da Redazione | Ott 15, 2024 | Diritto d'Impresa, Notizie e Aggiornamenti Legislativi
Il Cyber Resilience Act rappresenta una delle normative più rilevanti nell’ambito della sicurezza informatica dell’Unione Europea, destinata a incidere profondamente su tutti gli operatori economici che immettono sul mercato prodotti con elementi digitali. La proposta di Regolamento, passata al Parlamento Europeo, è stata approvata definitivamente dal Consiglio lo scorso 10 ottobre (vedi Comunicato stampa). L’atto sarà pubblicato ufficialmente in Gazzetta nelle prossime settimane, dopo la firma congiunta da parte dei Presidenti del Parlamento e del Consiglio. Scarica qui il testo approvato: Cyber Resilience Act_text_EN
Questa normativa avrà un impatto considerevole sul mercato unico europeo, interessando un numero stimato di circa 4 milioni di imprese. Tali imprese, appartenenti a diversi settori della filiera di commercializzazione, dovranno conformarsi ai requisiti di sicurezza imposti dal regolamento.
L’obiettivo centrale del Cyber Resilience Act è quello di introdurre requisiti essenziali di sicurezza informatica per garantire la protezione delle infrastrutture digitali e la resilienza delle tecnologie utilizzate in tutta l’Unione Europea.
Questo regolamento, concepito per rispondere alle crescenti minacce cyber, si inserisce in un contesto normativo che mira a rafforzare la sicurezza informatica su vasta scala, estendendo i suoi effetti a un’ampia gamma di settori economici, compresi quelli che utilizzano software open source. Attraverso l’introduzione di obblighi specifici per i diversi operatori della filiera, il Cyber Resilience Act intende garantire che tutti i prodotti digitali commercializzati siano conformi a standard elevati di sicurezza.
Il presente articolo si propone di esaminare in modo approfondito la struttura del Cyber Resilience Act, analizzando i destinatari della normativa, gli obblighi posti in capo agli operatori economici, le procedure di sorveglianza del mercato e le sanzioni previste per la mancata conformità. Particolare attenzione sarà dedicata alla descrizione delle disposizioni normative che regolano l’immissione sul mercato dei prodotti digitali, nonché agli obblighi di conformità che gli operatori dovranno rispettare per evitare onerose sanzioni pecuniarie.
Perché il Cyber Resilience Act? Quando entrerà in vigore?
Il Cyber Resilience Act rappresenta una risposta necessaria e proporzionata alle sfide poste dal panorama digitale attuale, caratterizzato da una crescente interconnessione dei dispositivi e da una vulnerabilità strutturale dei prodotti con elementi digitali.
L’Unione Europea ha ritenuto che le normative esistenti, come il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Direttiva NIS, non fossero sufficienti a fronteggiare le minacce emergenti legate alla sicurezza dei prodotti digitali. Sebbene queste normative abbiano posto le basi per la protezione dei dati e la sicurezza delle reti, mancava una regolamentazione dedicata a garantire che i prodotti immessi sul mercato fossero sicuri, resilienti e in grado di fronteggiare le vulnerabilità informatiche.
In questo contesto, il Cyber Resilience Act si propone di colmare questa lacuna normativa, stabilendo requisiti minimi di sicurezza informatica per tutti i prodotti con elementi digitali, lungo l’intera filiera di produzione e commercializzazione. La proposta risponde all’evidente necessità di un quadro giuridico che imponga obblighi precisi agli operatori economici, garantendo che i prodotti non solo siano sicuri al momento dell’immissione sul mercato, ma che vengano mantenuti tali attraverso aggiornamenti e gestione delle vulnerabilità.
Il meccanismo di entrata in vigore del Cyber Resilience Act è strutturato in modo progressivo per consentire alle imprese di adeguarsi senza subire eccessivi disagi operativi. Il regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta Ufficiale dell’Unione Europea, ma le disposizioni diverranno operative in fasi diverse. I principali obblighi, come la conformità alle misure di sicurezza di base, saranno pienamente applicabili dopo 36 mesi.
Altre disposizioni chiave, come quelle relative agli obblighi di notifica delle vulnerabilità e agli incidenti di sicurezza, entreranno in vigore entro 21 mesi. Infine, le regole più specifiche, che riguardano la sorveglianza del mercato saranno applicabili entro 18 mesi.
