PARERI
Parere Commissione: 06
Parere Commissione: 08
Parere Commissione: 09
Parere Commissione: 11
Parere Commissione: 12
Parere Commissione: 14
PROGETTO DI LEGGE - TESTO A FRONTE
| Capo I | Capo I |
| Articolo 1 | Articolo 1 |
| Articolo 2 | Articolo 2 |
| Articolo 3 | Articolo 3 |
| Articolo 4 | |
| Articolo 4 | Articolo 5 |
| Articolo 5 | Articolo 6 |
| Articolo 7 | |
| Articolo 6 | Articolo 8 |
| Articolo 9 | |
| Articolo 7 | Articolo 10 |
| Articolo 8 | Articolo 11 |
| Articolo 9 | Articolo 12 |
| Articolo 10 | Articolo 13 |
| Articolo 14 | |
| Capo II | Capo II |
| Articolo 11 | Articolo 15 |
| Articolo 12 | Articolo 16 |
| Articolo 13 | Articolo 17 |
| Articolo 14 | Articolo 18 |
| Articolo 15 | Articolo 19 |
| Articolo 16 | Articolo 20 |
| Articolo 17 | Articolo 21 |
| Articolo 22 | |
| Articolo 18 | Articolo 23 |
XIX LEGISLATURA
CAMERA DEI DEPUTATI
N. 1717-A
DISEGNO DI LEGGE
presentato dal presidente del consiglio dei ministri
(MELONI)
e dal ministro della giustizia
(NORDIO)
Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici
Presentato il 16 febbraio 2024
(Relatori: Nazario PAGANO, per la I Commissione;
MASCHIO, per la II Commissione)
NOTA: Le Commissioni permanenti I (Affari costituzionali, della Presidenza del Consiglio e interni) e II (Giustizia), l'8 maggio 2024, hanno deliberato di riferire favorevolmente sul disegno di legge. In pari data le Commissioni hanno chiesto di essere autorizzate a riferire oralmente.
PARERE DELLA VI COMMISSIONE PERMANENTE
(Finanze)
PARERE FAVOREVOLE
PARERE DELLA VIII COMMISSIONE PERMANENTE
(Ambiente, territorio e lavori pubblici)
La VIII Commissione,
esaminato, per i profili di competenza, il disegno di legge n. 1717 recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici;
evidenziato che l'articolo 10 reca disposizioni dirette a indicare criteri di cybersicurezza in tema di contratti pubblici relativi all'approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici, definendo altresì una serie di obblighi e facoltà delle stazioni appaltanti nell'ambito di tali contratti,
esprime
PARERE FAVOREVOLE
PARERE DELLA IX COMMISSIONE PERMANENTE
(Trasporti, poste e telecomunicazioni)
La IX Commissione,
esaminato, per i profili di competenza, il disegno di legge recante «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» (C. 1717 Governo);
condivise le finalità del provvedimento, volto ad assicurare una più elevata capacità di protezione e risposta a fronte di emergenze cibernetiche, alla luce dell'attuale contesto geo-politico,
esprime
PARERE FAVOREVOLE
PARERE DELLA XI COMMISSIONE PERMANENTE
(Lavoro pubblico e privato)
La XI Commissione,
esaminato, per quanto di competenza, il disegno di legge C. 1717 Governo, recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici;
ricordato come la sicurezza cibernetica costituisca uno dei principali interventi previsti dal PNRR nell'ambito della trasformazione digitale della pubblica amministrazione e della digitalizzazione del Paese;
osservato che il provvedimento si propone di rafforzare la sicurezza nazionale, a favore delle pubbliche amministrazioni, delle imprese e dei cittadini, anche considerato il rilevante sviluppo di tecnologie potenzialmente aggressive, prevedendo una governance centralizzata degli aspetti di sicurezza e recando disposizioni per la prevenzione e il contrasto dei reati informatici;
segnalato, per quanto concerne i profili di competenza della XI Commissione, che l'articolo 9 stabilisce un divieto, della durata di due anni, di assunzione, anche di incarichi, presso soggetti privati finalizzata allo svolgimento di mansioni in materia di cybersicurezza per i dipendenti appartenenti al ruolo del personale dell'Agenzia per la cybersicurezza nazionale che abbiano partecipato, nell'interesse e a spese dell'Agenzia stessa, a specifici percorsi formativi di specializzazione, pur prevedendo specifiche cause di esclusione dall'applicazione del richiamato divieto,
esprime
PARERE FAVOREVOLE
PARERE DELLA XII COMMISSIONE PERMANENTE
(Affari sociali)
PARERE FAVOREVOLE
PARERE DELLA XIV COMMISSIONE PERMANENTE
(Politiche dell'Unione europea)
La XIV Commissione,
esaminato, per i profili di competenza, il disegno di legge in titolo, recante disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (C. 1717 Governo);
considerato che il quadro geopolitico attuale, caratterizzato da gravi conflitti internazionali tuttora in corso, pone in primo piano il rischio di crescenti minacce informatiche e richiede pertanto l'introduzione di misure volte ad una più efficace gestione e mitigazione dei suddetti rischi;
rilevata la necessità di prevenire le minacce alla sicurezza informatica attraverso modifiche sostanziali e processuali in relazione ai reati informatici, anche tramite il rafforzamento delle funzioni dell'Agenzia per la cybersicurezza nazionale (ACN) e il suo coordinamento con l'Autorità giudiziaria in caso di attacchi informatici;
evidenziato che il provvedimento è finalizzato a rispondere alla crescente offensività delle aggressioni realizzate con mezzi telematici ed informatici e alla conseguente esigenza di realizzare una più intensa tutela della sicurezza cibernetica;
sottolineato, in particolare, che il Capo I del disegno di legge contiene disposizioni concernenti la cybersicurezza nazionale finalizzate a conseguire una più elevata capacità di protezione e risposta di fronte a emergenze cibernetiche mentre il Capo II reca disposizioni per la prevenzione e il contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici;
ricordato che la materia della sicurezza cibernetica è regolata a livello dell'Unione europea dalla direttiva (UE) 2016/1148 del 6 luglio 2016 (c.d. direttiva NIS – Network and Information Security) recepita nell'ordinamento interno con il decreto legislativo 18 maggio 2018, n. 65, che costituisce la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS;
ricordato altresì che la legge di delegazione europea 2022-2023 (legge 21 febbraio 2024, n. 15) ha delegato il Governo a dare attuazione alla nuova direttiva (UE) 2022/2555 del 14 dicembre 2022 (c.d. direttiva NIS 2) che ha sostituito il quadro di riferimento in materia, al fine di tenere conto di una crescente digitalizzazione del mercato interno e di un panorama in evoluzione delle minacce alla cybersicurezza;
ritenuto che l'intervento legislativo risponda in modo adeguato ed efficace alla complessità e rapidità degli scenari di crisi, rafforzando il ruolo istituzionale dell'ACN anche in relazione alle sfide dell'attuale contesto caratterizzato da nuove tipologie di confronto ibrido;
evidenziato che il disegno di legge non presenta profili d'incompatibilità con l'ordinamento dell'Unione europea,
esprime
PARERE FAVOREVOLE
|
TESTO
|
TESTO
|
|
Capo I
|
Capo I
|
|
Art. 1.
