Legislatura 19ª - Aula - Resoconto stenografico della seduta n. 200 del 19/06/2024

Respinto

Apportare le seguenti modificazioni:

a) al comma 1, secondo periodo, aggiungere, in fine, le seguenti parole: «, qualora gestiscano dati o servizi che rientrino nel perimetro di sicurezza di cui al periodo precedente»;

b) al comma 5, primo periodo, sostituire le parole: «che la reiterazione dell'inosservanza, nell'arco di cinque anni, comporterà l'applicazione delle" con le seguenti: ", notificando la comunicazione all'Agenzia per l'Italia Digitale, che, a partire dalla terza inosservanza verranno applicate le»;

c) al comma 6, primo periodo, sostituire le parole: «Nei casi di reiterata inosservanza» con le seguenti: «A partire dalla terza inosservanza»;

d) al comma 6, dopo le parole: «euro 125.000» inserire le seguenti: «qualora l'inadempienza non sia stata già oggetto di provvedimento sanzionatorio ai sensi del comma 5 dell'articolo 18-bis del decreto legislativo 7 marzo 2005, n. 82».

1.2

Respinto

Al comma 1, aggiungere, in fine, il seguente periodo: «L'Agenzia per la cybersicurezza nazionale, con proprio provvedimento, individua le società in house le quali, sulla base della loro attività e del loro ambito di servizio, sono ricomprese tra i soggetti di cui al presente comma».

1.3

Respinta la parte evidenziata in neretto; preclusa la restante parte

Dopo il comma 1, inserire il seguente:

«1-bis. Per le finalità di cui alla presente legge, per l'anno 2024, per le pubbliche amministrazioni centrali di cui al comma 1 e l'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono stanziati 50 milioni di euro per l'acquisto di strumentazione tecnologiche atte al rafforzamento della cybersicurezza».

Conseguentemente, all'articolo 23:

a) al comma 1, primo periodo, premettere la parole: «Fermo restando quanto previsto dal comma 1-bis,»;

b) dopo il comma 1, aggiungere il seguente:

«1-bis. Ai maggiori oneri derivanti dalla disposizione di cui al comma 1-bis dell'articolo 1, pari a 50 milioni di euro per l'anno 2024, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 272 della legge 30 dicembre 2023, n. 213».

1.4

Precluso

Dopo il comma 1, inserire il seguente:

«1-bis. Per le finalità di cui alla presente legge, per l'anno 2024, per le pubbliche amministrazioni centrali di cui al comma 1 e l'Agenzia per la cybersicurezza nazionale di cui al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono stanziati 30 milioni di euro per l'acquisto di strumentazione tecnologiche atte al rafforzamento della cybersicurezza».

Conseguentemente, all'articolo 23:

a) al comma 1, primo periodo, premettere la parole: «Fermo restando quanto previsto dal comma 1-bis,»;

b) dopo il comma 1, aggiungere il seguente:

«1-bis. Ai maggiori oneri derivanti dalla disposizione di cui al comma 1-bis dell'articolo 1, pari a 30 milioni di euro per l'anno 2024 si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui all'articolo 1, comma 272 della legge 30 dicembre 2023, n. 213».

1.5

Giorgis, Bazoli, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Respinto

Al comma 5, primo periodo, dopo le parole: «all'interessato» inserire le seguenti: «, notificando la comunicazione all'Agenzia per l'Italia digitale,».

1.6

Respinto

Al comma 5, secondo periodo, aggiungere, in fine, le seguenti parole: «unitamente alla definizione delle esigenze di natura tecnico-organizzativa che motivano l'eccezione alla comminazione delle sanzioni di cui all'articolo 2, comma 2.».

1.7

Respinto

Al comma 5, aggiungere, in fine, il seguente periodo: «Le modalità delle ispezioni di cui al periodo precedente devono, comunque, sempre garantire il contraddittorio e il diritto alla difesa».

ARTICOLO 2 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 2.

Approvato

(Mancato o ritardato adeguamento a segnalazioni dell'Agenzia per la cybersicurezza nazionale)

1. I soggetti di cui all'articolo 1, comma 1, della presente legge e quelli di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, all'articolo 3, comma 1, lettere g) e i), del decreto legislativo 18 maggio 2018, n. 65, e all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, in caso di segnalazioni puntuali dell'Agenzia per la cybersicurezza nazionale circa specifiche vulnerabilità cui essi risultino potenzialmente esposti, provvedono, senza ritardo e comunque non oltre quindici giorni dalla comunicazione, all'adozione degli interventi risolutivi indicati dalla stessa Agenzia.

2. La mancata o ritardata adozione degli interventi risolutivi di cui al comma 1 del presente articolo comporta l'applicazione delle sanzioni di cui all'articolo 1, comma 6, salvo il caso in cui motivate esigenze di natura tecnico-organizzativa, tempestivamente comunicate all'Agenzia per la cybersicurezza nazionale, ne impediscano l'adozione o ne comportino il differimento oltre il termine indicato al medesimo comma 1 del presente articolo.

EMENDAMENTI

2.1

Parrini, Giorgis, Meloni, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Al comma 1, sostituire le parole da: «vulnerabilità» fino a: «comunicazione» con le seguenti: «e pubblicamente conosciute vulnerabilità cui essi risultino esposti, provvedono, senza ritardo e comunque non oltre trenta giorni dalla segnalazione,».

Conseguentemente, al comma 2, dopo le parole: «di cui al comma 1 del presente articolo» inserire le seguenti: «, per oltre due volte nell'arco di un anno,».

2.2

Meloni, Giorgis, Parrini, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinta la parte evidenziata in neretto; preclusa la restante parte

Al comma 1, aggiungere, in fine, le seguenti parole: «, a valere sulle risorse economiche all'occorrenza messe a disposizione dalla medesima Agenzia».

Conseguentemente,

a) al medesimo articolo 2, dopo il comma 1, inserire il seguente:

«1-bis. Per l'attuazione del comma 1 il Ministero dell'interno assegna all'Agenzia uno stanziamento pari a 60 milioni di euro per ciascuno degli anni 2024 e 2025 che confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.»;

b) all'articolo 8:

1) al comma 1, sostituire le parole: « nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente» con le seguenti: «nell'ambito delle risorse di cui al comma 2-bis»;

2) dopo il comma 2, inserire i seguenti:

«2-bis. A parziale o totale reintegro delle spese sostenute, nell'ambito delle risorse assegnate all'Agenzia nel limite massimo di 40 milioni di euro per ciascuno degli anni 2024 e 2025, la medesima Agenzia provvede annualmente al riparto in favore dei soggetti di cui all'articolo 1, che attivano le strutture di cui al comma 1 e individuano il referente di cui al comma 2, dietro presentazione della domanda redatta sulla base delle modalità e dei criteri indicati dalla medesima Agenzia.

2-ter. Le strutture di cui al comma 1 e il personale dei soggetti di cui all'articolo 1 sono tenuti a seguire periodicamente attività formative su tematiche di cybersecurity per sviluppare una cultura cyber, incrementare la consapevolezza e le competenze specialistiche e divulgare buone pratiche per la prevenzione e la gestione di potenziali attacchi. A parziale o totale reintegro delle spese sostenute per l'attuazione del presente comma, nell'ambito delle risorse assegnate all'Agenzia nel limite massimo di 50 milioni di euro per ciascuno degli anni 2024 e 2025, la medesima Agenzia provvede annualmente al riparto in favore dei soggetti di cui all'articolo 1, dietro presentazione della domanda redatta sulla base delle modalità e dei criteri indicati dalla medesima Agenzia.»;

c) all'articolo 24, sostituire il comma 1 con il seguente:

«1. Per l'attuazione delle disposizioni di cui all'articolo 2, comma 1-bis e all'articolo 8, commi 2-bis e 2-ter, il Ministero dell'interno assegna all'Agenzia uno stanziamento pari a 150 milioni di euro per ciascuno degli anni 2024 e 2025 che confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109. Agli oneri derivanti dall'attuazione delle disposizioni di cui al presente comma pari a 150 milioni di euro per ciascuno degli anni 2024 e 2025, si provvede mediante corrispondente riduzione del Fondo per interventi strutturali di politica economica di cui all'articolo 10, comma 5, del decreto-legge 29 novembre 2004, n. 282, convertito, con modificazioni, dalla legge 27 dicembre 2004, n. 307».

2.3

Valente, Giorgis, Parrini, Meloni, Bazoli, Mirabelli, Rossomando, Verini

Precluso

Al comma 1, aggiungere, in fine, le seguenti parole: «, a valere sulle risorse economiche all'occorrenza messe a disposizione dalla medesima Agenzia».

Conseguentemente:

a) al medesimo articolo 2, dopo il comma 1, inserire il seguente:

b) all'articolo 24, sostituire il comma 1 con il seguente:

«1. Agli oneri derivanti dall'attuazione delle disposizioni di cui all'articolo 2, comma 1-bis, della presente legge, pari a 60 milioni di euro per ciascuno degli anni 2024 e 2025, si provvede mediante corrispondente riduzione del Fondo per interventi strutturali di politica economica di cui all'articolo 10, comma 5, del decreto-legge 29 novembre 2004, n. 282, convertito, con modificazioni, dalla legge 27 dicembre 2004, n. 307».

2.4

Respinto

Al comma 2, dopo le parole: «salvo il caso in cui motivate esigenze di natura tecnico-organizzativa,» inserire le seguenti: «come definite nelle linee guida di cui all'articolo 1, comma 5,».

ARTICOLO 3 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 3.

Approvato

(Norme di raccordo con le disposizioni del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133)

1. All'articolo 1, comma 3-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, sono apportate le seguenti modificazioni:

a) il secondo periodo è sostituito dal seguente: « I medesimi soggetti provvedono a effettuare la segnalazione degli incidenti di cui al presente comma senza ritardo, comunque entro il termine massimo di ventiquattro ore, e ad effettuare la relativa notifica entro settantadue ore »;

b) dopo il quarto periodo è inserito il seguente: « Nei casi di reiterata inosservanza degli obblighi di notifica di cui al presente comma, si applica la sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000 ».

EMENDAMENTO

3.1

Giorgis, Parrini, Meloni, Valente, Bazoli, Mirabelli, Rossomando, Verini

Non posto in votazione (*)

Sopprimere l'articolo.

________________

(*) Approvato il mantenimento dell'articolo

ARTICOLI DA 4 A 7 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 4.

Approvato

(Disposizioni in materia di dati relativi a incidenti informatici)

1. All'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo la lettera n-bis) è inserita la seguente:

« n-ter) provvede alla raccolta, all'elaborazione e alla classificazione dei dati relativi alle notifiche di incidenti ricevute dai soggetti che a ciò siano tenuti in osservanza delle disposizioni vigenti. Tali dati sono resi pubblici nell'ambito della relazione prevista dall'articolo 14, comma 1, quali dati ufficiali di riferimento degli attacchi informatici portati ai soggetti che operano nei settori rilevanti per gli interessi nazionali nel campo della cybersicurezza. Agli adempimenti previsti dalla presente lettera si provvede con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente ».

Art. 5.

Approvato

(Disposizioni in materia di Nucleo per la cybersicurezza)

1. All'articolo 8 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4 è inserito il seguente:

« 4.1. In relazione a specifiche questioni di particolare rilevanza concernenti i compiti di cui all'articolo 9, comma 1, lettera a), il Nucleo può essere convocato nella composizione di cui al comma 4 del presente articolo, di volta in volta estesa alla partecipazione di un rappresentante della Direzione nazionale antimafia e antiterrorismo, della Banca d'Italia o di uno o più operatori di cui all'articolo 1, comma 2-bis, del decreto-legge perimetro, nonché di eventuali altri soggetti, interessati alle stesse questioni. Le amministrazioni e i soggetti convocati partecipano alle suddette riunioni a livello di vertice ».