Questo meccanismo a tappe risponde alla necessità di dare alle imprese il tempo necessario per adeguarsi alle nuove disposizioni del Cyber Resilience Act e implementare processi e tecnologie in grado di rispettare gli standard di sicurezza informatica imposti dalla normativa.
Oggetto del Regolamento, ambito di applicazione ed esclusioni
Il Cyber Resilience Act ha come obiettivo principale quello di garantire la sicurezza informatica dei prodotti con elementi digitali immessi sul mercato dell’Unione Europea. Il regolamento stabilisce i requisiti essenziali che tali prodotti devono soddisfare per assicurare la protezione contro attacchi informatici e la resilienza dei sistemi informatici coinvolti. L’ambito di applicazione del regolamento è ampio e include qualsiasi prodotto con elementi digitali che venga messo a disposizione sul mercato, sia che si tratti di hardware, software o di componenti di software o hardware, forniti separatamente.
L’articolo 2 del Cyber Resilience Act stabilisce, inoltre, alcune eccezioni significative. In particolare, i prodotti sviluppati o modificati specificamente per la sicurezza nazionale o per la difesa non rientrano nell’ambito di applicazione del Cyber Resilience Act. Tale esclusione è giustificata dalla necessità di rispondere a esigenze particolari di sicurezza che non possono essere adeguatamente coperte dalla normativa generale in materia di prodotti digitali. Altri prodotti esclusi sono quelli progettati per gestire informazioni classificate e quelli sviluppati per scopi personali e non commerciali.
Una distinzione fondamentale riguarda i prodotti che, pur rientrando nella definizione generale di “prodotto con elementi digitali“, sono già soggetti ad altre normative dell’Unione Europea che disciplinano la sicurezza informatica in modo specifico. Tra questi si possono citare, a titolo d’esempio, i dispositivi medici, e i veicoli a motore. In questi casi, il Regolamento non si applicherà direttamente, poiché tali prodotti devono già conformarsi a normative settoriali più specifiche, che stabiliscono requisiti di sicurezza ad hoc.
Requisiti per l’immissione sul mercato dei prodotti con elementi digitali
Il Cyber Resilience Act stabilisce requisiti precisi per l’immissione sul mercato dei prodotti con elementi digitali, al fine di garantire la sicurezza informatica lungo tutto il ciclo di vita del prodotto. Gli articoli 6, 7 e 8 del regolamento, insieme all’Annex I, definiscono in dettaglio le condizioni che i prodotti devono rispettare per essere considerati conformi e sicuri.
L’Articolo 6 dispone che i prodotti con elementi digitali possono essere immessi sul mercato solo se soddisfano i requisiti essenziali di sicurezza elencati nell’Annex I, Parte I, a condizione che siano correttamente installati, mantenuti e utilizzati per lo scopo previsto.
Tali requisiti includono la capacità del prodotto di affrontare in modo efficace le vulnerabilità conosciute e la necessità di poter installare aggiornamenti di sicurezza tempestivi. È inoltre previsto che i processi interni implementati dal produttore siano conformi ai requisiti specifici di sicurezza, garantendo la sicurezza dei dati e delle funzioni sensibili durante l’intero ciclo di vita del prodotto.
L’Articolo 7 introduce il concetto di prodotti importanti con elementi digitali. Questi prodotti, che svolgono funzioni critiche per la sicurezza informatica di altri sistemi, sono soggetti a procedure di valutazione della conformità più stringenti, come previsto dall’articolo 32 del Regolamento. La loro classificazione è basata sui rischi che essi rappresentano per la sicurezza informatica complessiva, e include prodotti utilizzati per la protezione di reti, la gestione di dati sensibili o la prevenzione delle intrusioni.
L’Articolo 8 del Cyber Resilience Act disciplina invece i prodotti critici con elementi digitali, che richiedono una certificazione di sicurezza informatica di livello “sostanziale” o superiore. Tali prodotti, come quelli utilizzati in contesti di infrastrutture essenziali o in settori particolarmente vulnerabili, devono dimostrare una conformità ai requisiti essenziali di sicurezza attraverso un iter di certificazione riconosciuto a livello europeo. Questo meccanismo di certificazione è volto a garantire che i prodotti critici possano offrire un elevato livello di protezione contro gli attacchi informatici.
Obblighi per produttori, importatori e distributori, e per i responsabili di software open source
Il Cyber Resilience Act impone obblighi stringenti a carico di tutti gli operatori economici coinvolti nella commercializzazione di prodotti con elementi digitali. Tali obblighi si applicano a produttori, importatori e distributori, ciascuno dei quali ha responsabilità precise per garantire che i prodotti immessi sul mercato dell’Unione Europea siano conformi ai requisiti di sicurezza previsti dal regolamento.