|
Art. 1.
|
|
1. Le pubbliche amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti e le aziende sanitarie locali segnalano e notificano, con le modalità e nei termini di cui al comma 2, gli incidenti indicati nella tassonomia di cui all'articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, aventi impatto su reti, sistemi informativi e servizi informatici. Tra i soggetti di cui al presente comma sono altresì comprese le rispettive società in house. |
1. Le pubbliche amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, le città metropolitane, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nell'ambito delle città metropolitane e le aziende sanitarie locali segnalano e notificano, con le modalità e nei termini di cui al comma 2, gli incidenti indicati nella tassonomia di cui all'articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, aventi impatto su reti, sistemi informativi e servizi informatici. Tra i soggetti di cui al presente comma sono altresì comprese le rispettive società in house che forniscono servizi informatici, i servizi di trasporto di cui al primo periodo del presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008. |
|
2. I soggetti di cui al comma 1 segnalano, senza ritardo e comunque entro il termine massimo di ventiquattro ore dal momento in cui ne sono venuti a conoscenza a seguito delle evidenze comunque ottenute, qualunque incidente riconducibile a una delle tipologie individuate nella tassonomia di cui al comma 1 ed effettuano, entro settantadue ore a decorrere dal medesimo momento, la notifica completa di tutti gli elementi informativi disponibili. La segnalazione e la successiva notifica sono effettuate tramite le apposite procedure disponibili nel sito internet istituzionale dell'Agenzia per la cybersicurezza nazionale. |
2. Identico. |
|
3. Per i comuni con popolazione superiore a 100.000 abitanti e i comuni capoluoghi di regione, per le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, per le società di trasporto pubblico extraurbano operanti nell'ambito delle città metropolitane, per le aziende sanitarie locali e per le società in house che forniscono servizi informatici, i servizi di trasporto di cui al presente comma ovvero servizi di raccolta, smaltimento o trattamento di acque reflue urbane, domestiche o industriali, come definite ai sensi dell'articolo 2, punti 1), 2) e 3), della direttiva 91/271/CEE del Consiglio, del 21 maggio 1991, o di gestione dei rifiuti, come definita ai sensi dell'articolo 3, punto 9), della direttiva 2008/98/CE del Parlamento europeo e del Consiglio, del 19 novembre 2008, gli obblighi di cui ai commi 1 e 2 del presente articolo si applicano a decorrere dal centottantesimo giorno successivo alla data di entrata in vigore della presente legge. | |
|
3. Nell'ipotesi in cui i soggetti di cui al comma 1 effettuino notifiche volontarie di incidenti al di fuori dei casi indicati nella tassonomia di cui al medesimo comma 1, si applicano le disposizioni di cui all'articolo 18, commi 3, 4 e 5, del decreto legislativo 18 maggio 2018, n. 65. |
4. Identico. |
|
4. Nel caso di inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale comunica all'interessato che la reiterazione dell'inosservanza comporterà l'applicazione delle disposizioni di cui al comma 5 e può disporre, nei dodici mesi successivi all'accertamento del ritardo o dell'omissione, l'invio di ispezioni, anche al fine di verificare l'attuazione, da parte dei soggetti interessati dall'incidente, di interventi di rafforzamento della resilienza agli stessi, direttamente indicati dall'Agenzia per la cybersicurezza nazionale ovvero previsti da apposite linee guida adottate dalla medesima Agenzia. Le modalità di tali ispezioni sono disciplinate con determinazione del direttore generale dell'Agenzia per la cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale. |
5. Nel caso di inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale comunica all'interessato che la reiterazione dell'inosservanza, nell'arco di cinque anni, comporterà l'applicazione delle disposizioni di cui al comma 6 e può disporre, nei dodici mesi successivi all'accertamento del ritardo o dell'omissione, l'invio di ispezioni, anche al fine di verificare l'attuazione, da parte dei soggetti interessati dall'incidente, di interventi di rafforzamento della resilienza agli stessi, direttamente indicati dall'Agenzia per la cybersicurezza nazionale ovvero previsti da apposite linee guida adottate dalla medesima Agenzia. Le modalità di tali ispezioni sono disciplinate con determinazione del direttore generale dell'Agenzia per la cybersicurezza nazionale, pubblicata nella Gazzetta Ufficiale. |
|
5. Nei casi di reiterata inosservanza dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale applica altresì, nel rispetto delle disposizioni dell'articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000. La violazione delle disposizioni del comma 1 del presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile. |
6. Nei casi di reiterata inosservanza, nell'arco di cinque anni, dell'obbligo di notifica di cui ai commi 1 e 2, l'Agenzia per la cybersicurezza nazionale applica altresì, nel rispetto delle disposizioni dell'articolo 17, comma 4-quater, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 a carico dei soggetti di cui al comma 1. La violazione delle disposizioni del comma 1 del presente articolo può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili. |
|
6. Fermi restando gli obblighi e le sanzioni, anche penali, previsti da altre norme di legge, le disposizioni del presente articolo non si applicano: |
7. Identico. |
|
a) ai soggetti di cui di cui all'articolo 3, comma 1, lettere g) e i), del decreto legislativo n. 65 del 2018 e a quelli di cui all'articolo 1, comma 2-bis, del decreto-legge n. 105 del 2019, convertito, con modificazioni, dalla legge n. 133 del 2019; | |
|
b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124. | |
|
Art. 2.