Art. 6.

Approvato

(Disposizioni in materia di coordinamento operativo tra i servizi di informazione per la sicurezza e l'Agenzia per la cybersicurezza nazionale)

1. Qualora i servizi di cui agli articoli 6 e 7 della legge 3 agosto 2007, n. 124, avuta notizia di un evento o un incidente informatici, ritengano strettamente necessario, per il perseguimento delle finalità istituzionali del Sistema di informazione per la sicurezza della Repubblica, il differimento di una o più delle attività di resilienza di cui all'articolo 7, comma 1, lettere n) e n-bis), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, i predetti servizi, per il tramite del Dipartimento delle informazioni per la sicurezza (DIS), ne informano il Presidente del Consiglio dei ministri o l'Autorità delegata di cui all'articolo 3 della citata legge n. 124 del 2007, ove istituita.

2. Nei casi di cui al comma 1, il Presidente del Consiglio dei ministri, sentiti il direttore generale del Dipartimento delle informazioni per la sicurezza e il direttore generale dell'Agenzia per la cybersicurezza nazionale, può disporre il differimento degli obblighi informativi cui è in ogni caso tenuta l'Agenzia ai sensi delle disposizioni vigenti, ivi compresi quelli previsti ai sensi dell'articolo 17, commi 4 e 4-bis, del decreto-legge n. 82 del 2021, nonché il differimento di una o più delle attività di resilienza di cui all'articolo 7, comma 1, lettere n) e n-bis), del medesimo decreto-legge.

Art. 7.

Approvato

(Composizione del Comitato interministeriale per la sicurezza della Repubblica)

1. All'articolo 5, comma 3, della legge 3 agosto 2007, n. 124, sono apportate le seguenti modificazioni:

a) dopo le parole: « Ministro degli affari esteri » sono inserite le seguenti: « e della cooperazione internazionale »;

b) le parole: « dello sviluppo economico e dal Ministro della transizione ecologica » sono sostituite dalle seguenti: « delle imprese e del made in Italy, dal Ministro dell'ambiente e della sicurezza energetica, dal Ministro dell'agricoltura, della sovranità alimentare e delle foreste, dal Ministro delle infrastrutture e dei trasporti e dal Ministro dell'università e della ricerca ».

EMENDAMENTO

7.100

Respinto

Al comma 1, lettera b), dopo le parole: «dal Ministro delle infrastrutture e dei trasporti» inserire le seguenti: «dal Ministro della Salute».

ARTICOLO 8 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 8.

Approvato

(Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza)

1. I soggetti di cui all'articolo 1, comma 1, individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente, che provvede:

a) allo sviluppo delle politiche e delle procedure di sicurezza delle informazioni;

b) alla produzione e all'aggiornamento di sistemi di analisi preventiva di rilevamento e di un piano per la gestione del rischio informatico;

c) alla produzione e all'aggiornamento di un documento che definisca i ruoli e l'organizzazione del sistema per la sicurezza delle informazioni dell'amministrazione;

d) alla produzione e all'aggiornamento di un piano programmatico per la sicurezza di dati, sistemi e infrastrutture dell'amministrazione;

e) alla pianificazione e all'attuazione di interventi di potenziamento delle capacità per la gestione dei rischi informatici, in coerenza con i piani di cui alle lettere b) e d);

f) alla pianificazione e all'attuazione dell'adozione delle misure previste dalle linee guida per la cybersicurezza emanate dall'Agenzia per la cybersicurezza nazionale;

g) al monitoraggio e alla valutazione continua delle minacce alla sicurezza e delle vulnerabilità dei sistemi per il loro pronto aggiornamento di sicurezza.

2. Presso le strutture di cui al comma 1 opera il referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza. Qualora i soggetti di cui all'articolo 1, comma 1, non dispongano di personale dipendente fornito di tali requisiti, possono conferire l'incarico di referente per la cybersicurezza a un dipendente di una pubblica amministrazione, previa autorizzazione di quest'ultima ai sensi dell'articolo 53 del decreto legislativo 30 marzo 2001, n. 165, nell'ambito delle risorse disponibili a legislazione vigente. Il referente per la cybersicurezza svolge anche la funzione di punto di contatto unico dell'amministrazione con l'Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative settoriali in materia di cybersicurezza cui è soggetta la medesima amministrazione. A tale fine, il nominativo del referente per la cybersicurezza è comunicato all'Agenzia per la cybersicurezza nazionale.

3. La struttura e il referente di cui ai commi 1 e 2 possono essere individuati, rispettivamente, nell'ufficio e nel responsabile per la transizione al digitale previsti dall'articolo 17 del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82.

4. I compiti di cui ai commi 1 e 2 possono essere esercitati in forma associata secondo quanto previsto dall'articolo 17, commi 1-sexies e 1-septies, del codice di cui al decreto legislativo 7 marzo 2005, n. 82.

5. L'Agenzia per la cybersicurezza nazionale può individuare modalità e processi di coordinamento e di collaborazione tra le amministrazioni di cui all'articolo 1, comma 1, e tra i referenti per la cybersicurezza di cui al comma 2 del presente articolo, al fine di facilitare la resilienza delle amministrazioni pubbliche.

6. Le disposizioni del presente articolo non si applicano:

a) ai soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, ai quali continuano ad applicarsi gli obblighi previsti dalle disposizioni di cui alla richiamata disciplina;

EMENDAMENTI E ORDINI DEL GIORNO

8.1

Respinto

Al comma 1, alinea, sostituire le parole da: «individuano» fino a: «a legislazione vigente» con le seguenti: «affidano a un unico ufficio, anche tra quelli eventualmente già esistenti, ai sensi dell'articolo 17, comma 1, primo periodo, e 1-sexies, del decreto legislativo 7 marzo 2005, n. 82.».

8.2

Respinta la parte evidenziata in neretto; preclusa la restante parte

Al comma 1, alinea, sopprimere le parole: «nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente,».

Conseguentemente,

a) dopo il comma 2, inserire i seguenti:

«2-bis. Al fine di consentire, nell'ambito delle strutture di cui al comma 1, le dotazioni tecnologiche necessarie per l'attuazione delle disposizioni previste, è istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 200 milioni di euro per ciascuno degli anni 2024, 2025 e 2026. Con decreto del Ministro dell'economia e delle finanze, adottato entro il mese di giugno di ciascuno degli anni 2024, 2025 e 2026, sono individuati i criteri del riparto delle risorse di cui al periodo precedente e i relativi destinatari.

2-ter. Agli oneri di cui al comma 2-bis, pari a 200 milioni di euro per ciascuno degli anni 2024, 2025 e 2026, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.

2-quater. Ai fini dell'attuazione delle disposizioni di cui ai commi precedenti, il Ministro dell'economia e delle finanze è autorizzato ad apportare, con propri decreti, le occorrenti variazioni di bilancio»;

b) all'articolo 24, sopprimere il comma 1.

8.3

Precluso

Al comma 1, alinea, sopprimere le parole: «nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente,».

Conseguentemente:

a) al medesimo articolo, dopo il comma 2, inserire i seguenti:

«2-bis. Al fine di consentire, nell'ambito delle strutture di cui al comma 1, le risorse umane, strumentali e finanziarie necessarie per l'attuazione delle disposizioni previste, è istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito capitolo con una dotazione di 200 milioni di euro per ciascuno degli anni 2024, 2025 e 2026. Con decreto del Ministro dell'economia e delle finanze, adottato entro il mese di giugno di ciascuno degli anni 2024, 2025 e 2026, sono individuati i criteri del riparto delle risorse di cui al periodo precedente e i relativi destinatari.

b) all'articolo 24, sopprimere il comma 1.

8.4

Precluso

Al comma 1, alinea, sopprimere le parole: «nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente,».

Conseguentemente all'articolo 24, dopo il comma 2, aggiungere i seguenti:

«2-bis. Al fine di consentire, ai soggetti di cui all'articolo 1, comma 1, le risorse umane, strumentali e finanziarie necessarie per l'attuazione delle disposizioni di cui all'articolo 6, comma 1, è istituito, nello stato di previsione del Ministero dell'economia e delle finanze, un apposito fondo, con una dotazione di 200 milioni di euro per ciascuno degli anni 2024, 2025 e 2026.

2-ter. Con decreto del Ministro dell'economia e delle finanze, adottato entro il mese di giugno di ciascuno degli anni 2024, 2025 e 2026, sono individuati i criteri del riparto delle risorse di cui al comma precedente e i relativi destinatari.

2-quater. Agli oneri di cui al comma 2, pari a 200 milioni di euro per ciascuno degli anni 2024, 2025 e 2026, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190».

8.5

Parrini, Giorgis, Meloni, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Al comma 1, alinea, sostituire le parole: «umane, strumentali e finanziarie disponibili a legislazione vigente» con le seguenti: «di cui al comma 2-bis».

Conseguentemente:

a) al medesimo articolo, dopo il comma 2, inserire i seguenti:

2-ter. Per l'attuazione del comma 2-bis il Ministero dell'interno assegna all'Agenzia uno stanziamento pari a 40 milioni di euro per ciascuno degli anni 2024 e 2025 che confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.»;

b) all'articolo 24, sostituire il comma 1 con il seguente:

«1. Agli oneri derivanti dall'attuazione delle disposizioni di cui all'articolo 8, comma 2-ter, della presente legge, pari a 40 milioni di euro per ciascuno degli anni 2024 e 2025, si provvede mediante corrispondente riduzione del Fondo per interventi strutturali di politica economica di cui all'articolo 10, comma 5, del decreto-legge 29 novembre 2004, n. 282, convertito, con modificazioni, dalla legge 27 dicembre 2004, n. 307».

8.6

Respinto

Al comma 2, sostituire il primo periodo con i seguenti: «Presso gli uffici di cui al comma 1 opera il referente per la cybersicurezza, in possesso delle competenze di cui all'articolo 17, comma 1-ter, del decreto legislativo 7 marzo 2005, n. 82, nonché in materia di strategie e tecnologie di sicurezza informatica e cibernetica. Le Linee guida di cui all'articolo 1, comma 1, definiscono le modalità di aggiornamento professionale del referente, al fine di rafforzare la capacità di resilienza e risposta delle pubbliche amministrazioni alle minacce e ai rischi informatici e alla loro continua evoluzione, in linea con gli obiettivi della direttiva 2022/255. Il referente opera d'intesa e in collaborazione con il Responsabile per la transizione digitale di cui all'articolo 17, del predetto decreto legislativo e con il Responsabile della protezione dei dati (RDP), di cui all'articolo 37 del Regolamento generale sulla protezione dei dati personali n. 2016/679.».