I produttori sono i principali responsabili della conformità del prodotto. Essi devono assicurare che i loro prodotti con elementi digitali siano progettati, sviluppati e prodotti nel rispetto dei requisiti essenziali di sicurezza informatica, come stabilito nell’Annex I del Cyber Resilience Act. I produttori devono inoltre mantenere una documentazione tecnica dettagliata che dimostri la conformità del prodotto ai requisiti normativi, inclusi i processi adottati per gestire le vulnerabilità.
Un aspetto fondamentale è l’obbligo di garantire la capacità del prodotto di ricevere aggiornamenti di sicurezza tempestivi, e di mantenere tali aggiornamenti disponibili per almeno cinque anni dall’immissione del prodotto sul mercato o per l’intera durata del supporto garantito dal produttore. La mancata gestione delle vulnerabilità sfruttate attivamente o il mancato aggiornamento del prodotto può comportare sanzioni significative.
Gli importatori devono verificare che i prodotti che intendono immettere sul mercato siano conformi ai requisiti del regolamento, assicurandosi che il produttore abbia eseguito correttamente le valutazioni di conformità e che sia disponibile la documentazione tecnica. Gli importatori sono inoltre tenuti a garantire che i prodotti siano accompagnati dalle informazioni necessarie, comprese le istruzioni per l’uso e le avvertenze relative alla sicurezza.
I distributori devono agire con la dovuta diligenza per garantire che i prodotti da loro distribuiti siano conformi ai requisiti essenziali di sicurezza informatica. Devono collaborare con i produttori e gli importatori per assicurarsi che le procedure di conformità siano state seguite e che i prodotti siano sicuri prima della loro commercializzazione.
Un altro aspetto rilevante del Cyber Resilience Act riguarda i responsabili del software open source. Generalmente, i software open source non commerciali, sviluppati da individui o comunità per scopi non economici, sono esclusi dal campo di applicazione del regolamento. Tuttavia, nel momento in cui il software open source è utilizzato nell’ambito di un’attività commerciale, o se è incluso in prodotti con elementi digitali immessi sul mercato, esso rientra nell’ambito di applicazione del regolamento e deve rispettare i requisiti di sicurezza.
Il regolamento introduce inoltre un obbligo di notifica per le vulnerabilità sfruttate attivamente e per gli incidenti gravi che potrebbero compromettere la sicurezza. La notifica è obbligatoria per i produttori in caso di vulnerabilità attivamente sfruttate, e deve essere effettuata entro 24 ore dall’accertamento del fatto. Al contrario, la notifica delle vulnerabilità non sfruttate attivamente è facoltativa, ma fortemente raccomandata per favorire una gestione tempestiva dei rischi informatici.
Procedure di conformità e organismi notificati
I Capitoli III e IV del Cyber Resilience Act disciplinano le procedure di conformità dei prodotti con elementi digitali e le disposizioni relative agli organismi notificati di valutazione della conformità. In particolare, il Capitolo III stabilisce che i produttori devono garantire che i loro prodotti soddisfino i requisiti essenziali di sicurezza previsti dal regolamento prima dell’immissione sul mercato.
Questo processo include la preparazione di una documentazione tecnica che dimostri la conformità del prodotto e la redazione di una dichiarazione di conformità UE. Inoltre, il marchio CE deve essere apposto in modo visibile e leggibile, indicando che il prodotto è conforme agli standard europei.
Il Capitolo IV del Cyber Resilience Act regola la notifica degli organismi di valutazione della conformità, stabilendo che tali organismi devono essere designati dagli Stati membri e soddisfare requisiti specifici di competenza e imparzialità. Gli organismi notificati sono responsabili della verifica della conformità dei prodotti più critici attraverso procedure di controllo approfondite, garantendo che essi rispettino gli standard di sicurezza informatica richiesti. Queste disposizioni mirano a creare un sistema armonizzato a livello europeo per garantire la sicurezza dei prodotti digitali.