|
Art. 2.
|
|
1. I soggetti di cui all'articolo 1, comma 1, della presente legge e quelli di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, all'articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65, e all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, in caso di segnalazioni puntuali dell'Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultino potenzialmente esposti, provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all'adozione degli interventi risolutivi indicati dalla stessa Agenzia. |
1. Identico. |
|
2. La mancata o ritardata adozione degli interventi risolutivi di cui al comma 1 comporta l'applicazione delle sanzioni di cui all'articolo 1, comma 5, salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all'Agenzia per la cybersicurezza nazionale, ne impediscano l'adozione o ne comportino il differimento oltre il termine indicato al comma 1. |
2. La mancata o ritardata adozione degli interventi risolutivi di cui al comma 1 comporta l'applicazione delle sanzioni di cui all'articolo 1, comma 6, salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all'Agenzia per la cybersicurezza nazionale, ne impediscano l'adozione o ne comportino il differimento oltre il termine indicato al comma 1. |
|
Art. 3.
|
Art. 3.
|
|
1. All'articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, sono apportate le seguenti modificazioni: |
Identico. |
|
a) il secondo periodo è sostituito dal seguente: «I medesimi soggetti provvedono a effettuare la segnalazione degli incidenti di cui al presente comma senza ritardo, comunque entro il termine massimo di ventiquattro ore, e ad effettuare la relativa notifica entro settantadue ore»; | |
|
b) dopo il quarto periodo è inserito il seguente: «Nei casi di reiterata inosservanza degli obblighi di notifica di cui al presente comma, si applica la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000». | |
|
Art. 4.
| |
|
1. All'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo la lettera n-bis) è inserita la seguente: | |
|
«n-ter) provvede alla raccolta, all'elaborazione e alla classificazione dei dati relativi alle notifiche di incidenti ricevute dai soggetti che a ciò siano tenuti in osservanza delle disposizioni vigenti. Tali dati sono resi pubblici nell'ambito della relazione prevista dall'articolo 14, comma 1, quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza. A tali adempimenti si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente». | |
|
Art. 4.
|
Art. 5.
|
|
1. All'articolo 8 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4 è inserito il seguente: |
Identico. |
|
«4.1. In relazione a specifiche questioni di particolare rilevanza concernenti i compiti di cui all'articolo 9, comma 1, lettera a), il Nucleo può essere convocato nella composizione di cui al comma 4, di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d'Italia o di uno o più operatori di cui all'articolo 1, comma 2-bis, del decreto-legge perimetro, nonché di eventuali altri soggetti, interessati alle stesse questioni. Le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice». | |
|
Art. 5.
|
Art. 6.
|
|
1. Qualora i servizi di cui agli articoli 6 e 7 della legge 3 agosto 2007, n. 124, avuta notizia di un evento o un incidente informatici, ritengano strettamente necessario, per il perseguimento delle finalità istituzionali del Sistema di informazione per la sicurezza della Repubblica, il differimento di una o più delle attività di resilienza di cui all'articolo 7, comma 1, lettere n) e n-bis), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, i predetti servizi, per il tramite del Dipartimento delle informazioni per la sicurezza, ne informano il Presidente del Consiglio dei ministri o l'Autorità delegata di cui all'articolo 3 della citata legge n. 124 del 2007, ove istituita. |
Identico. |
|
2. Nei casi di cui al comma 1, il Presidente del Consiglio dei ministri, sentiti il direttore generale del Dipartimento delle informazioni per la sicurezza e il direttore generale dell'Agenzia per la cybersicurezza nazionale, può disporre il differimento degli obblighi informativi cui è in ogni caso tenuta l'Agenzia ai sensi delle disposizioni vigenti, ivi compresi quelli previsti ai sensi dell'articolo 17, commi 4 e 4-bis, del decreto-legge n. 82 del 2021, nonché il differimento di una o più delle attività di resilienza di cui all'articolo 7, comma 1, lettere n) e n-bis), del medesimo decreto-legge. | |
|
Art. 7.
| |
|
1. All'articolo 5, comma 3, della legge 3 agosto 2007, n. 124, sono apportate le seguenti modificazioni: | |
|
a) dopo le parole: «Ministro degli affari esteri» sono inserite le seguenti: «e della cooperazione internazionale»; | |
|
b) le parole: «dello sviluppo economico e dal Ministro della transizione ecologica» sono sostituite dalle seguenti: «delle imprese e del made in Italy, dal Ministro dell'ambiente e della sicurezza energetica, dal Ministro dell'agricoltura, della sovranità alimentare e delle foreste, dal Ministro delle infrastrutture e dei trasporti e dal Ministro dell'università e della ricerca». | |
|
Art. 6.
|
Art. 8.