8.8

Respinto

Al comma 2, primo periodo, sostituire le parole da: «il referente per la cybersicurezza» fino alla fine del periodo con le seguenti:

«, in coordinamento con il Responsabile per la Transizione Digitale (RTD), il referente per la cybersicurezza, individuato, anche al di fuori della pianta organica dei soggetti di cui all'articolo 1, entro un periodo di 12 mesi dall'entrata in vigore della presente proposta di legge, in ragione delle qualità professionali possedute. Il nominativo del referente per la cybersicurezza è comunicato all'Agenzia per la cybersicurezza nazionale entro le ventiquattro ore successive alla nomina. L'Agenzia per la cybersicurezza nazionale individua, entro 3 mesi dall'entrata in vigore della presente legge, le competenze specifiche minime necessarie a ricoprire il ruolo di referente per la cybersicurezza di cui al presente comma. L'Agenzia si impegna, inoltre, ad offrire strumenti di formazione atti a garantire un'adeguata preparazione al referente per la cybersicurezza. Il referente per la cybersicurezza svolge, altresì, la funzione di raccordo tra l'amministrazione di appartenenza e l'Agenzia per la cybersicurezza nazionale in relazione a quanto previsto dalla presente legge e dalle normative di settore in materia di cybersicurezza cui è soggetta la medesima amministrazione».

________________

(*) Firma aggiunta in corso di seduta

8.9

Parrini, Giorgis, Meloni, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Al comma 2, sostituire le parole da: «in ragione di» fino a: «. Il referente per la cybersicurezza» con le seguenti: «tra i dipendenti dell'Amministrazione, aventi il requisito di essere tecnici abilitati iscritti all'albo di cui all'articolo 45, comma 1, lettera c), del decreto del Presidente della Repubblica 5 giugno 2001, n. 328. Nel caso in cui all'interno della Pubblica Amministrazione non vi fossero dipendenti con tali requisiti l'ente può incaricare un dipendente di altra Pubblica Amministrazione o professionisti esterni in possesso dei requisiti. Il predetto referente».

8.10

Respinto

Al comma 2, primo periodo, aggiungere, in fine, le seguenti parole: «come specificate e dettagliate all'interno delle linee guida di cui all'articolo 1, comma 5».

8.11

Respinto

Dopo il comma 2, inserire i seguenti:

«2-bis. L'Agenzia per la cybersicurezza nazionale, organizza, periodicamente, e comunque ogni 12 mesi, anche in partenariato con soggetti pubblici e privati, corsi di formazione specifici per il ruolo di referente per la cybersicurezza di cui al comma precedente, cui devono partecipare i referenti per la cybersicurezza operanti presso i soggetti di cui all'articolo 1, comma 1.

2-ter. Per le finalità di cui al comma 2-bis è autorizzata la spesa di 100 milioni di euro per ciascuno degli anni 2024 e 2025, che incrementano la dotazione del capitolo di bilancio istituito presso il Ministero dell'economia e delle finanze, di cui all'articolo 18, comma 1 del decreto-legge 14 giugno 2021, n. 82, convertito con legge 4 agosto 2021, n. 109.

2-quater. Ai fini dell'attuazione delle disposizioni di cui al comma 2-ter, all'articolo 18, comma 1 del decreto-legge 14 giugno 2021, n. 82, convertito con legge 4 agosto 2021, n. 109, dopo le parole: "Per l'attuazione degli articoli da 5 a 7", sono inserite le seguenti: "e al fine di predisporre corsi di formazione per i referenti per la cybersicurezza operanti presso le pubbliche amministrazioni centrali individuate ai sensi dell'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, le regioni e le province autonome di Trento e di Bolzano, i comuni con popolazione superiore a 100.000 abitanti e, comunque, i comuni capoluoghi di regione, nonché le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti e le aziende sanitarie locali"».

Conseguentemente, all'articolo 24 sopprimere il comma 1.

8.12

Meloni, Giorgis, Parrini, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Dopo il comma 2, inserire i seguenti:

«2-bis. Le strutture di cui al comma 1 e il personale dei soggetti di cui all'articolo 1 sono tenuti a seguire periodicamente attività formative su tematiche di cybersecurity per sviluppare una cultura cyber, incrementare la consapevolezza e le competenze specialistiche e divulgare buone pratiche per la prevenzione e la gestione di potenziali attacchi.

2-ter. A parziale o totale reintegro delle spese sostenute per l'attuazione dei corsi di cui al comma 2-bis, nell'ambito delle risorse assegnate all'Agenzia nel limite massimo di 50 milioni di euro per ciascuno degli anni 2024 e 2025, la medesima Agenzia provvede annualmente al riparto in favore dei soggetti di cui all'articolo 1, dietro presentazione della domanda redatta sulla base delle modalità e dei criteri indicati dalla medesima Agenzia.

2-quater. Per l'attuazione del comma 2-ter il Ministero dell'interno assegna all'Agenzia uno stanziamento pari a 50 milioni di euro per ciascuno degli anni 2024 e 2025 che confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109».

Conseguentemente, all'articolo 24, sostituire il comma 1 con il seguente:

«1. Agli oneri derivanti dall'attuazione delle disposizioni di cui all'articolo 8, comma 2-quater, pari a 50 milioni di euro per ciascuno degli anni 2024 e 2025, si provvede mediante corrispondente riduzione del Fondo per interventi strutturali di politica economica di cui all'articolo 10, comma 5, del decreto-legge 29 novembre 2004, n. 282, convertito, con modificazioni, dalla legge 27 dicembre 2004, n. 307».

8.13

Respinto

Dopo il comma 2, inserire il seguente:

«2-bis. I soggetti di cui all'articolo 1, comma 1, prevedono lo sviluppo di adeguate competenze tecnologiche, di informatica giuridica e manageriali per la figura del Referente per la cybersicurezza e per coloro che operano nelle strutture che dovranno costituire ai sensi del presente articolo, anche attraverso partenariati tra soggetti pubblici e privati in particolare con le Università, che possono vantare competenze e linee strategiche in materia, anche al fine di creare quella consapevolezza, parte integrante e indispensabile della cultura digitale».

8.14

Respinto

Dopo il comma 2, inserire il seguente:

«2-bis. Il personale impegnato nelle strutture per la cybersicurezza di cui al comma 1, è valutato ai fini del processo di misurazione e valutazione della performance anche in base al rispetto e all'attuazione delle disposizioni di cui ai commi 1 e 2 e al corretto adempimento degli obblighi ivi previsti, a fini di effettività ed efficacia».

8.100

Scarpinato, Lopreiato, Bilotti, Maiorino, Cataldi

Respinto

Dopo il comma 3, inserire i seguenti:

«3-bis. Al fine di garantire adeguata tutela e protezione dai rischi di accesso abusivo ai dati contenuti in sistemi informatici delle pubbliche amministrazioni, per l'accesso alle banche di dati pubbliche da parte di addetti tecnici e di soggetti incaricati del trattamento dei dati in esse contenuti, è richiesto l'utilizzo di specifici sistemi di autenticazione informatica, consistenti nell'uso combinato di almeno due differenti tecnologie di autenticazione, una delle quali sia basata sull'elaborazione di caratteristiche biometriche.

3-ter. Ai fini del comma 3-bis, si intendono per «addetti tecnici» gli operatori tecnici aventi funzioni di amministratori di sistema, di rete o di archivio di dati.

3-quater. Limitatamente ai casi di interventi indifferibili relativi a malfunzionamenti, guasti, installazione di hardware e software, aggiornamento e riconfigurazione dei sistemi, che determinino la necessità di accesso ai sistemi informatici di cui al comma 3-bis, l'accesso alle banche di dati pubbliche da parte dei soggetti di cui al comma 3-ter è consentito anche senza l'utilizzo di due differenti tecnologie di autenticazione o di una tecnologia di autenticazione biometrica, in deroga alle disposizioni del comma 3-bis, per le operazioni che richiedono la presenza fisica dell'addetto che procede all'intervento in prossimità del sistema di elaborazione.

3-quinquies. Fatti salvi gli obblighi in materia di credenziali di cui al decreto legislativo 18 maggio 2018, n. 51, gli accessi di cui al comma 3-quater sono annotati in un apposito registro unitamente alle motivazioni che li hanno determinati e alla descrizione sintetica delle operazioni svolte, anche mediante l'utilizzo di apparecchiature elettroniche. Il registro degli accessi di cui al primo periodo è detenuto dal soggetto o dall'ente titolare della banca di dati, che lo aggiorna periodicamente, lo custodisce presso le sedi di elaborazione e lo mette a disposizione delle autorità, su richiesta, nel caso di ispezioni o controlli, unitamente all'elenco nominativo dei soggetti abilitati all'accesso ai sistemi di elaborazione titolari delle funzioni di cui al comma 3-ter.

3-sexies. Al fine di garantire la corretta attuazione delle disposizioni previste dai commi 3-bis, 3-ter, 3-quater e 3-quinquies è autorizzata la spesa di 10 milioni di euro a decorrere dall'anno 2025.

3-septies. Agli oneri di cui al comma 3-sexies, pari a 10 milioni di euro a decorrere dall'anno 2025, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190.».

G8.100

Accolto

Il Senato,

premesso che:

l'articolo 8 istituisce per le pubbliche amministrazioni, dove non sia già presente, la struttura preposta alle attività di cybersicurezza;

il provvedimento in esame predispone l'istituzione del referente per la cybersicurezza, unico punto di contatto delle amministrazioni coinvolte con l'Agenzia per la cybersicurezza nazionale;

il suddetto referente viene individuato in ragione di specifiche professionalità e competenze possedute in materia nel caso in cui all'interno dei soggetti di cui all'articolo 1, comma 1, del decreto in fase di conversione: nel caso in cui non vi siano dipendenti con tali requisiti potrà essere incaricato il dipendente di un'altra pubblica amministrazione previa autorizzazione da parte dell'amministrazione di appartenenza ai sensi dell'art. 53 del decreto legislativo n. 165 del 2001 e nell'ambito delle risorse disponibili a legislazione vigente senza determinare nuovi o maggiori oneri per la finanza pubblica;

tale disposizione appare incompleta nella parte in cui non prende in considerazione le figure del responsabile per la transizione digitale e della protezione dei dati, figure che come noto assolvono a compiti fondamentali per garantire e tutelare principi che vasta eco trovano sia a livello europeo che a livello nazionale;

impegna il Governo:

a specificare che le pubbliche amministrazioni centrali, sul piano della cybersicurezza, devono adottare modelli organizzativi che prevedano il coinvolgimento e la collaborazione costanti e diretti del Responsabile per la transizione digitale e il Responsabile della protezione dei dati, come definiti rispettivamente dall'articolo 17 del decreto legislativo 7 marzo 2005, n. 82 e dall'articolo 37 del regolamento europeo 2016/679.