Sorveglianza del mercato e sanzioni
Il Capitolo V del Cyber Resilience Act stabilisce il quadro per la sorveglianza del mercato, affidata alle autorità nazionali degli Stati membri, che devono vigilare affinché i prodotti con elementi digitali immessi sul mercato rispettino i requisiti di sicurezza previsti dal regolamento. Le autorità di sorveglianza del mercato hanno il potere di accedere ai dati e alla documentazione dei prodotti, e possono adottare misure correttive, come il ritiro dei prodotti non conformi o pericolosi. Inoltre, le autorità collaborano a livello europeo per assicurare un’applicazione uniforme del regolamento su tutto il territorio dell’Unione.
Quanto al regime sanzionatorio, gli Stati membri dovranno stabilire norme sulle sanzioni applicabili in caso di violazioni del Regolamento, assicurando che le sanzioni siano efficaci, proporzionate e dissuasive. Le sanzioni amministrative previste per la mancata conformità ai requisiti essenziali di sicurezza informatica (Annex I) e agli obblighi di gestione delle vulnerabilità (Articoli 13 e 14 del Cyber Resilience Act ) possono arrivare fino a 15 milioni di euro o al 2,5% del fatturato mondiale annuo dell’impresa, a seconda di quale sia maggiore.
Inoltre, per la violazione di altri obblighi, come quelli relativi alla conformità tecnica o alla mancata cooperazione con le autorità di sorveglianza del mercato, le sanzioni possono raggiungere fino a 10 milioni di euro o il 2% del fatturato mondiale annuo. Infine, la fornitura di informazioni errate o incomplete alle autorità può comportare multe fino a 5 milioni di euro o all’1% del fatturato.
Le autorità di sorveglianza possono applicare queste sanzioni in aggiunta ad altre misure correttive, come il ritiro o il divieto di commercializzazione dei prodotti. Questo sistema di sanzioni è stato progettato per garantire che gli operatori economici rispettino rigorosamente i requisiti di sicurezza imposti dal regolamento.
Conclusioni
Il Cyber Resilience Act si pone come una delle normative più incisive per il futuro della sicurezza informatica nell’Unione Europea, con un impatto significativo su circa 4 milioni di imprese che operano nel mercato unico. Questa nuova regolamentazione non solo rafforzerà la resilienza dei prodotti con elementi digitali, ma imporrà standard di sicurezza elevati e uniformi in tutto il territorio dell’UE. La sua portata si estende non solo alle piccole e medie imprese, ma anche alle grandi multinazionali che intendono commercializzare prodotti, o sub-componenti di prodotti, nel mercato europeo.
La normativa avrà un impatto profondo non solo sui produttori, ma anche su importatori e distributori, imponendo loro la responsabilità di assicurare la conformità dei prodotti con le nuove regole di sicurezza informatica.
In questo contesto, ottenere un vantaggio competitivo richiede alle imprese di agire tempestivamente, iniziando fin da ora a comprendere le dinamiche sottese al Cyber Resilience Act e preparandosi ad adeguarsi alle nuove regole.
Una consulenza legale esperta rappresenta un fattore chiave per navigare con successo le complessità della normativa e garantire che l’adeguamento avvenga in modo tempestivo ed efficace. Affrontare per tempo le nuove sfide imposte dal regolamento non solo ridurrà i rischi di sanzioni (assai elevate), ma permetterà alle imprese di distinguersi sul mercato come operatori affidabili e sicuri, migliorando la propria competitività in un contesto sempre più interconnesso e globalizzato.
Lo Studio Legale Avv. Luca D’Agostino a Roma offre servizi di consulenza e assistenza legale in cybersicurezza e sicurezza delle informazioni. Prepara la tua impresa alle disposizioni del Cyber Resilience Act
da Redazione | Ott 14, 2024 | Diritto Penale
Il cyberbullismo rappresenta una delle minacce più insidiose e pervasive dell’era digitale, soprattutto nei confronti dei minori. Questo fenomeno si distingue per il suo carattere invasivo e per la sua capacità di colpire la sfera emotiva e psicologica della vittima attraverso l’uso della rete e dei mezzi di comunicazione digitale. Diversi comportamenti configurano il reato di cyberbullismo, tra i quali figurano la molestia online, la diffamazione tramite social media o altre piattaforme, il furto di identità digitale, nonché l’acquisizione illecita o il trattamento illecito di dati personali. Spesso, queste condotte si concretizzano anche nella diffusione non autorizzata di contenuti personali o offensivi, che amplifica il danno subito dalla vittima, esponendola a gravi ripercussioni sia a livello psicologico che sociale.