|
|
1. I soggetti di cui all'articolo 1, comma 1, individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede: |
1. Identico: |
|
a) allo sviluppo delle politiche e procedure di sicurezza delle informazioni; |
a) identica; |
|
b) alla produzione e all'aggiornamento di un piano per la gestione del rischio informatico; |
b) alla produzione e all'aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico; |
|
c) alla produzione e all'aggiornamento di un documento che definisca i ruoli e l'organizzazione del sistema per la sicurezza delle informazioni dell'amministrazione; |
c) identica; |
|
d) alla produzione e all'aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell'amministrazione; |
d) identica; |
|
e) alla pianificazione e all'attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d); |
e) identica; |
|
f) alla pianificazione e all'attuazione dell'adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall'Agenzia per la cybersicurezza nazionale; |
f) identica; |
|
g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza. |
g) identica. |
|
2. Presso le strutture di cui al comma 1 opera il referente per la cybersicurezza, individuato in ragione delle qualità professionali possedute. Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell'amministrazione con l'Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione. A tal fine, il nominativo del referente per la cybersicurezza è comunicato all'Agenzia per la cybersicurezza nazionale. |
2. Presso le strutture di cui al comma 1 opera il referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza. Nel caso in cui i soggetti di cui all'articolo 1, comma 1, non dispongano di personale dipendente fornito di tali requisiti, possono conferire l'incarico di referente per la cybersicurezza a un dipendente di una pubblica amministrazione, previa autorizzazione di quest'ultima ai sensi dell'articolo 53 del decreto legislativo 30 marzo 2001, n. 165, nell'ambito delle risorse disponibili a legislazione vigente. Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell'amministrazione con l'Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione. A tal fine, il nominativo del referente per la cybersicurezza è comunicato all'Agenzia per la cybersicurezza nazionale. |
|
3. La struttura e il referente di cui ai commi 1 e 2 possono essere individuati, rispettivamente, nell'ufficio e nel responsabile per la transizione al digitale previsti dall'articolo 17 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82. | |
|
4. I compiti di cui ai commi 1 e 2 possono essere esercitati in forma associata secondo quanto previsto dall'articolo 17, commi 1-sexies e 1-septies, del codice di cui al decreto legislativo 7 marzo 2005, n. 82. | |
|
5. L'Agenzia per la cybersicurezza nazionale può individuare modalità e processi di coordinamento e di collaborazione tra le amministrazioni di cui all'articolo 1, comma 1, e tra i referenti per la cybersicurezza di cui al comma 2 del presente articolo, al fine di facilitare la resilienza delle amministrazioni pubbliche. | |
|
3. Le disposizioni di cui al presente articolo non si applicano: |
6. Identico. |
|
a) ai soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ai quali continuano ad applicarsi gli obblighi previsti dalle disposizioni di cui alla richiamata disciplina; | |
|
b) agli organi dello Stato preposti alla prevenzione, all'accertamento e alla repressione dei reati, alla tutela dell'ordine e della sicurezza pubblica e alla difesa e sicurezza militare dello Stato e agli organismi di informazione per la sicurezza di cui agli articoli 4, 6 e 7 della legge 3 agosto 2007, n. 124. | |
|
7. Al fine di garantire adeguata tutela e protezione dai rischi di accesso abusivo ai dati contenuti in sistemi informatici delle pubbliche amministrazioni, per l'accesso alle banche di dati pubbliche da parte di addetti tecnici e di soggetti incaricati del trattamento dei dati in esse contenuti è richiesto l'utilizzo di specifici sistemi di autenticazione informatica, consistenti nell'uso combinato di almeno due differenti tecnologie di autenticazione, una delle quali sia basata sull'elaborazione di caratteristiche biometriche. | |
|
8. Ai fini del comma 7, si intendono per «addetti tecnici» gli operatori tecnici aventi funzioni di amministratori di sistema, di rete o di archivio di dati. | |
|
9. Limitatamente ai casi di interventi indifferibili relativi a malfunzionamenti, guasti, installazione di hardware e software, aggiornamento e riconfigurazione dei sistemi, che determinino la necessità di accesso ai sistemi informatici di cui al comma 7, l'accesso alle banche di dati pubbliche da parte dei soggetti di cui al comma 8 è consentito anche senza l'utilizzo di almeno due differenti tecnologie di autenticazione, di cui una basata sull'elaborazione di caratteristiche biometriche, in deroga alle disposizioni del comma 7, per le operazioni che richiedono la presenza fisica dell'addetto che procede all'intervento in prossimità del sistema di elaborazione. | |
|
10. Fatti salvi gli obblighi in materia di credenziali di cui al decreto legislativo 18 maggio 2018, n. 51, gli accessi di cui al comma 9 sono annotati in un apposito registro unitamente alle motivazioni che li hanno determinati e alla descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di apparecchiature elettroniche. Il registro degli accessi di cui al primo periodo è detenuto dal soggetto o dall'ente titolare della banca di dati, che lo aggiorna periodicamente, lo custodisce presso le sedi di elaborazione e lo mette a disposizione delle autorità, su richiesta, nel caso di ispezioni o controlli, unitamente all'elenco nominativo dei soggetti abilitati all'accesso ai sistemi di elaborazione titolari delle funzioni di cui al comma 8. | |
|
11. Le pubbliche amministrazioni adottano le misure di cui ai commi 7 e 10 entro dodici mesi dalla data di entrata in vigore della presente legge. All'attuazione delle disposizioni del presente articolo si provvede con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente. | |
|
Art. 9.
| |
|
1. Le strutture di cui all'articolo 8 nonché quelle che svolgono analoghe funzioni per i soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e al decreto legislativo 18 maggio 2018, n. 65, verificano che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e che non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati. | |
|
Art. 7.
|
Art. 10.