G8.101 (già 8.0.1)

Enrico Borghi

Ritirato

Il Senato,

premesso che:

le minacce emergenti e ibride alla sicurezza nazionale, tramite l'uso delle disinformazioni, saranno una delle sfide più importanti nei prossimi decenni: l'intelligenza artificiale, se utilizzata come arma di destabilizzazione, rischia di accelerare in modo irrimediabile la sfera della disinformazione, già prepotentemente in campo, proliferando in modo autogenerate e incontrollato il diffondersi di fake news che rischiano di minare la fiducia nei cittadini nelle Istituzioni nazionali ed europee e nell'Alleanza Atlantica;

il rischio derivante dall'applicazione malevola delle nuove tecnologie è di mettere a repentaglio la coesione e i valori europei a discapito degli interessi di potenze straniere o di regimi autoritari che agiscono promuovendo valori del tutto in contrasto con i principi di libertà e democrazia che sorreggono il modello di società occidentale;

le conseguenze dell'utilizzo nefasto di questa tecnologia si è già avuto modo di osservarlo durante gli eventi storici-globali che stanno segnando gli ultimi anni, quali il periodo pandemico Covid-19, l'invasione russa nel territorio ucraino e il conflitto in Medio Oriente: di fatto l'uso dell'intelligenza artificiale volta alla creazione di contenuti in grado di destabilizzare la sicurezza nazionale deve essere analizzata anche alla luce dei tentativi di ingerenza, sempre più ricorrenti, di potenze straniere tramite campagne di disinformazione di assoluta pericolosità, rendendo l'intelligenza artificiale non più uno strumento di innovazione e opportunità, bensì trasformandolo in un'arma di disinformazione e di destabilizzazione;

è ormai ineludibile l'adozione di iniziative concrete volte a contrastare i tentativi di ingerenza estera, di disinformazione, di utilizzo dei deep fake, anche attraverso l'elaborazione di specifici strumenti di debunking sulla scorta delle esperienze maturate a livello europeo;

impegna il Governo:

a istituire un'agenzia sulla disinformazione e la sicurezza cognitiva da incardinare nel perimetro di sicurezza nazionale, al fine di analizzare le informazioni diffuse tramite i mezzi di informazione, comunque denominati, ivi inclusi le piattaforme informatiche e i siti internet, allo scopo di individuare e segnalare attività di ingerenza nei confronti delle istituzioni e della vita democratica della Repubblica, quali tattiche della cosiddetta "guerra ibrida" finalizzate al danneggiamento del corretto funzionamento dei processi democratici, nonché eventuali falsificazioni e campagne di disinformazione preordinate alla manipolazione dell'opinione pubblica e a pregiudicare il normale esercizio delle libertà democratiche.

ARTICOLI 9 E 10 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 9.

Approvato

(Rafforzamento delle misure di sicurezza dei dati attraverso la crittografia)

1. Le strutture di cui all'articolo 8 della presente legge nonché quelle che svolgono analoghe funzioni per i soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e al decreto legislativo 18 maggio 2018, n. 65, verificano che i programmi e le applicazioni informatiche e di comunicazione elettronica in uso, che utilizzano soluzioni crittografiche, rispettino le linee guida sulla crittografia nonché quelle sulla conservazione delle password adottate dall'Agenzia per la cybersicurezza nazionale e dal Garante per la protezione dei dati personali e non comportino vulnerabilità note, atte a rendere disponibili e intellegibili a terzi i dati cifrati.

Art. 10.

Approvato

(Funzioni dell'Agenzia per la cybersicurezza nazionale in materia di crittografia)

1. All'articolo 7, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, la lettera m-bis) è sostituita dalla seguente:

« m-bis) provvede, anche attraverso un'apposita sezione nell'ambito della strategia di cui alla lettera b), allo sviluppo e alla diffusione di standard, linee guida e raccomandazioni al fine di rafforzare la cybersicurezza dei sistemi informatici, alla valutazione della sicurezza dei sistemi crittografici nonché all'organizzazione e alla gestione di attività di divulgazione finalizzate a promuovere l'utilizzo della crittografia, anche a vantaggio della tecnologia blockchain, come strumento di cybersicurezza. L'Agenzia, anche per il rafforzamento dell'autonomia industriale e tecnologica dell'Italia, promuove altresì la collaborazione con centri universitari e di ricerca per la valorizzazione dello sviluppo di nuovi algoritmi proprietari, la ricerca e il conseguimento di nuove capacità crittografiche nazionali nonché la collaborazione internazionale con gli organismi esteri che svolgono analoghe funzioni. A tale fine, è istituito presso l'Agenzia, nell'ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente e senza nuovi o maggiori oneri a carico della finanza pubblica, il Centro nazionale di crittografia, il cui funzionamento è disciplinato con provvedimento del direttore generale dell'Agenzia stessa. Il Centro nazionale di crittografia svolge le funzioni di centro di competenza nazionale per tutti gli aspetti della crittografia in ambito non classificato, ferme restando le competenze dell'Ufficio centrale per la segretezza, di cui all'articolo 9 della legge 3 agosto 2007, n. 124, con riferimento alle informazioni e alle attività previste dal regolamento adottato ai sensi dell'articolo 4, comma 3, lettera l), della citata legge n. 124 del 2007, nonché le competenze degli organismi di cui agli articoli 4, 6 e 7 della medesima legge ».

EMENDAMENTI

10.1

Non posto in votazione (*)

Sopprimere l'articolo.

________________

(*) Approvato il mantenimento dell'articolo

10.0.1

Respinto

Dopo l'articolo, inserire il seguente:

«Art. 10-bis.

(Iniziative in materia di sicurezza informatica nell'ambito del sistema educativo)

1. L'Agenzia per la cybersicurezza nazionale, d'intesa con il Ministro dell'istruzione e del merito, promuove la realizzazione di corsi specifici al fine di favorire in tutti i livelli del sistema educativo una progressiva familiarizzazione degli studenti con la sicurezza informatica. A tal fine, è autorizzata la spesa di 50 milioni di euro per i corsi da svolgersi nell'anno scolastico 2024-2025.

2. Alla copertura degli oneri derivanti dall'attuazione del comma 1, pari a 50 milioni di euro per l'anno 2024, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 199, della legge 23 dicembre 2014, n. 190.».

Conseguentemente, all'articolo 24, sopprimere il comma 1.

10.0.2

Respinto

Dopo l'articolo, inserire il seguente:

«Art. 10-bis.

(Iniziative per la diffusione della cultura della sicurezza informatica)

1. L'Agenzia per la cybersicurezza nazionale, d'intesa con l'Agenzia per l'Italia digitale e i soggetti di cui all'articolo 1, comma 1, coordina la realizzazione e la promozione, anche con il coinvolgimento di Università, Centri di ricerca e di formazione specializzati, di iniziative volte a favorire la diffusione della cultura della sicurezza informatica tra i cittadini, con particolare riguardo alle categorie a rischio di esclusione, con azioni specifiche e concrete, anche avvalendosi di un insieme di strumenti e mezzi diversi, fra i quali il servizio radiotelevisivo. A tal fine è autorizzata la spesa di 10 milioni di euro per l'anno 2024.
2. Alla copertura degli oneri derivanti dall'attuazione del comma 1, pari a 10 milioni di euro per l'anno 2024, si provvede mediante corrispondente riduzione del Fondo di cui all'articolo 1, comma 199, della legge 23 dicembre 2014, n. 190.».

Conseguentemente, all'articolo 24, sopprimere il comma 1.

ARTICOLO 11 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 11.

Approvato

(Procedimento amministrativo sanzionatorio per l'accertamento e la contestazione delle violazioni in materia di cybersicurezza di competenza dell'Agenzia per la cybersicurezza nazionale)

1. All'articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 4-ter è inserito il seguente:

« 4-quater. La disciplina del procedimento sanzionatorio amministrativo dell'Agenzia è definita con regolamento che stabilisce, in particolare, termini e modalità per l'accertamento, la contestazione e la notificazione delle violazioni della normativa in materia di cybersicurezza e l'irrogazione delle relative sanzioni di competenza dell'Agenzia ai sensi del presente decreto e delle altre disposizioni che assegnano poteri accertativi e sanzionatori all'Agenzia. Il regolamento di cui al primo periodo è adottato, entro novanta giorni dalla data di entrata in vigore della presente disposizione, con decreto del Presidente del Consiglio dei ministri, anche in deroga all'articolo 17 della legge 23 agosto 1988, n. 400, sentito il Comitato interministeriale per la cybersicurezza e acquisito il parere delle competenti Commissioni parlamentari. Fino alla data di entrata in vigore del regolamento di cui al presente comma, ai procedimenti sanzionatori si applicano, per ciascuna fase procedimentale di cui al primo periodo, le disposizioni contenute nelle sezioni I e II del capo I della legge 24 novembre 1981, n. 689 ».

EMENDAMENTO

11.1

Non posto in votazione (*)

Sopprimere l'articolo

________________

(*) Approvato il mantenimento dell'articolo

ARTICOLO 12 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 12.

Approvato

(Disposizioni in materia di personale dell'Agenzia per la cybersicurezza nazionale)

1. All'articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8-bis è aggiunto il seguente:

« 8-ter. I dipendenti appartenenti al ruolo del personale dell'Agenzia di cui al comma 2, lettera a), che abbiano partecipato, nell'interesse e a spese dell'Agenzia, a specifici percorsi formativi di specializzazione, per la durata di due anni a decorrere dalla data di completamento dell'ultimo dei predetti percorsi formativi non possono essere assunti né assumere incarichi presso soggetti privati al fine di svolgere mansioni in materia di cybersicurezza. I contratti stipulati in violazione di quanto disposto dal presente comma sono nulli. Le disposizioni del presente comma non si applicano al personale cessato dal servizio presso l'Agenzia secondo quanto previsto dalle disposizioni del regolamento adottato ai sensi del presente articolo relative al collocamento a riposo d'ufficio, al raggiungimento del requisito anagrafico previsto dalla legge per la pensione di vecchiaia, alla cessazione a domanda per inabilità o alla dispensa dal servizio per motivi di salute. I percorsi formativi di specializzazione di cui al presente comma sono individuati con determinazione del direttore generale dell'Agenzia, tenendo conto della particolare qualità dell'offerta formativa, dei costi, della durata e del livello di specializzazione che consegue alla frequenza dei suddetti percorsi ».

2. Fino al 31 dicembre 2026, per il personale dell'Agenzia per la cybersicurezza nazionale il requisito di permanenza minima nell'Area operativa ai fini del passaggio all'Area manageriale e alte professionalità è fissato in tre anni.

EMENDAMENTI E ORDINE DEL GIORNO

12.1

Respinto

Sopprimere l'articolo.

________________

(*) Firma aggiunta in corso di seduta

12.2

Respinto

Al comma 1, sostituire il capoverso «8-ter» con il seguente:

«8-ter. Al personale di ruolo dell'Agenzia e a quello a tempo determinato ai sensi del D.P.C.M. n. 224/2021, proveniente direttamente dai ruoli delle forze armate e delle forze di polizia ad ordinamento civile o militare, di cui all'articolo 16 della legge 1 aprile 1981, n. 121, si applicano le disposizioni di cui al regolamento emanato ai sensi dell'art. 21, legge 3 agosto 2007, n. 124 in tema di stato giuridico e avanzamento a decorrere dalla data di costituzione dell'Agenzia».

12.3

Meloni, Giorgis, Parrini, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Al comma 2, capoverso «8-ter», primo periodo, sostituire le parole da: «per la durata di due anni» fino a: «percorsi formativi» con le seguenti: «della durata complessiva di almeno un anno, salvo specifica autorizzazione da parte dell'Agenzia».

Conseguentemente, al medesimo comma, medesimo capoverso:

a) al primo periodo, aggiungere, in fine, le parole: «per il successivo anno a decorrere dalla data di completamento di ciascuno dei predetti percorsi formativi»;

b) al terzo periodo, dopo le parole: «Le disposizioni del presente comma non si applicano» inserire le seguenti: «al personale a tempo determinato ai sensi del decreto del Presidente del Consiglio dei ministri n. 224 del 2021 proveniente direttamente dai ruoli delle Forze armate e delle Forze di polizia ad ordinamento civile e militare di cui all'articolo 16 della legge 1° aprile 1981, n. 121, nonché».

