Sicurezza nazionale cibernetica

Il Decreto legge 21 settembre 2019 n. 105 e i riflessi sulla responsabilità da reato degli enti ex D. Lgs. 8 giugno 2001, n. 231

| 26/09/2019 14:48

Con il Decreto legge 21 settembre 2019, n. 105, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di interesse collettivo, il legislatore ha previsto l'istituzione del c.d. perimetro di sicurezza nazionale cibernetica.

In particolare, la nuova disciplina si applica alle amministrazioni pubbliche, agli enti e agli operatori nazionali da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione - anche parziali - ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.
La puntuale individuazione dei soggetti tenuti al rispetto delle nuove norme è stata, peraltro, rimessa all'emanazione di un Decreto del Presidente del Consiglio dei Ministri che dovrà intervenire entro quattro mesi dalla conversione in legge del Decreto.

I soggetti che verranno così ricompresi nel perimetro di sicurezza nazionale cibernetica, saranno tenuti al rispetto di una serie articolata di obblighi informativi e procedimentali, oltre ad essere sottoposti all'attività di ispezione e vigilanza della Presidenza del Consiglio dei Ministri, in caso di enti pubblici e pubblici economici, ovvero del Ministero dello Sviluppo Economico, laddove si tratti di soggetti di natura privatistica.

In particolare, l'art. 1, comma 2, lett. b), prevede l'obbligo di predisporre e aggiornare, con cadenza almeno annuale, un elenco delle reti, dei sistemi informativi e dei servizi informatici di propria pertinenza dal cui malfunzionamento o interruzione - anche parziali - ovvero utilizzo improprio, possa derivare un pregiudizio per gli interessi dello Stato. Tali elenchi dovranno quindi essere trasmessi alla Presidenza del Consiglio dei Ministri ovvero al Ministero dello Sviluppo Economico secondo le rispettive competenze.

Inoltre, al comma 6, lett. a), dello stesso articolo, il legislatore prevede che i soggetti rientranti nel perimetro di sicurezza nazionale cibernetica, nel caso in cui intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi, nonché per l'espletamento di servizi informatici di interesse collettivo, debbano darne comunicazione al Centro di valutazione e certificazione nazionale (CVCN), istituito presso il Ministero dello Sviluppo Economico. Tale organo avrà quindi il compito di valutare l'operazione al fine di individuare e prevenire eventuali rischi per la sicurezza nazionale cibernetica e potrà, entro trenta giorni dalla comunicazione, imporre particolari condizioni e/o prescrizioni, compresi specifici test di hardware e software.

Il rispetto di queste prescrizioni e il buon andamento delle attività di ispezione e vigilanza della Presidenza del Consiglio dei Ministri e del Ministero dello Sviluppo Economico, sono presidiate da un incisivo sistema sanzionatorio di carattere amministrativo, nonché da un nuovo delitto previsto e punito dal comma 11, dell'art. 1, del Decreto legge.

La nuova fattispecie incriminatrice prevede due condotte alternative, una di tipo commissivo ed una di tipo omissivo, entrambe sorrette da un dolo specifico consistente nel fine di ostacolare o condizionare i procedimenti sopra descritti, ovvero le attività di ispezione e vigilanza citate.

Quanto alla prima condotta, è punito chiunque fornisca informazioni, dati o elementi di fatto non rispondenti al vero rilevanti:
1. per la predisposizione o l'aggiornamento degli elenchi di cui all'art. 1, comma 2, lett. b), del Decreto legge;
2. per la predisposizione o l'aggiornamento dei comunicati di cui all'art. 1, comma 6, lett. a), del Decreto legge;
3. per lo svolgimento delle attività di ispezione e vigilanza della Presidenza del Consiglio dei Ministri e del Ministero dello Sviluppo Economico.

La condotta omissiva punisce, invece, chiunque ometta di comunicare tali informazioni, dati o elementi di fatto, entro il termine prescritto dal Decreto legge.

Con inedita tecnica legislativa, inoltre, il legislatore ha ritenuto di estendere, direttamente dal corpo di questa nuova fattispecie, la rilevanza del reato ai fini della responsabilità amministrativa degli enti ex D. Lgs. 231/2001. Il comma 11, dell'art. 1, del D.l. n. 105/2019, prevede infatti che «[…] all'ente responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, si applica la sanzione pecuniaria fino a 400 quote».

Per valutare l'effettiva portata di questa nuova estensione della responsabilità da reato degli enti, bisognerà attendere la puntuale individuazione, con decreto del Presidente del Consiglio dei Ministri, dei soggetti - pubblici e privati - obbligati al rispetto delle suesposte prescrizioni. I criteri già indicati dal legislatore e con cui il futuro decreto attuativo dovrà evidentemente confrontarsi, sembrano peraltro particolarmente inclusivi.

Potrebbero, infatti, rientrare nel perimetro di sicurezza nazionale cibernetica tutte le società impegnate, a vario titolo, nell'erogazione di prestazioni essenziali e/o strategiche per lo Stato, quali l'energia e i trasporti, ma anche la progettazione e l'esecuzione di infrastrutture. Si pensi, per esempio, alle reti di supporto per la nuova tecnologia 5G, ma anche alle nuove linee metropolitane, ai tratti ferroviari o ai gasdotti, sempre più dipendenti nel loro corretto funzionamento dai sistemi e dai servizi ICT.

Vetrina