|
|
1. All'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo la lettera m-ter) è inserita la seguente: |
1. All'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, la lettera m-bis) è sostituita dalla seguente: |
|
«m-quater) promuove e sviluppa ogni iniziativa, anche di partenariato tra soggetti pubblici e privati, volta a valorizzare l'intelligenza artificiale come risorsa per il rafforzamento della cybersicurezza nazionale, anche al fine di favorire un uso etico e corretto dei sistemi basati su tale tecnologia». |
«m-bis) provvede, anche attraverso un'apposita sezione nell'ambito della strategia di cui alla lettera b), allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonché all'organizzazione e alla gestione di attività di divulgazione finalizzate a promuovere l'utilizzo della crittografia come strumento di cybersicurezza. L'Agenzia, anche per il rafforzamento dell'autonomia industriale e tecnologica dell'Italia, promuove altresì la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacità crittografiche nazionali nonché la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, è istituito presso l'Agenzia il Centro nazionale di crittografia, il cui funzionamento è disciplinato con provvedimento del direttore generale dell'Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato, ferme restando le competenze dell'Ufficio centrale per la segretezza, di cui all'articolo 9 della legge 3 agosto 2007, n. 124, con riferimento alle informazioni e alle attività previste dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della citata legge n. 124 del 2007, nonché le competenze degli organismi di cui agli articoli 4, 6 e 7 della medesima legge». |
|
Art. 8.
|
Art. 11.
|
|
1. All'articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4-ter è inserito il seguente: |
1. Identico: |
|
«4-quater. La disciplina del procedimento sanzionatorio amministrativo dell'Agenzia è definita con regolamento che stabilisce, in particolare, termini e modalità per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Il regolamento di cui al primo periodo è adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza. Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del capo I della legge 24 novembre 1981, n. 689». |
«4-quater. La disciplina del procedimento sanzionatorio amministrativo dell'Agenzia è definita con regolamento che stabilisce, in particolare, termini e modalità per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Il regolamento di cui al primo periodo è adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza e acquisito il parere delle competenti Commissioni parlamentari. Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del capo I della legge 24 novembre 1981, n. 689». |
|
Art. 9.
|
Art. 12.
|
|
1. All'articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8-bis è aggiunto il seguente: |
1. All'articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8-bis sono aggiunti i seguenti: |
|
«8-ter. I dipendenti appartenenti al ruolo del personale dell'Agenzia di cui al comma 2, lettera a), che abbiano partecipato, nell'interesse e a spese dell'Agenzia, a specifici percorsi formativi di specializzazione, per la durata di due anni a decorrere dalla data di completamento dell'ultimo dei predetti percorsi formativi non possono essere assunti né assumere incarichi presso soggetti privati al fine di svolgere mansioni in materia di cybersicurezza. I contratti stipulati in violazione di quanto disposto dal presente comma sono nulli. Le disposizioni del presente comma non si applicano al personale cessato dal servizio presso l'Agenzia secondo quanto previsto dalle disposizioni del regolamento adottato ai sensi del presente articolo relative al collocamento a riposo d'ufficio, al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, alla cessazione a domanda per inabilità o alla dispensa dal servizio per motivi di salute. I percorsi formativi di specializzazione di cui al presente comma sono individuati con determinazione del direttore generale dell'Agenzia, tenendo conto della particolare qualità dell'offerta formativa, dei costi, della durata e del livello di specializzazione che consegue alla frequenza dei suddetti percorsi». |
«8-ter. Identico. |
|
8-quater. Il personale di cui ai commi 8 e 8.1 dell'articolo 17, entrato nel ruolo di cui al comma 2, lettera a), del presente articolo, proveniente dalle Forze armate o dalle Forze di polizia ad ordinamento militare o civile di cui all'articolo 16 della legge 1° aprile 1981, n. 121, può rientrare, per motivate esigenze operative, nel ruolo dell'amministrazione di originaria provenienza, su richiesta della stessa, con l'assenso dell'interessato e del direttore generale dell'Agenzia. All'attuazione delle disposizioni del primo periodo, in relazione alla progressione di carriera, all'avanzamento e allo stato giuridico del personale proveniente dalle citate amministrazioni, si provvede con regolamento da adottare con decreto del Presidente del Consiglio dei ministri, di concerto con il Ministro dell'economia e delle finanze, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza, previo parere delle Commissioni parlamentari competenti per materia e per i profili finanziari e, per i profili di competenza, del Comitato parlamentare per la sicurezza della Repubblica, entro centoventi giorni dalla data di entrata in vigore della presente disposizione. Le disposizioni di cui al presente comma si applicano, nel rispetto del quadro ordinamentale di riferimento, nei limiti delle facoltà assunzionali delle amministrazioni interessate, senza nuovi o maggiori oneri per il bilancio dello Stato e senza determinare posizioni sovrannumerarie e riconoscimento di differenziali economici». | |
|
Art. 10.
|
Art. 13.