G12.100 (già em. 12.4)

Murelli, Pirovano, Spelgatti, Stefani, Potenti

Ritirato

Il Senato,

Premesso che:

l'Agenzia è nata per contrastare la grave emergenza nazionale degli attacchi informatici al Paese in continuo aumento; Rispetto alle omologhe Agenzie del comparto della Sicurezza Nazionale, tuttavia, non è prevista alcuna specifica norma che ne disciplini lo stato giuridico, l'avanzamento e l'impiego (al momento sono più di 70 le risorse immesse in ruolo);

è importante riconoscere al personale di ruolo dell'Agenzia e a quello in servizio a tempo determinato, proveniente direttamente dai ruoli delle Forze Armate ovvero da quelli delle Forze di Polizia ad ordinamento civile o militare, l'equiparazione del regime riconosciuto, sotto il profilo di stato giuridico e avanzamento, al personale in forza agli organismi di informazione, di cui alla legge n. 124/2007, così da valorizzare la progressione giuridica di carriera, al verificarsi di determinati presupposti normativi, nonché al contempo che tale progressione non impatti sulle consistenze organiche dei ruoli di provenienza;

tale possibilità verrebbe estesa a tutto il personale delle Forze Armate e di Polizia che già presta servizio presso l'Agenzia al momento di entrata in vigore della norma e non comporta nuovi o maggiori oneri a carico della finanza pubblica ovvero benefici economici per il personale interessato;

impegna il Governo:

a valutare la possibilità di dare attuazione a quanto previsto dall'emendamento 12.4.

ARTICOLO 13 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 13.

Approvato

(Disposizioni in materia di personale degli organismi di informazione per la sicurezza)

1. Coloro che hanno ricoperto la carica di direttore generale e di vice direttore generale del DIS e di direttore e di vice direttore dell'Agenzia informazioni e sicurezza esterna (AISE) o dell'Agenzia informazioni e sicurezza interna (AISI) ovvero hanno svolto incarichi dirigenziali di prima fascia di preposizione a strutture organizzative di livello dirigenziale generale non possono, salva autorizzazione del Presidente del Consiglio dei ministri o dell'Autorità delegata, ove istituita, nei tre anni successivi alla cessazione dall'incarico, svolgere attività lavorativa, professionale o di consulenza né ricoprire cariche presso soggetti esteri, pubblici o privati, ovvero presso soggetti privati italiani a cui si applica il decreto-legge 15 marzo 2012, n. 21, convertito, con modificazioni, dalla legge 11 maggio 2012, n. 56. L'autorizzazione è concessa tenendo conto delle esigenze di protezione e di tutela del patrimonio informativo acquisito durante l'espletamento dell'incarico e della necessità di evitare comunque pregiudizi per la sicurezza nazionale.

2. Il personale appartenente al ruolo unico previsto dall'articolo 21 della legge 3 agosto 2007, n. 124, non può, nei tre anni successivi alla cessazione dal servizio presso il DIS, l'AISE e l'AISI, svolgere attività lavorativa, professionale o di consulenza né ricoprire cariche presso enti o privati titolari di licenza ai sensi dell'articolo 134 del testo unico delle leggi di pubblica sicurezza, di cui al regio decreto 18 giugno 1931, n. 773, o comunque presso soggetti che a qualunque titolo svolgano attività di investigazione, ricerca o raccolta informativa.

3. Il personale appartenente al ruolo unico previsto dall'articolo 21 della legge 3 agosto 2007, n. 124, che abbia partecipato, nell'interesse e a spese del DIS, dell'AISE o dell'AISI, a specifici percorsi formativi di specializzazione, per la durata di tre anni a decorrere dalla data di completamento dell'ultimo dei predetti percorsi formativi non può essere assunto né assumere incarichi presso soggetti privati per svolgere le medesime mansioni per le quali ha beneficiato delle suddette attività formative.

4. I contratti stipulati e gli incarichi conferiti in violazione dei divieti di cui al presente articolo sono nulli.

5. Con regolamento adottato ai sensi dell'articolo 43 della legge 3 agosto 2007, n. 124, sono definiti le procedure di autorizzazione per i casi di cui al comma 1, gli obblighi di dichiarazione e di comunicazione a carico dei dipendenti, i casi in cui non si applicano i divieti di cui ai commi 2 e 3 e le modalità di individuazione dei percorsi formativi che determinano il divieto di cui al comma 3.

EMENDAMENTO

13.100

Giorgis, Parrini, Meloni, Valente

Respinto

Al comma 2, aggiungere, in fine, le seguenti parole "salva la diretta applicazione della disciplina dell'Unione europea".

ARTICOLO 14 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 14.

Approvato

(Disciplina dei contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici e disposizioni di raccordo con il decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133)

1. Con decreto del Presidente del Consiglio dei ministri, da adottare entro centoventi giorni dalla data di entrata in vigore della presente legge, su proposta dell'Agenzia per la cybersicurezza nazionale, previo parere del Comitato interministeriale per la sicurezza della Repubblica, di cui all'articolo 5 della legge 3 agosto 2007, n. 124, nella composizione di cui all'articolo 10, comma 1, del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali di cybersicurezza che i soggetti di cui all'articolo 2, comma 2, del codice dell'amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici nonché i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti all'Alleanza atlantica (NATO) o di Paesi terzi individuati con il decreto di cui al presente comma tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione. Ai fini del presente articolo, si intende per « elementi essenziali di cybersicurezza » l'insieme di criteri e regole tecniche la conformità ai quali, da parte di beni e servizi informatici da acquisire, garantisce la confidenzialità, l'integrità e la disponibilità dei dati da trattare in misura corrispondente alle esigenze di tutela di cui al primo periodo.

2. Nei casi individuati ai sensi del comma 1, le stazioni appaltanti, comprese le centrali di committenza:

a) possono esercitare la facoltà di cui agli articoli 107, comma 2, e 108, comma 10, del codice dei contratti pubblici, di cui al decreto legislativo 31 marzo 2023, n. 36, se accertano che l'offerta non tiene in considerazione gli elementi essenziali di cybersicurezza individuati con il decreto di cui al comma 1;

b) tengono sempre in considerazione gli elementi essenziali di cybersicurezza di cui al comma 1 nella valutazione dell'elemento qualitativo, ai fini dell'individuazione del miglior rapporto qualità/prezzo per l'aggiudicazione;

c) nel caso in cui sia utilizzato il criterio del minor prezzo, ai sensi dell'articolo 108, comma 3, del codice di cui al decreto legislativo n. 36 del 2023, inseriscono gli elementi di cybersicurezza di cui al comma 1 del presente articolo tra i requisiti minimi dell'offerta;

d) nel caso in cui sia utilizzato il criterio dell'offerta economicamente più vantaggiosa, ai sensi dell'articolo 108, comma 4, del codice di cui al decreto legislativo n. 36 del 2023, nella valutazione dell'elemento qualitativo ai fini dell'individuazione del migliore rapporto qualità/prezzo, stabiliscono un tetto massimo per il punteggio economico entro il limite del 10 per cento;

e) prevedono criteri di premialità per le proposte o per le offerte che contemplino l'uso di tecnologie di cybersicurezza italiane o di Paesi appartenenti all'Unione europea o di Paesi aderenti alla NATO o di Paesi terzi individuati con il decreto di cui al comma 1 tra quelli che sono parte di accordi di collaborazione con l'Unione europea o con la NATO in materia di cybersicurezza, protezione delle informazioni classificate, ricerca e innovazione, al fine di tutelare la sicurezza nazionale e di conseguire l'autonomia tecnologica e strategica nell'ambito della cybersicurezza.

3. Le disposizioni di cui al comma 1 si applicano anche ai soggetti privati non compresi tra quelli di cui all'articolo 2, comma 2, del codice di cui al decreto legislativo 7 marzo 2005, n. 82, e inseriti nell'elencazione di cui all'articolo 1, comma 2-bis, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

4. Resta fermo quanto stabilito dall'articolo 1 del citato decreto-legge n. 105 del 2019 per i casi ivi previsti di approvvigionamento di beni, sistemi e servizi di information and communication technology destinati ad essere impiegati nelle reti e nei sistemi informativi nonché per l'espletamento dei servizi informatici di cui alla lettera b) del comma 2 del medesimo articolo 1.

EMENDAMENTI E ORDINE DEL GIORNO

14.1

Respinto

Al comma 1, dopo il primo periodo, inserire i seguenti:

«Tali specifici requisiti di sicurezza tecnologica sono indipendenti dalla provenienza geografica delle aziende partecipanti ai bandi. Inoltre, gli elementi essenziali di cybersicurezza individuati con il decreto di cui al presente comma tengono conto di quanto previsto dalla normativa europea di riferimento in termini di criteri riferiti a prodotti e servizi di cybersicurezza acquisiti dalla Pubblica Amministrazione mediante contratti pubblici e laddove disponibili, prediligono le certificazioni europee in materia di sicurezza cibernetica previste dal Regolamento (UE) 2019/881 (Regolamento sulla Cybersicurezza)».

________________

(*) Firma aggiunta in corso di seduta

G14.100 (già em. 14.0.2)

Murelli, Pirovano, Spelgatti, Stefani, Potenti

Ritirato

Il Senato,

premesso che:

nell'ambito dell'esame del disegno di legge A.S. 1143 appare importante integrare i poteri dell'Autorità per le garanzie nelle comunicazioni (AGCOM) esercitati nell'ambito della Legge 14 luglio 2023, n. 93 e, in particolare, nella procedura che consente di disabilitare in 30 minuti i DNS e gli indirizzi IP dei siti che diffondono abusivamente contenuti protetti dai diritti d'autore, gestita tramite la piattaforma tecnologica unica, elaborata sulle risultanze del tavolo tecnico tenuto dall'Autorità, ai sensi dell'art. 6 comma 2 della predetta legge;

è altrettanto importante perseguire l'obiettivo di rafforzare i poteri sanzionatori dell'Autorità nei confronti dei prestatori di servizi che, pur fornendo accesso alla rete - quali VPN, DNS alternativi, nonché, in generale, qualsiasi altro servizio che permette di occultare l'indirizzo IP del sito web ospitato (es: i siti di reverse proxy e CDN) - e, pertanto, destinatari dei blocchi richiesti dalla piattaforma, non hanno provveduto ad accreditarsi alla stessa;

vista l'onerosità delle procedure legate all'implementazione della piattaforma Piracy Shield, sarebbe necessario cambiare la destinazione dei proventi delle sanzioni, stabilendo che questi devono essere riassegnati, nella misura pari al cinquanta per cento, all'Autorità per le garanzie nelle comunicazioni;

impegna il Governo:

a valutare la possibilità di dare attuazione a quanto previsto dall'emendamento 14.0.2.

14.0.1

Basso, Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Respinto

Dopo l'articolo, inserire il seguente:

«Art. 14-bis.

(Esclusione di applicabilità di talune sanzioni di cui al decreto legislativo 1° agosto 2003, n. 259)

1. All'articolo 57 del decreto legislativo 1° agosto 2003, n. 259, dopo il comma 9, è aggiunto il seguente:

"9-bis. I soggetti obbligati di cui al presente articolo non sono responsabili delle comunicazioni criptate nei casi in cui:

a) i servizi di comunicazione sono forniti da terze parti;

b) non dispongono degli strumenti per decifrare le comunicazioni criptate effettuate attraverso applicazioni o sistemi utilizzati autonomamente dall'utente;

c) la tecnologia al momento disponibile non consente tecnicamente la messa in chiaro della comunicazione"».

ARTICOLO 15 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 15.

