Il governo vuole aggravare le pene per i criminali informatici

Il Consiglio dei ministri ha approvato un disegno di legge per aumentare le misure di sicurezza contro i crimini informatici. Essendo un disegno di legge e non un decreto, per entrare in vigore dovrà essere prima discusso e poi approvato dal parlamento, dove comunque il governo è sostenuto da una solida maggioranza. Se venisse approvato così com’è, verranno aumentate le pene previste dal codice penale, verrà esteso l’obbligo di segnalazione degli attacchi alla pubblica amministrazione e saranno introdotti benefici per chi dà informazioni utili a scoprire i responsabili degli attacchi informatici. Di fatto, i gruppi criminali che attaccano e ricattano enti pubblici e aziende saranno equiparati alla criminalità organizzata.

Negli ultimi anni gli attacchi informatici sono aumentati in Italia e in molti paesi del mondo. Vengono colpite soprattutto grandi aziende, ospedali, università ed enti locali. Il metodo più utilizzato dai criminali è l’attacco ransomware. Un ransomware è un programma che una volta installato in un sistema informatico lo rende inaccessibile: viene utilizzato un sistema crittografico per impedire al proprietario del sistema di accedere ai dati, e se l’azienda o la persona che subisce l’attacco informatico vuole riaverli indietro deve pagare un riscatto.

Secondo i dati diffusi dal Clusit, la più autorevole associazione italiana che si occupa di sicurezza informatica, nel primo semestre del 2023 in Italia ci sono stati 132 attacchi informatici, in crescita del 40 per cento rispetto allo stesso periodo del 2022. In particolare c’è stato un aumento degli attacchi contro il settore sanitario, uno dei più vulnerabili: gli ospedali e le aziende sanitarie infatti gestiscono dati preziosi e sono un bersaglio ideale, perché sono più ricattabili rispetto alle aziende comuni. La produzione industriale si può fermare temporaneamente, la cura delle persone no.

Una delle principali novità del nuovo disegno di legge riguarda le pene previste dal codice di procedura penale. L’articolo 615-ter, cioè l’accesso abusivo a un sistema informatico o telematico, prevedeva pene fino a tre anni con un massimo di cinque, con alcune aggravanti come la distruzione dei dati. Il nuovo disegno di legge aumenta le pene fino a dieci anni con la possibilità di aggiungere ulteriori due anni, quindi in totale dodici, nel caso di danni irreversibili o di interruzione dei servizi informatici. Potrebbero essere aumentate le pene anche di altri reati come la detenzione e diffusione abusiva di codici di accesso a sistemi informatici, l’intercettazione abusiva, il possesso di strumenti per le intercettazioni. I criminali informatici che aiutano le forze dell’ordine potrebbero avere sconti da metà a due terzi della pena se danno informazioni a chi indaga oppure evitano disservizi.

Secondo il sottosegretario alla presidenza del Consiglio, Alfredo Mantovano, le modifiche non sono solo un aumento delle pene, ma un cambio di approccio nei confronti di questi reati e in generale delle indagini per individuare i criminali informatici. «Tutti questi reati rientrano nella disciplina dei reati di criminalità organizzata e quindi permettono non soltanto l’utilizzo di strumenti più efficaci di indagine e accertamento, ma anche quel coordinamento che passa dalla Direzione distrettuale antimafia (DDA) e dalla procura nazionale antimafia, perché sono reati senza territorio», ha detto. «Sarebbe stato inutile spezzettarli in 140 procure ordinarie. Li abbiamo incentrati sulle procure distrettuali con un coordinamento centrale». Mantovano ha detto che questo intervento è stato necessario perché le leggi in vigore sono di quasi 20 anni fa.

Se il disegno di legge entrerà in vigore senza modifiche, l’obbligo di notifica degli attacchi informatici verrebbe esteso anche alla pubblica amministrazione: l’agenzia nazionale per la cybersicurezza (ACN) deve essere avvisata entro 24 ore dall’attacco. L’obbligo, già in vigore per varie categorie di aziende in varie forme, verrebbe esteso ai comuni con una popolazione superiore ai 100mila abitanti, ai comuni capoluoghi di regione, alle società di trasporto pubblico urbano con un’utenza di almeno 100mila abitanti e le aziende sanitarie locali. Tutti questi enti locali dovrebbero assumere anche un responsabile della sicurezza informatica. Inoltre sarebbero previste sanzioni da 25mila a 125mila euro per chi non rispetta gli obblighi.

– Leggi anche: Aumentare le pene non è il sistema migliore per diminuire i reati