Roma, 3/3/2025. La Relazione annuale al Parlamento svolta dall’Agenzia per la Cybersicurezza Nazionale (ACN) ha rilevato che, solo nel 2023, sono stati trattati oltre millequattrocento eventi cyber, con un aumento rispetto all’anno 2022 – a parità di segnalazioni ricevute – di circa il 30%. Numero peraltro sottostimato, in considerazione dell’enorme dato di incidenti non denunciati, per i motivi più diversi, tra i quali spiccano la tutela della reputazione aziendale ed il timore di attribuzioni di responsabilità. Quanto ai settori di attività dei soggetti target, in cima a questo triste podio compaiono il settore delle telecomunicazioni e della Pubblica Amministrazione, con una distribuzione geografica che interessa quasi esclusivamente l’Italia centrale, Roma in particolare. Uno scenario nazionale che riflette anche la precaria situazione geopolitica internazionale, fortemente scossa dal perdurare degli eventi bellici tra Russia ed Ucraina ed in Medio Oriente. Scenari di guerra che vedono un massiccio utilizzo della tecnologia cyber (c.d. cyber attivismo), in cui gruppi dediti a sostenere la causa di una delle parti in conflitto, mettono in campo cyber malevoli, con impatti visibili, che colpiscono principalmente siti web, imprese, pubbliche amministrazioni, poi successivamente rivendicati. Nel contesto di questa crescente emergenza, l’Unione Europea ha adottato nuove misure normative, tra cui la Direttiva NIS2. «Il rafforzamento delle normative in ambito cybersicurezza – sottolinea l’avvocato Patrizia Giusti dello studio legale Giusti & Laurenzano – è un passo fondamentale per proteggere le infrastrutture critiche e per garantire la resilienza dei servizi essenziali. Tuttavia, è fondamentale che le aziende adottino politiche di sicurezza informatica adeguate, per non esporsi a rischi significativi. La NIS2, che ha sostituito la precedente Direttiva NIS facendo tesoro dell’esperienza maturata nella sua applicazione, amplia il perimetro della cybersicurezza, estendendo le misure di protezione alle medie e grandi imprese e ad alcune specifiche categorie di soggetti tra cui la Pubblica Amministrazione centrale (lasciando discrezionalità agli Stati membri circa quella locale)».

La direttiva NIS2 introduce, in particolare, un approccio “all-hazards” alla cybersicurezza, che include anche la protezione fisica delle infrastrutture ICT. La direttiva impone ai Paesi membri di rafforzare la cooperazione e di istituzionalizzare quadri nazionali per la gestione delle crisi informatiche. «Il 19 giugno 2024 – spiega Giusti – il Senato ha approvato il disegno di legge n. 1717, recepito con la Legge 28 giugno 2024, n. 90, recante Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici (c.d. legge sulla cybersicurezza), entrata in vigore lo scorso 17 luglio. La legge ha introdotto misure rigorose, tra cui l’obbligo di notifica degli incidenti cyber all’ACN per pubbliche amministrazioni centrali, specifici enti e aziende. Il mancato rispetto di tale obbligo potrà comportare l’applicazione di sanzioni che variano da 25.000 a 125.000 euro e, il dipendente delle pubbliche amministrazioni che risulti abbia violato tale disposizione, potrà subire un procedimento per la responsabilità disciplinare e amministrativo-contabile. Un altro importante sviluppo riguarda l’evoluzione dei reati informatici. La Legge 23 dicembre 1993 n. 547 aveva già introdotto modifiche al codice penale per affrontare la criminalità informatica, ma l’entrata in vigore della Legge n. 90 del 2024 ha ulteriormente inasprito le sanzioni per i reati legati al cyberspazio. Le modifiche introdotte dalla legge di cybersicurezza sono fondamentali, ma richiedono una forte consapevolezza e preparazione da parte delle aziende per evitare di incorrere in responsabilità. È cruciale che le imprese, soprattutto quelle che trattano dati sensibili, implementino misure preventive efficaci».

Il reato informatico, come definito dalla Convenzione di Budapest del 2001 (alla quale aderiscono anche Stati Uniti e Giappone), ha radici profonde nella legislazione europea. Questo tipo di crimine si distingue per la sua natura a-territoriale e anonima, che rende difficile l’individuazione del colpevole e la protezione delle vittime. L’Italia ha ratificato la Convenzione con la Legge n. 48/2008, e questa ha avuto un impatto significativo nell’armonizzare le normative nazionali e promuovere la cooperazione internazionale nella lotta contro il crimine informatico. L’introduzione della Direttiva NIS2 e la recente Legge sulla Cybersicurezza hanno rappresentato una risposta forte e coordinata a questa minaccia, cercando di dare una struttura di sicurezza più solida a livello nazionale e internazionale. L’avvocato Giusti sottolinea che: «Tutte le discipline, nazionali ed europee, hanno un evidente tratto comune, rappresentato dalla necessità di costruire ed introdurre modelli organizzativi e di sistema che siano in grado di offrire un adeguato livello di prevenzione (anche) del cybercrime. Un modello che, scorrendo le varie discipline, non viene mai delineato nel contenuto e nei tratti tecnici essenziali, ma per il quale il legislatore si limita a stabilire solo l’obbligatorietà della sua adozione e la finalità che con esso va perseguita. Da qui la domanda, più che lecita, di come dover intervenire concretamente per dare corso agli obblighi previsti dal DDL cybersicurezza e, soprattutto, quali misure adottare per evitare la commissione di un cybercrime. E ciò considerando anche che le tematiche legate alla cybersecurity non affrontano mai questioni isolate, ma situazioni che richiedono un approccio integrato, provenienti da aree eterogenee del diritto. Punto di partenza dell’indagine è necessariamente l’unica realtà che, nel nostro ordinamento, conosce e disciplina il sistema dei modelli di organizzazione, ovvero la materia della responsabilità di enti, imprese e società, con un particolare focus alle modifiche che la disciplina stessa ha subìto con l’adozione del DDL cybersicurezza».