Approvato

(Modifica all'articolo 16 della legge 21 febbraio 2024, n. 15)

1. All'articolo 16, comma 2, della legge 21 febbraio 2024, n. 15, dopo la lettera c) è inserita la seguente:

« c-bis) apportare alla disciplina applicabile agli intermediari finanziari iscritti nell'albo previsto dall'articolo 106 del testo unico delle leggi in materia bancaria e creditizia, di cui al decreto legislativo 1° settembre 1993, n. 385, nonché alla società Poste italiane Spa per l'attività del Patrimonio Bancoposta, di cui al regolamento di cui al decreto del Presidente della Repubblica 14 marzo 2001, n. 144, le occorrenti modifiche e integrazioni, anche mediante la normativa secondaria di cui alla lettera d) del presente comma, per conseguire un livello elevato di resilienza operativa digitale e assicurare la stabilità del settore finanziario nel suo complesso, in particolare:

1) definendo presìdi in materia di resilienza operativa digitale equivalenti a quelli stabiliti nel regolamento (UE) 2022/2554 del Parlamento europeo e del Consiglio, del 14 dicembre 2022;

2) tenendo conto, nella definizione dei presìdi di cui al numero 1), del principio di proporzionalità e delle attività svolte dagli intermediari finanziari e dal Patrimonio Bancoposta;

3) attribuendo alla Banca d'Italia l'esercizio dei poteri di vigilanza, di indagine e sanzionatori di cui alla lettera b) nei confronti dei soggetti di cui alla presente lettera ».

Capo II

DISPOSIZIONI PER LA PREVENZIONE E IL CONTRASTO DEI REATI INFORMATICI NONCHÉ IN MATERIA DI COORDINAMENTO DEGLI INTERVENTI IN CASO DI ATTACCHI A SISTEMI INFORMATICI O TELEMATICI E DI SICUREZZA DELLE BANCHE DI DATI IN USO PRESSO GLI UFFICI GIUDIZIARI

ARTICOLO 16 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 16.

Approvato

(Modifiche al codice penale)

1. Al codice penale sono apportate le seguenti modificazioni:

a) all'articolo 240, secondo comma, numero 1-bis, dopo la parola: « 635-quinquies, » sono inserite le seguenti: « 640, secondo comma, numero 2-ter), »;

b) all'articolo 615-ter:

1) al secondo comma:

1.1) all'alinea, le parole: « da uno a cinque anni » sono sostituite dalle seguenti: « da due a dieci anni »;

1.2) al numero 2), dopo la parola: « usa » sono inserite le seguenti: « minaccia o »;

1.3) al numero 3), dopo le parole: « ovvero la distruzione o il danneggiamento » sono inserite le seguenti: « ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al titolare »;

2) al terzo comma, le parole: « da uno a cinque anni e da tre a otto anni » sono sostituite dalle seguenti: « da tre a dieci anni e da quattro a dodici anni »;

c) all'articolo 615-quater:

1) al primo comma, la parola: « profitto » è sostituita dalla seguente: « vantaggio »;

2) il secondo comma è sostituito dal seguente:

« La pena è della reclusione da due anni a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1) »;

3) dopo il secondo comma è aggiunto il seguente:

« La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma »;

d) l'articolo 615-quinquies è abrogato;

e) all'articolo 617-bis:

1) dopo il primo comma è inserito il seguente:

« La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1) »;

2) al secondo comma, le parole da: « ovvero da un pubblico ufficiale » fino alla fine del comma sono soppresse;

f) all'articolo 617-quater, quarto comma:

1) all'alinea, le parole: « da tre a otto anni » sono sostituite dalle seguenti: « da quattro a dieci anni »;

2) il numero 1) è sostituito dal seguente:

« 1) in danno di taluno dei sistemi informatici o telematici indicati nell'articolo 615-ter, terzo comma »;

3) al numero 2), le parole: « da un pubblico ufficiale » sono sostituite dalle seguenti: « in danno di un pubblico ufficiale nell'esercizio o a causa delle sue funzioni o da un pubblico ufficiale » e la parola: « ovvero » è sostituita dalle seguenti: « o da chi esercita, anche abusivamente, la professione di investigatore privato, o »;

4) il numero 3) è abrogato;

g) all'articolo 617-quinquies:

1) il secondo comma è sostituito dal seguente:

« Quando ricorre taluna delle circostanze di cui all'articolo 617-quater, quarto comma, numero 2), la pena è della reclusione da due a sei anni »;

2) dopo il secondo comma è aggiunto il seguente:

« Quando ricorre taluna delle circostanze di cui all'articolo 617-quater, quarto comma, numero 1), la pena è della reclusione da tre a otto anni »;

h) all'articolo 617-sexies, secondo comma, le parole: « da uno a cinque anni » sono sostituite dalle seguenti: « da tre a otto anni »;

i) nella rubrica del capo III-bis del titolo dodicesimo del libro secondo, le parole: « sulla procedibilità » sono soppresse;

l) nel capo III-bis del titolo dodicesimo del libro secondo, dopo l'articolo 623-ter è aggiunto il seguente:

« Art. 623-quater. - (Circostanze attenuanti) - Le pene comminate per i delitti di cui agli articoli 615-ter, 615-quater, 617-quater, 617-quinquies e 617-sexies sono diminuite quando, per la natura, la specie, i mezzi, le modalità o le circostanze dell'azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità.

Le pene comminate per i delitti di cui al primo comma sono diminuite dalla metà a due terzi per chi si adopera per evitare che l'attività delittuosa sia portata a conseguenze ulteriori, anche aiutando concretamente l'autorità di polizia o l'autorità giudiziaria nella raccolta di elementi di prova o nel recupero dei proventi dei delitti o degli strumenti utilizzati per la commissione degli stessi.

Non si applica il divieto di cui all'articolo 69, quarto comma »;

m) all'articolo 629:

1) al secondo comma, le parole: « nell'ultimo capoverso dell'articolo precedente » sono sostituite dalle seguenti: « nel terzo comma dell'articolo 628 »;

2) dopo il secondo comma è aggiunto il seguente:

« Chiunque, mediante le condotte di cui agli articoli 615-ter, 617-quater, 617-sexies, 635-bis, 635-quater e 635-quinquies ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000. La pena è della reclusione da otto a ventidue anni e della multa da euro 6.000 a euro 18.000, se concorre taluna delle circostanze indicate nel terzo comma dell'articolo 628 nonché nel caso in cui il fatto sia commesso nei confronti di persona incapace per età o per infermità »;

n) all'articolo 635-bis:

1) al primo comma, le parole: « da sei mesi a tre anni » sono sostituite dalle seguenti: « da due a sei anni »;

2) il secondo comma è sostituito dal seguente:

« La pena è della reclusione da tre a otto anni:

1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema;

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato »;

o) all'articolo 635-ter:

1) al primo comma, le parole: « utilizzati dallo Stato o da altro ente pubblico o ad essi pertinenti, o comunque di pubblica utilità, è punito con la reclusione da uno a quattro anni » sono sostituite dalle seguenti: « di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, è punito con la reclusione da due a sei anni »;

2) il secondo e il terzo comma sono sostituiti dai seguenti:

« La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni ovvero la sottrazione, anche mediante riproduzione o trasmissione, o l'inaccessibilità al legittimo titolare dei dati o dei programmi informatici.

La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3) »;

3) nella rubrica, le parole: « utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità » sono sostituite dalle seguenti: « pubblici o di interesse pubblico »;

p) all'articolo 635-quater:

1) al primo comma, le parole: « da uno a cinque anni » sono sostituite dalle seguenti: « da due a sei anni »;

2) il secondo comma è sostituito dal seguente:

« La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato »;

q) dopo l'articolo 635-quater è inserito il seguente:

« Art. 635-quater.1. - (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) - Chiunque, allo scopo di danneggiare illecitamente un sistema informatico o telematico ovvero le informazioni, i dati o i programmi in esso contenuti o ad esso pertinenti ovvero di favorire l'interruzione, totale o parziale, o l'alterazione del suo funzionamento, abusivamente si procura, detiene, produce, riproduce, importa, diffonde, comunica, consegna o, comunque, mette in altro modo a disposizione di altri o installa apparecchiature, dispositivi o programmi informatici è punito con la reclusione fino a due anni e con la multa fino a euro 10.329.

La pena è della reclusione da due a sei anni quando ricorre taluna delle circostanze di cui all'articolo 615-ter, secondo comma, numero 1).

La pena è della reclusione da tre a otto anni quando il fatto riguarda i sistemi informatici o telematici di cui all'articolo 615-ter, terzo comma »;

r) l'articolo 635-quinquies è sostituito dal seguente:

« Art. 635-quinquies. - (Danneggiamento di sistemi informatici o telematici di pubblico interesse) - Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di cui all'articolo 635-bis ovvero attraverso l'introduzione o la trasmissione di dati, informazioni o programmi, compie atti diretti a distruggere, danneggiare o rendere, in tutto o in parte, inservibili sistemi informatici o telematici di pubblico interesse ovvero ad ostacolarne gravemente il funzionamento è punito con la pena della reclusione da due a sei anni.

La pena è della reclusione da tre a otto anni:

2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato;

3) se dal fatto deriva la distruzione, il deterioramento, la cancellazione, l'alterazione o la soppressione delle informazioni, dei dati o dei programmi informatici.

La pena è della reclusione da quattro a dodici anni quando taluna delle circostanze di cui ai numeri 1) e 2) del secondo comma concorre con taluna delle circostanze di cui al numero 3) »;

s) nel capo I del titolo tredicesimo del libro secondo, dopo l'articolo 639-bis è aggiunto il seguente:

« Art. 639-ter. - (Circostanze attenuanti) - Le pene comminate per i delitti di cui agli articoli 629, terzo comma, 635-ter, 635-quater.1 e 635-quinquies sono diminuite quando, per la natura, la specie, i mezzi, le modalità o le circostanze dell'azione ovvero per la particolare tenuità del danno o del pericolo, il fatto risulti di lieve entità.

Non si applica il divieto di cui all'articolo 69, quarto comma »;

t) all'articolo 640:

1) al secondo comma è aggiunto, in fine, il seguente numero:

« 2-ter) se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione »;

2) al terzo comma, le parole: « capoverso precedente » sono sostituite dalle seguenti: « secondo comma, a eccezione di quella di cui al numero 2-ter) »;

u) all'articolo 640-quater, le parole: « numero 1 » sono sostituite dalle seguenti: « numeri 1 e 2-ter) ».

EMENDAMENTI E ORDINI DEL GIORNO

16.2

Respinto

Al comma 1, alla lettera a) premettere la seguente:

«0a) all'articolo 52, secondo comma, apportare le seguenti modificazioni:

1) dopo le parole: "Nei casi previsti dall'articolo 614, primo e secondo comma" sono aggiunte le seguenti: ", nonché dagli articoli 615-ter, 615-quater, 615-quinquies, 635-bis, 635-quater, 635-quater.1,";

2) dopo le parole: "usa un'arma legittimamente detenuta o altro mezzo" sono aggiunte le seguenti: ", anche informatico,"».

16.3

Respinto

Al comma 1, lettera c), sopprimere il numero 1)

.________________

(*) Firma aggiunta in corso di seduta

16.6

Respinto

Al comma 1, aggiungere, in fine, la seguente lettera: «u-bis) all'articolo 640-quinquies, le parole: "fino a tre anni" sono sostituite dalle seguenti: "da due a cinque anni" e le parole: "da 51 a 1.032 euro" sono sostituite dalle seguenti: "da 500 a 5.000 euro"».