|
|
1. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centoventi giorni dalla data di entrata in vigore della presente legge, su proposta dell'Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la cybersicurezza, di cui all'articolo 4 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla 4 agosto 2021, n. 109, sono individuati gli elementi essenziali di cybersicurezza che i soggetti di cui all'articolo 2, comma 2, del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici. Ai fini del presente articolo, per «elementi essenziali di cybersicurezza» si intende l'insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l'integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo. |
1. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centoventi giorni dalla data di entrata in vigore della presente legge, su proposta dell'Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la sicurezza della Repubblica, di cui all'articolo 5 della legge 3 agosto 2007, n. 124, nella composizione di cui all'articolo 10, comma 1, del decreto- legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all'articolo 2, comma 2, del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici nonché i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti all'Alleanza atlantica (NATO). Ai fini del presente articolo, per «elementi essenziali di cybersicurezza» si intende l'insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l'integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo. |
|
2. Nei casi individuati ai sensi del comma 1, le stazioni appaltanti, comprese le centrali di committenza: |
2. Identico: |
|
a) possono esercitare la facoltà di cui agli articoli 107, comma 2, e 108, comma 10, del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, se accertano che l'offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati con il decreto di cui al comma 1; |
a) identica; |
|
b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza di cui al comma 1 nella valutazione dell'elemento qualitativo, ai fini dell'individuazione del miglior rapporto qualità/prezzo per l'aggiudicazione; |
b) identica; |
|
c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell'articolo 108, comma 3, del codice di cui al decreto legislativo n. 36 del 2023, inseriscono gli elementi di cybersicurezza di cui al comma 1 tra i requisiti minimi dell'offerta; |
c) identica; |
|
d) nel caso in cui sia utilizzato il criterio dell'offerta economicamente più vantaggiosa, ai sensi dell'articolo 108, comma 4, del codice di cui al decreto legislativo n. 36 del 2023, nella valutazione dell'elemento qualitativo ai fini dell'individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10 per cento. |
d) identica; |
|
e) prevedono criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO, al fine di tutelare la sicurezza nazionale e di conseguire l'autonomia tecnologica e strategica nell'ambito della cybersicurezza. | |
|
3. Le disposizioni di cui al comma 1 si applicano anche ai soggetti privati non compresi fra quelli di cui all'articolo 2, comma 2, del codice di cui al decreto legislativo 7 marzo 2005, n. 82, e inclusi nell'elencazione di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133. |
3. Identico. |
|
4. Resta fermo quanto previsto dall'articolo 1 del citato decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di prodotti, processi, servizi per tecnologie dell'informazione e delle telecomunicazioni e associate infrastrutture destinati alle reti, ai sistemi informativi e all'espletamento dei servizi informatici di cui al comma 2, lettera b), del medesimo articolo 1. |
4. Resta fermo quanto stabilito dall'articolo 1 del citato decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi nonché per l'espletamento dei servizi informatici di cui alla lettera b) del comma 2 del medesimo articolo 1. |
|
Art. 14.
| |
|
1. All'articolo 16, comma 2, della legge 21 febbraio 2024, n. 15, dopo la lettera c) è inserita la seguente: | |
|
«c-bis) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell'albo previsto dall'articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonché alla società Poste italiane Spa per l'attività del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilità del settore finanziario nel suo complesso, in particolare: | |
|
1) definendo presìdi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554; | |
|
2) tenendo conto, nella definizione dei presìdi di cui al numero 1), del principio di proporzionalità e delle attività svolte dagli intermediari finanziari e dal Patrimonio Bancoposta; | |
|
3) attribuendo alla Banca d'Italia l'esercizio nei confronti dei soggetti di cui alla presente lettera dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b)». | |
|
Capo II
|
Capo II
|
|
Art. 11.
|
Art. 15.
|
|
1. Al codice penale sono apportate le seguenti modificazioni: |
1. Identico: |
|
a) all'articolo 240, secondo comma, numero 1-bis, dopo la parola: «635-quinquies,» sono inserite le seguenti: «640, secondo comma, numero 2-ter),»; | |
|
a) all'articolo 615-ter: |
b) identico: |
|
1) al secondo comma: |
1) identico: |
|
1.1) all'alinea, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a dieci anni»; |
1.1) identico; |
|
1.2) al numero 2), dopo la parola: «usa» sono inserite le seguenti: «minaccia o»; |
1.2) identico; |
|
1.3) al numero 3), dopo le parole: «ovvero la distruzione o il danneggiamento» sono inserite le seguenti: «ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al titolare»; |
1.3) identico; |
|
2) al terzo comma: 2.1) le parole: «da uno a cinque anni e da tre a otto anni» sono sostituite dalle seguenti: «da tre a dieci anni e da quattro a dodici anni»; |
2) al terzo comma, le parole: «da uno a cinque anni e da tre a otto anni» sono sostituite dalle seguenti: «da tre a dieci anni e da quattro a dodici anni»; |
|
2.2) è aggiunto, in fine, il seguente periodo: «Nei soli casi in cui concorrono anche le circostanze previste dal numero 3) del secondo comma, le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alle predette circostanze aggravanti»; |
soppresso |
|
b) all'articolo 615-quater: |
c) identico: |
|
1) al primo comma, la parola: «profitto» è sostituita dalla seguente: «vantaggio»; |
1) identico; |
|
2) il secondo comma è sostituito dal seguente: |
2) identico; |
|
«La pena è della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1)»; | |
|
3) dopo il secondo comma è aggiunto il seguente: |
3) identico: |
|
«La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma, primo periodo»; |
«La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma»; |
|
c) l'articolo 615-quinquies è abrogato; |
d) identica; |
|
d) all'articolo 617-bis: |
e) identica; |
|
1) dopo il primo comma è inserito il seguente: | |
|
«La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1)»; | |
|
2) al secondo comma, le parole: «ovvero da un pubblico ufficiale» fino alla fine del comma sono soppresse; | |
|
e) all'articolo 617-quater: 1) al quarto comma: |
f) all'articolo 617-quater, quarto comma: |
|
1.1) all'alinea, le parole: «da tre a otto anni» sono sostituite dalle seguenti: «da quattro a dieci anni»; |
1) identico; |
|
1.2) il numero 1) è sostituito dal seguente: |
2) identico: |
|
«1) in danno di taluno dei sistemi informatici o telematici indicati nell'articolo 615-ter, terzo comma, primo periodo»; |
«1) in danno di taluno dei sistemi informatici o telematici indicati nell'articolo 615-ter, terzo comma»; |
|
1.3) al numero 2), le parole: «da un pubblico ufficiale» sono sostituite dalle seguenti: «in danno di un pubblico ufficiale nell'esercizio o a causa delle sue funzioni o da un pubblico ufficiale» e la parola: «ovvero» è sostituita dalle seguenti: «o da chi esercita, anche abusivamente, la professione di investigatore privato, o»; |