A differenza del bullismo tradizionale, il cyberbullismo consente all’aggressore di agire da remoto, celandosi dietro l’anonimato della rete, il che rende le vittime particolarmente vulnerabili e prive di strumenti immediati di difesa. Tuttavia, nonostante l’assenza di un contatto fisico diretto, gli effetti di queste condotte sono estremamente dannosi e possono tradursi in ansia, isolamento, paura e, nei casi più gravi, anche in istigazione al suicidio o all’autolesionismo.
Con la promulgazione della Legge 70/2024, il legislatore italiano ha compiuto un passo fondamentale nell’ampliare la tutela giuridica contro queste condotte, estendendo l’applicazione delle disposizioni della Legge 71/2017 – inizialmente circoscritta alla prevenzione e al contrasto del cyberbullismo – anche al bullismo. Quest’ultimo viene ora definito come l’insieme di atti aggressivi, ripetuti nel tempo, che possono includere violenze fisiche o psicologiche, offese, derisioni e minacce, finalizzate a creare sentimenti di ansia, isolamento o esclusione sociale in una o più vittime. Questa estensione normativa riconosce ufficialmente la gravità del bullismo, considerandolo alla stregua del cyberbullismo per quanto riguarda il potenziale dannoso e la necessità di un intervento giuridico tempestivo.
Bullismo e Cyberbullismo: dalla Legge 71/2017 alla Legge 70/2024
La Legge 71/2017, entrata in vigore per contrastare il fenomeno del cyberbullismo, è stato il primo intervento normativo organico in Italia volto a disciplinare un problema che, con l’avvento delle nuove tecnologie, ha assunto una dimensione sempre più preoccupante. La legge ha cercato di fornire una risposta completa, rivolta soprattutto alla tutela dei minori, ossia la fascia più vulnerabile della popolazione rispetto a questo tipo di condotte. Il cyberbullismo viene definito dalla normativa come qualunque forma di molestia, aggressione, ricatto, ingiuria, furto di identità, diffusione illecita di contenuti o trattamento non autorizzato di dati personali, perpetrata attraverso mezzi digitali e rivolta a minori.
Uno degli aspetti centrali della Legge 71/2017 riguarda la possibilità per i minori che abbiano compiuto 14 anni, nonché per i loro genitori o tutori, di chiedere ai gestori di siti internet o piattaforme social l’oscuramento, la rimozione o il blocco di contenuti lesivi che possano costituire atti di cyberbullismo. Questa richiesta mira a tutelare tempestivamente la vittima, impedendo che i contenuti dannosi possano continuare a circolare e amplificare il danno subito.
Nel caso in cui il gestore del sito o del social network non provveda entro 48 ore, la legge prevede che la vittima possa rivolgersi al Garante per la protezione dei dati personali, il quale è obbligato ad agire entro altre 48 ore. Questo meccanismo di risposta rapida rappresenta una delle novità più rilevanti introdotte dalla normativa del 2017, poiché mira a garantire una protezione immediata e concreta alla vittima, evitando che l’aggressione virtuale continui a diffondersi online, con conseguenze potenzialmente devastanti.
Accanto a queste disposizioni, la Legge 71/2017 ha assegnato un ruolo di primo piano alle istituzioni scolastiche. Le scuole, infatti, sono tenute a promuovere attività di formazione e sensibilizzazione riguardo all’uso consapevole della rete e ai diritti e doveri connessi all’utilizzo delle tecnologie informatiche. Ogni istituto scolastico deve nominare un referente per il cyberbullismo, responsabile del coordinamento delle attività di prevenzione e contrasto al fenomeno. Questa figura svolge un ruolo cruciale nella promozione di un ambiente scolastico sicuro, in cui studenti, docenti e famiglie collaborano attivamente per prevenire e affrontare episodi di cyberbullismo.
Un altro punto rilevante introdotto dalla Legge 71/2017 è la previsione del procedimento di ammonimento, uno strumento che consente di intervenire rapidamente in situazioni meno gravi, prima che le condotte possano degenerare in reati veri e propri. In base a questa procedura, quando un minore ultraquattordicenne compie atti di cyberbullismo senza che questi configurino reato, la vittima o i suoi genitori possono rivolgersi al Questore, che, dopo aver ascoltato il minore autore degli atti e i suoi genitori, può emettere un ammonimento verbale.