G16.100 (già 16.4)

Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

V. testo 2

Il Senato,

premesso che:

il disegno di legge in esame reca importanti disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici;

in particolare, l'articolo 16 reca modifiche al codice penale in materia di prevenzione e contrasto dei reati informatici ampliando l'ambito di applicazione di alcune fattispecie disciplinate dal codice e penale e inasprendo il trattamento sanzionatorio previsto con riferimento ai reati informatici o perpetrati con mezzi informatici;

impegna il Governo:

ad introdurre ipotesi di non punibilità per chi ha commesso il fatto, nei casi previsti dagli articoli 615-ter, 615-quater, 615-quinquies, 635-bis, 635-quater, 635-quater.1, in quanto costretto dalla necessità di difendere un diritto proprio od altrui contro il pericolo attuale di una offesa ingiusta ai sensi dell'articolo 52 primo e secondo comma, qualora il mezzo idoneo utilizzato al fine di difendere sia quello informatico.

G16.100 (testo 2)

Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Accolto

Il Senato,

premesso che:

il disegno di legge in esame reca importanti disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici;

impegna il Governo:

a valutare l'opportunità di introdurre ipotesi di non punibilità per chi ha commesso il fatto, nei casi previsti dagli articoli 615-ter, 615-quater, 615-quinquies, 635-bis, 635-quater, 635-quater.1, in quanto costretto dalla necessità di difendere un diritto proprio od altrui contro il pericolo attuale di una offesa ingiusta ai sensi dell'articolo 52 primo e secondo comma, qualora il mezzo idoneo utilizzato al fine di difendere sia quello informatico.

G16.101

V. testo 2

Il Senato,

premesso che:

l'articolo 16 del decreto legge in fase di conversione reca modifiche al codice penale in materia di prevenzione e contrasto dei reati informatici;

il comma 1, lett. s), del suddetto articolo prevede l'inserimento nel codice penale dell'art. 639-ter in materia di circostanze attenuanti per i delitti di cui agli artt. del codice penale 629, terzo comma (Estorsione mediante reati informatici), 635-ter (Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità), 635-quater.1 (Detenzione, diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico) e 635-quinquies, come modificato alla lett. q) (Danneggiamento di sistemi informatici o telematici di pubblico interesse);

oltre alle circostanze attenuanti introdotte appare necessario prevedere l'applicazione della scriminante della legittima difesa laddove il soggetto che pone in essere le condotte descritte stia agendo nell'esclusivo interesse a difendere la propria incolumità;

impegna il Governo:

a stabilire che per gli articoli 615-ter, 615-quater, 615-quinquies, 635-bis, 635-quater, e 635-quater.1 c.p., i quali trattano di reati che includono l'accesso abusivo a sistemi informatici, la detenzione e diffusione abusiva di codici di accesso, la diffusione di malware, e il danneggiamento informatico, si applichi la scriminante della legittima difesa di cui all'articolo 52 c.p.

G16.101 (testo 2)

Accolto

Il Senato,

premesso che:

l'articolo 16 del decreto legge in fase di conversione reca modifiche al codice penale in materia di prevenzione e contrasto dei reati informatici;

impegna il Governo:

a valutare l'opportunità di stabilire che per gli articoli 615-ter, 615-quater, 615-quinquies, 635-bis, 635-quater, e 635-quater.1 c.p., i quali trattano di reati che includono l'accesso abusivo a sistemi informatici, la detenzione e diffusione abusiva di codici di accesso, la diffusione di malware, e il danneggiamento informatico, si applichi la scriminante della legittima difesa di cui all'articolo 52 c.p.

ARTICOLO 17 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 17.

Approvato

(Modifiche al codice di procedura penale)

1. Al codice di procedura penale sono apportate le seguenti modificazioni:

a) all'articolo 51, comma 3-quinquies:

1) la parola: « 615-quinquies, » è soppressa;

2) dopo la parola: « 635-quater, » sono inserite le seguenti: « 635-quater.1, 635-quinquies, »;

3) dopo le parole: « del codice penale, » sono inserite le seguenti: « o per il delitto di cui all'articolo 1, comma 11, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, »;

b) all'articolo 406, comma 5-bis, le parole: « numeri 4 e 7-bis » sono sostituite dalle seguenti: « numeri 4), 7-bis) e 7-ter) »;

c) all'articolo 407, comma 2, lettera a), dopo il numero 7-bis) è aggiunto il seguente:

« 7-ter) delitti previsti dagli articoli 615-ter, 615-quater, 617-ter, 617-quater, 617-quinquies, 617-sexies, 635-bis, 635-ter, 635-quater, 635-quater.1 e 635-quinquies del codice penale, quando il fatto è commesso in danno di sistemi informatici o telematici di interesse militare o relativi all'ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico ».

EMENDAMENTI

17.1

Respinto

Al comma 1, alla lettera a), premettere la seguente: «0a) all'articolo 8, è aggiunto, in fine, il seguente comma: "4-bis. Se si tratta di reati informatici, la competenza è del giudice del luogo dove si trova il sistema informatico"».

17.2

Respinto

Al comma 1, lettera a), al numero 1), premettere, il seguente: «01) dopo le parole: "di cui agli articoli 414-bis," sono inserite le seguenti: "493-ter, 493-quater,"».

17.3

Respinto

Al comma 1, lettera a), sostituire il numero 2) con il seguente: «2) le parole: "635-bis, 635-ter, 635-quater" sono sostituite dalle seguenti: "629, 635-bis, 635-ter, 635-quater, 635-quater.1, 635-quinquies,"».

17.4

Respinto

Al comma 1, lettera a), numero 3), aggiungere, in fine, le seguenti parole: «nonché nei casi di cui agli articoli 167, 167-bis e 167-ter del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196,».

17.5

Respinto

Al comma 1, dopo la lettera a), inserire la seguente: «a-bis) all'articolo 371-bis, comma 1, primo periodo, sono aggiunte, in fine, le seguenti parole: "nonché di contrasto alla criminalità informatica"».

17.6

Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Respinto

Al comma 1, lettera c), capoverso «7-ter.», dopo le parole: «635-quinquies del codice penale» inserire le seguenti: «nonché il delitto di cui all'articolo 167-ter del decreto legislativo 30 giugno 2003, n. 196,».

17.7

Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Respinto

Dopo il comma 1 aggiungere il seguente: «1-bis. Nei casi dei delitti di cui agli articoli 628, 493-ter, 493-quater del codice penale e 167, 167-bis, 167-ter del decreto legislativo 30 giugno 2003, n. 196, si applicano le disposizioni di cui all'articolo 51, comma 3-quinquies».

17.0.1

Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Respinto

Dopo l'articolo, inserire il seguente:

«Art. 17-bis.

(Competenza territoriale in materia di reati informatici)

1. Per i procedimenti penali per i reati di cui alla presente legge è competente il giudice distrettuale del luogo in cui si trova il sistema informatico.

2. Nei casi in cui si tratti di più sistemi informatici coinvolti nel reato si applica l'articolo 9, comma 3, del codice di procedura penale».

ARTICOLI 18 E 19 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 18.

Approvato

(Modifiche al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82)

1. Al decreto-legge 15 gennaio 1991, n. 8, convertito, con modificazioni, dalla legge 15 marzo 1991, n. 82, sono apportate le seguenti modificazioni:

a) all'articolo 9, comma 2, dopo le parole: « 51, comma 3-bis, » sono inserite le seguenti: « o all'articolo 371-bis, comma 4-bis, »;

b) all'articolo 11, comma 2, dopo le parole: « 51, commi 3-bis e 3-quater, » sono inserite le seguenti: « o all'articolo 371-bis, comma 4-bis, »;

c) all'articolo 16-nonies, comma 1, dopo le parole: « 51, comma 3-bis, » sono inserite le seguenti: « o all'articolo 371-bis, comma 4-bis, ».

Art. 19.

Approvato

(Modifica al decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203)

1. All'articolo 13 del decreto-legge 13 maggio 1991, n. 152, convertito, con modificazioni, dalla legge 12 luglio 1991, n. 203, dopo il comma 3 è aggiunto il seguente:

« 3-bis. Le disposizioni dei commi 1, 2 e 3 si applicano anche quando si procede in relazione a taluno dei delitti, consumati o tentati, previsti dall'articolo 371-bis, comma 4-bis, del codice di procedura penale ».

EMENDAMENTI

19.1

Non posto in votazione (**)

Sopprimere l'articolo.

________________

(*) Firma aggiunta in corso di seduta

(**) Approvato il mantenimento dell'articolo

19.0.1

Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Respinto

Dopo l'articolo, inserire il seguente:

«Art. 19-bis.

(Modifiche al decreto legislativo 30 giugno 2003 n. 196)

1. All'articolo 167, al comma 4, del decreto legislativo 30 giugno 2003 n. 196, dopo le parole: "reati di cui ai commi 1, 2 e 3," sono inserite le seguenti: "nonché nei casi previsti dagli articoli 615-ter, 615-quater, 615-quinquies, 635-bis, 635-quater, 635-quater.1,"».

19.0.2

Respinto

Dopo l'articolo, inserire il seguente:

«Art. 19-bis.

(Modifiche al decreto legislativo 30 giugno 2003, n. 196 del Codice in materia di protezione dei dati personali)

1. All'articolo 167-ter, comma 1, del decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali, le parole: "da uno a quattro" sono sostituite dalle seguenti: "da due a sei"».

ARTICOLI DA 20 A 22 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 20.

Approvato

(Modifiche al decreto legislativo 8 giugno 2001, n. 231)

1. All'articolo 24-bis del decreto legislativo 8 giugno 2001, n. 231, sono apportate le seguenti modificazioni:

a) al comma 1, le parole: « da cento a cinquecento quote » sono sostituite dalle seguenti: « da duecento a settecento quote »;

b) dopo il comma 1 è inserito il seguente:

« 1-bis. In relazione alla commissione del delitto di cui all'articolo 629, terzo comma, del codice penale, si applica all'ente la sanzione pecuniaria da trecento a ottocento quote »;

c) al comma 2, la parola: « 615-quinquies » è sostituita dalla seguente: « 635-quater.1 » e le parole: « sino a trecento quote » sono sostituite dalle seguenti: « sino a quattrocento quote »;

d) al comma 4, dopo il primo periodo è inserito il seguente: « Nei casi di condanna per il delitto indicato nel comma 1-bis si applicano le sanzioni interdittive previste dall'articolo 9, comma 2, per una durata non inferiore a due anni ».

Art. 21.

Approvato

(Modifica alla legge 11 gennaio 2018, n. 6)

1. All'articolo 11, comma 2, della legge 11 gennaio 2018, n. 6, dopo le parole: « 51, commi 3-bis, 3-ter e 3-quater, » sono inserite le seguenti: « o all'articolo 371-bis, comma 4-bis, ».

Art. 22.

Approvato

(Modifiche al decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109)

1. All'articolo 17 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, sono apportate le seguenti modificazioni:

a) il comma 4 è sostituito dal seguente:

« 4. Il personale dell'Agenzia addetto al CSIRT Italia, nello svolgimento delle proprie funzioni, riveste la qualifica di pubblico ufficiale. La trasmissione immediata delle notifiche di incidente ricevute dal CSIRT Italia all'organo centrale del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, costituisce adempimento dell'obbligo di cui all'articolo 331 del codice di procedura penale »;

b) dopo il comma 4-bis sono inseriti i seguenti:

« 4-bis.1. Nei casi in cui l'Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale e in ogni caso quando risulti interessato taluno dei soggetti di cui all'articolo 1, comma 2-bis, del decreto-legge perimetro, all'articolo 3, comma 1, lettere g) e i), del decreto legislativo NIS ovvero all'articolo 40, comma 3, alinea, del codice delle comunicazioni elettroniche, di cui al decreto legislativo 1° agosto 2003, n. 259, fermo restando quanto previsto dal comma 4 del presente articolo, procede alle attività di cui all'articolo 7, comma 1, lettere n) e n-bis), e ne informa senza ritardo il procuratore nazionale antimafia e antiterrorismo, ai sensi del comma 4-bis del presente articolo.