3) identico; |
|
1.4) il numero 3) è abrogato; |
4) identico; |
|
2) dopo il quarto comma è aggiunto il seguente: |
soppresso |
|
«Le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater, concorrenti con l'aggravante di cui al quarto comma, numero 1), non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alla predetta aggravante»; | |
|
f) all'articolo 617-quinquies: |
g) identico: |
|
1) il secondo comma è sostituito dal seguente: |
1) identico; |
|
«Quando ricorre taluna delle circostanze di cui all'articolo 617-quater, quarto comma, numero 2), la pena è della reclusione da due a sei anni»; | |
|
2) dopo il secondo comma sono aggiunti i seguenti: |
2) dopo il secondo comma è aggiunto il seguente: |
|
«Quando ricorre taluna delle circostanze di cui all'articolo 617-quater, quarto comma, numero 1), la pena è della reclusione da tre a otto anni. |
«Identico»; |
|
Le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater, concorrenti con l'aggravante di cui all'articolo 617-quater, quarto comma, numero 1), non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alla predetta aggravante»; |
Soppresso |
|
g) all'articolo 617-sexies: 1) al secondo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da tre a otto anni»; |
h) all'articolo 617-sexies, secondo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da tre a otto anni»; |
|
2) dopo il secondo comma è inserito il seguente: |
soppresso |
|
«Le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 623-quater, concorrenti con l'aggravante di cui all'articolo 617-quater, quarto comma, numero 1), non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alla predetta circostanza aggravante»; | |
|
h) nella rubrica del capo III-bis del titolo XII del libro secondo, le parole: «sulla procedibilità» sono soppresse; |
i) identica; |
|
i) dopo l'articolo 623-ter è inserito il seguente: |
l) identica; |
|
«Art. 623-quater. – (Circostanze attenuanti) – Le pene comminate per i delitti di cui agli articoli 615-ter, 615-quater, 617-quater, 617-quinquies e 617-sexies sono diminuite quando, per la natura, la specie, i mezzi, le modalità o circostanze dell'azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità. | |
|
Le pene previste per i delitti di cui al primo comma sono diminuite dalla metà a due terzi per chi si adopera per evitare che l'attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l'autorità di polizia o l'autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi. | |
|
Non si applica il divieto di cui all'articolo 69, quarto comma»; | |
|
l) all'articolo 629, dopo il secondo comma è aggiunto il seguente: |
m) identica; |
|
«Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nell'ultimo capoverso dell'articolo precedente»; | |
|
m) all'articolo 635-bis: |
n) identica; |
|
1) al primo comma, le parole: «da sei mesi a tre anni» sono sostituite dalle seguenti: «da due a sei anni»; | |
|
2) il secondo comma è sostituito dal seguente: | |
|
«La pena è della reclusione da tre a otto anni: | |
|
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; | |
|
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato»; | |
|
n) all'articolo 635-ter: |
o) identico: |
|
1) al primo comma, le parole: «utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni» sono sostituite dalle seguenti: «di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, è punito con la reclusione da due a sei anni»; |
1) identico; |
|
2) il secondo e il terzo comma sono sostituiti dai seguenti: |
2) identico: |
|
«La pena è della reclusione da tre a otto anni: |
«Identico: |
|
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; |
1) identico; |
|
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato; |
2) identico; |
|
3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al legittimo titolare dei dati o dei programmi informatici. |
3) identico. |
|
La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3); in tal caso, le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 639-ter non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alle predette circostanze aggravanti»; |
La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)»; |
|
3) nella rubrica, le parole: «utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità» sono sostituite dalle seguenti: «pubblici o di interesse pubblico»; |
3) identico; |
|
o) all'articolo 635-quater: |
p) identica; |
|
1) al primo comma, le parole: «da uno a cinque anni» sono sostituite dalle seguenti: «da due a sei anni»; | |
|
2) il secondo comma è sostituito dal seguente: | |
|
«La pena è della reclusione da tre a otto anni: | |
|
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; | |
|
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato»; | |
|
p) dopo l'articolo 635-quater è inserito il seguente: |
q) identico: |
|
«Art. 635-quater.1. – (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) – Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico ovvero le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici è punito con la reclusione fino a due anni e con la multa fino a euro 10.329. |
«Art. 635-quater.1. – (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) – Identico. |
|
La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1). |
Identico. |
|
La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma, primo periodo»; |
La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma»; |
|
q) l'articolo 635-quinquies è sostituito dal seguente: |
r) identico: |
|
«Art. 635-quinquies. – (Danneggiamento di sistemi informatici o telematici di pubblico interesse) – Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, compie atti diretti a distruggere, danneggiare o rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento è punito con la pena della reclusione da due a sei anni. |
«Art. 635-quinquies. – (Danneggiamento di sistemi informatici o telematici di pubblico interesse) – Identico. |
|
La pena è della reclusione da tre a otto anni: |
Identico: |
|
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; |
1) identico; |
|
2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato; |
2) identico; |
|
3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici. |
3) identico. |
|
La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3); in tal caso, le circostanze attenuanti diverse da quelle di cui agli articoli 89, 98 e 639-ter non possono essere ritenute equivalenti o prevalenti e le diminuzioni di pena si operano sulla quantità della stessa risultante dall'aumento conseguente alle predette circostanze aggravanti»; |
La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3)»; |
|
r) dopo l'articolo 639-bis è inserito il seguente: |
s) identica; |
|
«Art. 639-ter. – (Circostanze attenuanti) – Le pene comminate per i delitti di cui agli articoli 629, terzo comma, 635-ter, 635-quater.1 e 635-quinquies sono diminuite quando per la natura, la specie, i mezzi, le modalità o circostanze dell'azione, ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità. | |
|
Le pene comminate per i delitti di cui al primo comma sono diminuite dalla metà a due terzi per chi si adopera per evitare che l'attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l'autorità di polizia o l'autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi. | |
|
Non si applica il divieto di cui all'articolo 69, quarto comma». | |
|
t) all'articolo 640: | |
|
1) al secondo comma è aggiunto, in fine, il seguente numero: | |
|
«2-ter) se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione»; | |
|
2) al terzo comma, le parole: «capoverso precedente» sono sostituite dalle seguenti: «secondo comma, a eccezione di quella di cui al numero 2-ter)»; | |
|
u) all'articolo 640-quater, le parole: «numero 1» sono sostituite dalle seguenti: «numeri 1 e 2-ter)». | |
|
Art. 12.