L’ammonimento, previsto originariamente per i reati di stalking, si configura come un avviso formale, con cui il Questore richiama il minore alla gravità delle sue azioni e lo avverte delle conseguenze legali che potrebbero derivare dalla reiterazione degli stessi comportamenti. Questo strumento ha una funzione principalmente educativa e preventiva, permettendo di evitare che episodi isolati si trasformino in condotte sistematiche e più gravi.
La Legge 71/2017, dunque, ha introdotto un complesso di misure destinate a prevenire e contrastare il fenomeno del cyberbullismo, puntando principalmente sull’educazione e la sensibilizzazione. Tuttavia, con il passare degli anni e l’evolversi delle modalità di bullismo, è emersa la necessità di un intervento normativo più ampio, che tenesse conto anche delle aggressioni perpetrate nella realtà fisica, ovvero il bullismo tradizionale.
È in questo contesto che si inserisce la Legge 70/2024, la quale rappresenta una significativa evoluzione della normativa in materia di bullismo e cyberbullismo. Questa nuova legge ha esteso le disposizioni della Legge 71/2017, applicandole espressamente anche al bullismo, e ha introdotto una serie di misure aggiuntive volte a rafforzare la protezione dei minori.
La Legge 70/2024 ha fornito una definizione precisa di bullismo, inteso come un insieme di aggressioni o molestie reiterate, sia fisiche che psicologiche, che possono essere perpetrate da una singola persona o da un gruppo di persone. Le condotte di bullismo sono idonee a provocare nella vittima sentimenti di ansia, timore, isolamento o emarginazione.
Esse includono una vasta gamma di comportamenti, che vanno dalle minacce ai ricatti, dalle violenze fisiche o psicologiche fino all’istigazione al suicidio o all’autolesionismo. La legge ha quindi riconosciuto che anche le forme di bullismo non legate al mondo digitale possono avere conseguenze devastanti per la vittima, equiparandole sotto il profilo giuridico al cyberbullismo.
Un altro importante intervento introdotto dalla Legge 70/2024 riguarda la possibilità per le Regioni di attivare, presso le scuole, servizi di supporto psicologico per gli studenti. Questo servizio mira a fornire assistenza agli alunni in situazioni di disagio, coinvolgendo anche le famiglie in un percorso di prevenzione e gestione dei conflitti. L’obiettivo è quello di garantire un intervento tempestivo e qualificato, capace di affrontare le problematiche legate al bullismo e al cyberbullismo in modo integrato e personalizzato.
Inoltre, la nuova legge prevede che ogni istituto scolastico adotti un codice interno per la prevenzione e il contrasto del bullismo e del cyberbullismo, oltre a istituire un tavolo permanente di monitoraggio. Questo tavolo, composto da rappresentanti degli studenti, delle famiglie, del corpo docente e da esperti del settore, ha il compito di monitorare costantemente la situazione all’interno della scuola, promuovendo iniziative di prevenzione e sensibilizzazione.
Un ulteriore elemento di novità della Legge 70/2024 è rappresentato dalle misure rieducative previste per i minori responsabili di condotte aggressive o lesive della dignità altrui. Il Tribunale per i minorenni può disporre lo svolgimento di progetti educativi e riparativi, sotto la direzione dei servizi sociali, che possono includere attività di volontariato sociale, laboratori teatrali o di scrittura creativa, corsi di musica o sport.
L’obiettivo di queste misure è quello di favorire lo sviluppo di forme di comunicazione non violente e promuovere una cultura del rispetto reciproco, consentendo al minore di comprendere la gravità delle proprie azioni e di inserirsi in dinamiche relazionali più sane e costruttive.
Cyberbullismo: l’importanza di una tutela legale effettiva
In conclusione, le Leggi 71/2017 e 70/2024 istituiscono un solido quadro normativo per la prevenzione e il contrasto di fenomeni come il bullismo e il cyberbullismo. La Legge 71/2017 ha posto le basi per la tutela contro il cyberbullismo, introducendo strumenti come l’ammonimento e la rimozione rapida di contenuti lesivi, mentre la Legge 70/2024 ha ampliato questa protezione, includendo anche il bullismo tradizionale e potenziando gli interventi educativi e rieducativi.
Tuttavia, nonostante le misure previste, il fenomeno rimane complesso e articolato. È per questo fondamentale il ruolo di un professionista legale esperto, che possa assistere le vittime e le loro famiglie nell’attivare tutti gli strumenti messi a disposizione dall’ordinamento giuridico per ottenere una tutela effettiva. Rivolgersi a uno studio legale specializzato in reati informatici consente non solo di gestire la parte legale del procedimento, ma anche di ricevere un supporto qualificato per orientarsi nelle dinamiche scolastiche, psicologiche e sociali legate a queste delicate problematiche.