4-bis.2. Fuori dei casi di cui al comma 4-bis.1, quando acquisisce la notizia dei delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, il pubblico ministero ne dà tempestiva informazione all'Agenzia e assicura, altresì, il raccordo informativo con l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione ai fini di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155.

4-bis.3. In ogni caso, il pubblico ministero impartisce le disposizioni necessarie ad assicurare che gli accertamenti urgenti siano compiuti tenendo conto delle attività svolte dall'Agenzia, a fini di resilienza, di cui all'articolo 7, comma 1, lettere n) e n-bis), e può disporre il differimento di una o più delle predette attività, con provvedimento motivato adottato senza ritardo, per evitare un grave pregiudizio per il corso delle indagini.

4-bis.4. Il pubblico ministero, quando procede ad accertamenti tecnici irripetibili in relazione ai delitti di cui all'articolo 371-bis, comma 4-bis, del codice di procedura penale, informa senza ritardo l'Agenzia, che mediante propri rappresentanti può assistere al conferimento dell'incarico e partecipare agli accertamenti. Le disposizioni del primo periodo si applicano anche quando agli accertamenti si procede nelle forme dell'incidente probatorio ».

EMENDAMENTI

22.1

Non posto in votazione (*)

Sopprimere l'articolo.

________________

(*) Approvato il mantenimento dell'articolo

22.0.1

Respinto

Dopo l'articolo, inserire il seguente:

«Art. 22-bis.

(Modifiche alla legge 14 luglio 2023, n. 93)

1. All'articolo 7 della legge 14 luglio 2023, n. 93 sono apportate le seguenti modificazioni:

a) al comma 2, le parole da: "un contributo" fino alla fine del comma, sono sostituite dalle seguenti: "corrispondente riduzione del fondo di cui all'articolo 1, comma 200, della legge 23 dicembre 2014, n. 190";

b) i commi 3 e 4 sono soppressi».

ARTICOLO 23 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 23.

Approvato

(Modifiche all'articolo 7 della legge 12 agosto 1962, n. 1311)

1. All'articolo 7 della legge 12 agosto 1962, n. 1311, sono apportate le seguenti modificazioni:

a) al primo comma è aggiunto, in fine, il seguente periodo: « Nelle ispezioni è verificato altresì il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari »;

b) al terzo comma, le parole: « degli stessi nonché » sono sostituite dalle seguenti: « degli stessi, » e sono aggiunte, in fine, le seguenti parole: « nonché il rispetto delle prescrizioni di sicurezza negli accessi alle banche di dati in uso presso gli uffici giudiziari ».

EMENDAMENTI E ORDINE DEL GIORNO

23.1

Scarpinato, Maiorino, Lopreiato, Bilotti, Cataldi (*)

Respinto

Sopprimere l'articolo.

________________

(*) Aggiungono la firma in corso di seduta il senatore Magni e i restanti componenti del Gruppo Misto-AVS

23.100

Scarpinato, Lopreiato, Bilotti, Maiorino, Cataldi (*)

Respinto

Al comma 1, apportare le seguenti modificazioni:

a) alla lettera a), aggiungere, in fine, le seguenti parole: «esclusivamente in relazione ai procedimenti per i quali sono cessate le esigenze di segreto istruttorio.»;

b) alla lettera b), aggiungere, in fine, le seguenti parole: «esclusivamente in relazione ai procedimenti per i quali sono cessate le esigenze di segreto istruttorio.»

________________

(*) Aggiungono la firma in corso di seduta il senatore Magni e i restanti componenti del Gruppo Misto-AVS

G23.100 (già 23.0.1)

Giorgis, Parrini, Meloni, Valente

V. testo 2

Il Senato,

in sede di esame del disegno di legge recante "Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici" (A.S. 1143);

premesso che:

occorre definire con urgenza una strategia nazionale per il contrasto agli attacchi informatici di tipo ransomware che preveda:

a) che l'attacco ransomware condotto contro, e che generi effetti sui soggetti pubblici e privati debba essere qualificato giuridicamente, indipendentemente dal soggetto agente, come un incidente o una compromissione che comporta un pregiudizio per la sicurezza nazionale, così come definiti rispettivamente nell'articolo 1, comma 1, lettere h), g) e f), del decreto del Presidente del consiglio dei ministri 30 luglio 2020, n. 131;

b) che l'attacco ransomware condotto contro, e che generi effetti sui soggetti pubblici e privati non ricompresi nella lettera a), debba essere qualificato giuridicamente, indipendentemente dal soggetto agente, come una condotta con finalità di terrorismo ai sensi dell'articolo 270-sexies del codice penale;

c) che vanno applicate le misure di intelligence di contrasto in ambito cibernetico previste dall'articolo 7-ter al decreto-legge del 30 ottobre 2015, n. 174 e dai suoi decreti attuativi alla fattispecie di cui alla lettera a);

d) che vanno applicato tutti i poteri e le garanzie investigative per le Forze dell'Ordine già previste nel nostro ordinamento per il contrato alle condotte con finalità di terrorismo alle fattispecie di cui alla lettera b);

e) un obbligo di informazione ai soggetti di cui alle precedenti lettere a) e b), dell'attacco ransomware subito, entro 24 ore dal momento in cui ne sono venuti a conoscenza, sia l'Agenzia per la Cybersicurezza Nazionale, che l'organo del Ministero dell'interno per la sicurezza e per la regolarità dei servizi di telecomunicazione di cui all'articolo 7-bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, pena una sanzione amministrativa commisurata alla violazione, e fermi restando gli obblighi di cui all'articolo 3 del decreto del Presidente del consiglio dei ministri 14 aprile 2021, n. 81;

f) un obbligo per l'Agenzia per la Cybersicurezza Nazionale di porre in essere un framework di supporto per i soggetti di cui alle lettere a) e b) sul tema degli attacchi ransomware, che si basi almeno sulle seguenti azioni: (1) verifica preliminare della potenziale esposizione di tali soggetti a questo genere di attacchi informatici, (2) predisposizione di azioni obbligatorie in materia di igiene e resilienza cibernetica per tali soggetti al fine di provare ad evitare o comunque diminuire gli effetti di questo genere di attacchi informatici, (3) pianificazione e predisposizione di azioni di supporto per tali soggetti durante la gestione delle situazioni di crisi cibernetica derivanti da questo genere di attacchi informatici, (4) pianificazione e predisposizione per tali soggetti di azioni di supporto per il recupero dell'operatività e/o di contenimento degli effetti negativi in conseguenza di questo genere di attacchi informatici;

g) incentivi sul piano finanziario all'Agenzia per la Cybersicurezza Nazionale per la realizzazione delle attività di cui alla lettera f);

h) l'obbligo per il Ministero degli affari esteri e della cooperazione internazionale di rilasciare dichiarazioni formali attraverso i canali diplomatici, in cui si afferma che il Governo prenderà di mira le organizzazioni criminali che utilizzano attacchi ransomware a livello internazionale utilizzando alcuni strumenti di potere nazionale;

i) l'istituzione di una task-force nazionale per il contrasto agli attacchi ransomware, collocata nel Nucleo per la Cybersicurezza (NCS), che svolga il ruolo (1) di coordinamento delle attività di cui alle lettere c) e d); (2) di attuazione di quanto previsto alla lettera f); (3) di punto di riferimento per i soggetti colpiti durante la gestione delle emergenze ransomware e (4) di struttura per la condivisione delle informazioni sugli attacchi;

l) la creazione di un Fondo nazionale di risposta agli attacchi ransomware per supportare eventuali aziende nel recupero dagli effetti dell'attacco e disincentivare così il pagamento del riscatto;

m) un ingaggio delle compagnie assicurative e riassicurative al fine di sensibilizzarle verso l'inopportunità di coprire a livello assicurativo il pagamento di un riscatto a seguito di un attacco ransomware;

impegna il Governo:

a definire con urgenza una strategia nazionale per il contrasto agli attacchi informatici di tipo ransomware assicurando, altresì, la propria presenza in tutti i tavoli europei e internazionali dove si discuta a livello istituzionale dei temi legati ai ransomware, al fine di contribuire efficacemente alla creazione e all'allineamento delle politiche comuni degli Stati membri.

G23.100 (testo 2)

Giorgis, Parrini, Meloni, Valente (*)

Accolto

Il Senato,

in sede di esame del disegno di legge recante "Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici" (A.S. 1143);

premesso che:

occorre definire con urgenza una strategia nazionale per il contrasto agli attacchi informatici di tipo ransomware che preveda:

g) incentivi sul piano finanziario all'Agenzia per la Cybersicurezza Nazionale per la realizzazione delle attività di cui alla lettera f);

l) la creazione di un Fondo nazionale di risposta agli attacchi ransomware per supportare eventuali aziende nel recupero dagli effetti dell'attacco e disincentivare così il pagamento del riscatto;

impegna il Governo:

________________

(*) Aggiungono la firma in corso di seduta il senatore Magni e i restanti componenti del Gruppo Misto-AVS, il senatore Borghi Enrico e i restanti componenti del Gruppo IV-C-RE e il senatore Patton e i restanti componenti del Gruppo Per le Autonomie (SVP-PATT, Campobase)

ARTICOLO 24 NEL TESTO APPROVATO DALLA CAMERA DEI DEPUTATI

Art. 24.

Approvato

(Disposizioni finanziarie)

1. Dall'attuazione della presente legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche competenti provvedono all'adempimento dei compiti derivanti dalla presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

2. I proventi delle sanzioni di cui all'articolo 1, comma 6, della presente legge confluiscono nelle entrate dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.

EMENDAMENTI

24.1

Bazoli, Giorgis, Parrini, Meloni, Mirabelli, Rossomando, Valente, Verini

Respinto

Sopprimere il comma 1.

24.2

Basso, Giorgis, Parrini, Meloni, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Sostituire il comma 1 con il seguente:

«1. Presso il Ministero dell'economia e delle finanze è istituito un Fondo per la sicurezza informatica, per l'attuazione delle disposizioni di cui alla presente legge, cui confluiscono le risorse annualmente stanziate dalla legge di bilancio per un importo comunque non inferiore all'1,2 per cento degli investimenti nazionali lordi. Il Ministro dell'economia e delle finanze con proprio decreto, sulla base delle risorse rese disponibili annualmente ai sensi del presente comma, assegna lo stanziamento a favore dell'Agenzia per la cybersicurezza nazionale di cui all'articolo 11, comma 2, lettera f), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109.».

24.3

Parrini, Giorgis, Meloni, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Sostituire il comma 1 con il seguente:

«1. Agli oneri derivanti dall'attuazione della presente legge, pari a 100 milioni di euro per ciascuno degli anni 2024 e 2025, si provvede mediante corrispondente riduzione del Fondo per interventi strutturali di politica economica di cui all'articolo 10, comma 5, del decreto-legge 29 novembre 2004, n. 282, convertito, con modificazioni, dalla legge 27 dicembre 2004, n. 307.».

24.4

Meloni, Giorgis, Parrini, Valente, Bazoli, Mirabelli, Rossomando, Verini

Respinto

Al comma 2, dopo le parole: «comma 6, della presente legge» inserire le seguenti: «, nonché le risorse derivanti dai ribassi d'asta relativi agli interventi ad ogni titolo rientranti fra i progetti PNRR di titolarità delle amministrazioni centrali,».

24.5