|
Art. 16.
|
|
1. Al codice di procedura penale sono apportate le seguenti modificazioni: |
Identico. |
|
a) all'articolo 51, comma 3-quinquies: | |
|
1) la parola: «615-quinquies,» è soppressa; | |
|
2) dopo la parola: «635-quater,» sono inserite le seguenti: «635-quater.1, 635-quinquies,»; | |
|
3) dopo le parole: «del codice penale,» sono inserite le seguenti: «o per il delitto di cui all'articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133,»; | |
|
b) all'articolo 406, comma 5-bis, le parole: «numeri 4 e 7-bis» sono sostituite dalle seguenti: «numeri 4), 7-bis) e 7-ter)»; | |
|
c) all'articolo 407, comma 2, lettera a), dopo il numero 7-bis) è aggiunto il seguente: | |
|
«7-ter) delitti previsti dagli articoli 615-ter, 615-quater, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635-quater.1 e 635-quinquies del codice penale, quando il fatto è commesso in danno di sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico». | |
|
Art. 13.
|
Art. 17.
|
|
1. Al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, sono apportate le seguenti modificazioni: |
Identico. |
|
a) all'articolo 9, comma 2, dopo le parole: «51, comma 3-bis,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,»; | |
|
b) all'articolo 11, comma 2, dopo le parole: «51, commi 3-bis e 3-quater,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,»; | |
|
c) all'articolo 16-nonies, comma 1, dopo le parole: «51, comma 3-bis,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,». | |
|
Art. 14.
|
Art. 18.
|
|
1. All'articolo 13 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, dopo il comma 3 è aggiunto il seguente: |
Identico. |
|
«3-bis. Le disposizioni dei commi 1, 2 e 3 si applicano anche quando si procede in relazione a taluno dei delitti, consumati o tentati, previsti dall'articolo 371-bis, comma 4-bis, del codice di procedura penale». | |
|
Art. 15.
|
Art. 19.
|
|
1. All'articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231, sono apportate le seguenti modificazioni: |
Identico. |
|
a) al comma 1, le parole: «da cento a cinquecento quote» sono sostituite dalle seguenti: «da duecento a settecento quote»; | |
|
b) dopo il comma 1 è inserito il seguente: | |
|
«1-bis. In relazione alla commissione del delitto di cui all'articolo 629, terzo comma, del codice penale, si applica all'ente la sanzione pecuniaria da trecento a ottocento quote»; | |
|
c) al comma 2, la parola: «615-quinquies» è sostituita dalla seguente: «635-quater.1» e le parole: «sino a trecento quote» sono sostituite dalle seguenti: «sino a quattrocento quote»; | |
|
d) al comma 4, dopo il primo periodo è inserito il seguente: «Nei casi di condanna per il delitto indicato nel comma 1-bis si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, per una durata non inferiore a due anni». | |
|
Art. 16.
|
Art. 20.
|
|
1. All'articolo 11, comma 2, della legge 11 gennaio 2018, n. 6, dopo le parole: «51, commi 3-bis, 3-ter e 3-quater,» sono inserite le seguenti: «o all'articolo 371-bis, comma 4-bis,». |
Identico. |
|
Art. 17.
|
Art. 21.
|
|
1. All'articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le seguenti modificazioni: |
Identico. |
|
a) il comma 4 è sostituito dal seguente: | |
|
«4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione immediata delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, costituisce adempimento dell'obbligo di cui all'articolo 331 del codice di procedura penale»; | |
|
b) dopo il comma 4-bis sono inseriti i seguenti: | |
|
«4-bis.1. Nei casi in cui l'Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale e in ogni caso quando risulti interessato taluno dei soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, di cui all'articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65, ovvero di cui all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, fermo restando quanto previsto dal comma 4 del presente articolo, procede alle attività di cui all'articolo 7, comma 1, lettere n) e n-bis), e ne informa senza ritardo il procuratore nazionale antimafia e antiterrorismo, ai sensi del comma 4-bis; | |
|
4-bis.2. Fuori dei casi di cui al comma 4-bis.1, quando acquisisce la notizia dei delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, il pubblico ministero ne dà tempestiva informazione all'Agenzia e assicura, altresì, il raccordo informativo con l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione ai fini di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155. | |
|
4-bis.3. In ogni caso, il pubblico ministero impartisce le disposizioni necessarie ad assicurare che gli accertamenti urgenti siano compiuti tenendo conto delle attività svolte dall'Agenzia, a fini di resilienza, di cui all'articolo 7, comma 1, lettere n) e n-bis), e può disporre il differimento di una o più delle predette attività, con provvedimento motivato adottato senza ritardo, per evitare un grave pregiudizio per il corso delle indagini. | |
|
4-bis.4. Il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione ai delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, informa senza ritardo l'Agenzia, che mediante propri rappresentanti può assistere al conferimento dell'incarico e partecipare agli accertamenti. Le disposizioni del primo periodo si applicano anche quando agli accertamenti si procede nelle forme dell'incidente probatorio». | |
|
Art. 22.
| |
|
1. All'articolo 7 della legge 12 agosto 1962, n. 1311, sono apportate le seguenti modificazioni: | |
|
a) al primo comma è aggiunto, in fine, il seguente periodo: «Nelle ispezioni è verificato altresì il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari»; | |
|
b) al terzo comma, le parole: «degli stessi nonché» sono sostituite dalle seguenti: «degli stessi,» e sono aggiunte, in fine, le seguenti parole: «nonché il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari». | |
|
Art. 18.
|
Art. 23.
|
|
1. Dall'attuazione della presente legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche competenti provvedono all'adempimento dei compiti derivanti dalla presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente. |
Identico. |
|
2. I proventi delle sanzioni di cui all'articolo 1, comma 5, confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. |