Lo Studio Legale D’Agostino è a disposizione per fornire assistenza in materia di cyberbullismo e bullismo, garantendo un intervento tempestivo e personalizzato volto alla tutela dei diritti dei minori.
Per aggiornamenti sul tema dei reati informatici visita la nostra pagina dedicata e contattaci per un consulto.
da Redazione | Ott 14, 2024 | Diritto d'Impresa, Consulenze Legali, Diritto civile
La patente edilizia a crediti rappresenta uno strumento giuridico di recente introduzione nel panorama normativo italiano, che riveste un ruolo cruciale per le imprese e i professionisti che operano nel settore dell’edilizia. Questo sistema di qualificazione nasce dalla necessità di garantire una maggiore sicurezza e trasparenza nelle attività svolte nei cantieri temporanei o mobili, e si inserisce in un contesto normativo già consolidato, disciplinato principalmente dall’articolo 27 del Decreto Legislativo n. 81/2008 (Testo Unico sulla Sicurezza del Lavoro) e dal Decreto Ministeriale 18 settembre 2024, n. 132.
L’introduzione della patente edilizia a punti è avvenuta in risposta alla crescente esigenza di regolamentare in modo più efficace la gestione della sicurezza nei cantieri, un ambito in cui spesso si verificano infortuni gravi o mortali a causa di carenze nelle misure di protezione e prevenzione. Questo strumento si propone di responsabilizzare le imprese, monitorando continuamente il loro comportamento e il rispetto delle normative di sicurezza attraverso un sistema basato su crediti. L’iniziativa mira anche a promuovere il miglioramento continuo delle condizioni di lavoro, premiando chi investe in formazione, salute e sicurezza e penalizzando chi si sottrae a tali obblighi. Si pone, in sostanza, come un nuovo strumento di sostenibilità del business nel settore edilizio.
Il Decreto Ministeriale n. 132/2024 ha formalizzato e regolamentato il meccanismo della patente edilizia a crediti, stabilendo non solo le modalità di attribuzione e gestione dei crediti, ma anche le sanzioni previste per le imprese che non rispettano le normative. Si tratta di un tema di estrema attualità per il settore, specialmente in un contesto in cui la sicurezza sul lavoro è sempre più oggetto di attenzione da parte del legislatore e delle istituzioni competenti.
In questo articolo si intende approfondire il funzionamento della patente edilizia a crediti, analizzando i soggetti destinatari, i requisiti necessari per ottenerla, il sistema di gestione dei crediti, le sanzioni previste e la sua rilevanza per le imprese che operano nel settore pubblico e privato.
A chi si applica e come si ottiene la patente edilizia
La patente edilizia a crediti è destinata a una vasta categoria di soggetti che operano nei cantieri temporanei o mobili, indipendentemente dal fatto che siano qualificabili come imprese edili. Secondo l’articolo 27 del Decreto Legislativo n. 81/2008 e il Decreto Ministeriale 18 settembre 2024, n. 132, tale obbligo si applica a tutte le imprese e ai lavoratori autonomi che svolgono attività fisiche all’interno dei cantieri.
Tuttavia, sono previste alcune eccezioni rilevanti. Ad esempio, ne sono esonerati i fornitori che non eseguono la posa in opera dei beni, nonché i professionisti che offrono prestazioni di natura intellettuale, come ingegneri, architetti e geometri. Altrettanto esonerate sono le imprese che dispongono di un’attestazione SOA di categoria pari o superiore alla III. Questo tipo di attestazione certifica che l’impresa ha le qualificazioni necessarie per partecipare a lavori di importo superiore a 1.033.000 euro, e la sua presenza sostituisce l’obbligo della patente edilizia a crediti.
Per ottenere la patente, le imprese devono dimostrare di possedere una serie di requisiti stringenti, volti a garantire il rispetto delle normative vigenti in materia di sicurezza sul lavoro e di regolarità contributiva. Questi requisiti comprendono l’iscrizione alla Camera di Commercio, un elemento basilare per garantire la tracciabilità delle imprese attive sul territorio. Un altro requisito fondamentale è il possesso del DURC (Documento Unico di Regolarità Contributiva) in corso di validità, che certifica la regolarità nei versamenti contributivi e previdenziali. Per le imprese soggette alla normativa sulla sicurezza, è inoltre richiesta l’elaborazione del DVR (Documento di Valutazione dei Rischi), un documento cruciale che identifica i rischi specifici presenti nei cantieri e descrive le misure di prevenzione e protezione adottate.
