9 a 11-bis
(Disposizioni sanzionatorie)

Articolo 1, commi 12-14
(Accertamento delle violazioni e irrogazione delle sanzioni)

Articolo 6
(Copertura finanziaria)