Tra gli altri requisiti essenziali, vi è la certificazione di regolarità fiscale, che attesta la conformità dell’impresa alle normative tributarie, e la nomina del RSPP (Responsabile del Servizio di Prevenzione e Protezione), obbligatoria nei casi previsti dalla legge. Oltre alla presenza del RSPP, le imprese devono dimostrare di aver adempiuto agli obblighi di formazione previsti per i datori di lavoro, i dirigenti, i preposti, i lavoratori autonomi e i lavoratori dipendenti. Questa formazione è cruciale per garantire che tutti i soggetti coinvolti nelle attività del cantiere siano adeguatamente istruiti sulle norme di sicurezza e sulle procedure da seguire in caso di emergenza.
Fino al 31 ottobre 2024, il possesso di questi requisiti può essere attestato mediante una autocertificazione, che dovrà essere trasmessa via PEC all’Ispettorato Nazionale del Lavoro. Tuttavia, a partire dal 1° novembre 2024, sarà obbligatorio presentare una richiesta formale tramite il portale appositamente predisposto. La mancata presentazione della richiesta entro i termini impedirà all’impresa o al lavoratore autonomo di operare nei cantieri. Questa procedura è stata pensata per garantire un elevato livello di sicurezza e conformità normativa in un settore, come quello edilizio, che presenta significativi rischi per i lavoratori e per il contesto in cui si opera.
Come funziona la patente: decurtazione dei punti, sospensione e revoca
Il funzionamento della patente edilizia a crediti si fonda su un sistema di gestione dei punteggi che riflette il grado di conformità delle imprese e dei lavoratori autonomi alle normative in materia di sicurezza sul lavoro e di qualità nell’esecuzione delle opere nei cantieri temporanei o mobili. Al momento del rilascio, a ogni impresa viene assegnato un punteggio iniziale di 30 crediti. Questo rappresenta una soglia di partenza che garantisce la possibilità di operare all’interno dei cantieri, ma la sua gestione richiede un’attenzione costante, poiché il mantenimento di almeno 15 crediti è imprescindibile per continuare a lavorare.
La perdita di crediti è direttamente collegata a violazioni delle normative di sicurezza sul lavoro, accertate tramite provvedimenti definitivi come sentenze o ordinanze-ingiunzione. Ad esempio, la mancata elaborazione del Documento di Valutazione dei Rischi (DVR), un obbligo fondamentale per tutte le imprese operanti nei cantieri, comporta una decurtazione di 5 crediti. Analogamente, la mancata predisposizione di un Piano di emergenza ed evacuazione, essenziale per garantire la sicurezza in caso di eventi straordinari, riduce il punteggio di 3 crediti.
Anche l’omissione degli obblighi di formazione e addestramento del personale e la mancata costituzione del servizio di prevenzione e protezione comportano decurtazioni, rispettivamente di 2 e 3 crediti. Questi obblighi sono fondamentali per garantire che il personale operante nei cantieri sia adeguatamente preparato e tutelato.
Inoltre, il sistema della patente edilizia a crediti prevede specifiche misure sanzionatorie in caso di infortuni gravi. Qualora si verifichi un infortunio sul lavoro che comporti la morte o un’inabilità permanente del lavoratore, l’Ispettorato Nazionale del Lavoro può disporre la sospensione cautelare della patente per un periodo massimo di 12 mesi. Tale misura è obbligatoria se l’infortunio è imputabile, anche a titolo di colpa grave, al datore di lavoro, al suo delegato o al dirigente responsabile. La sospensione della patente impedisce all’impresa di proseguire le attività nei cantieri, rappresentando una misura immediata di tutela dei lavoratori e di deterrenza nei confronti delle condotte negligenti.
La patente edilizia può essere revocata nei casi in cui vengano riscontrate dichiarazioni non veritiere sui requisiti necessari per il rilascio. Questo avviene quando, durante i controlli successivi, si accerta che le autocertificazioni fornite dall’impresa o dal lavoratore autonomo non corrispondono alla realtà. La revoca della patente comporta una conseguenza molto seria: l’impresa non potrà richiederne una nuova se non dopo un periodo minimo di 12 mesi dalla data della revoca. Questo lasso di tempo serve come periodo di riflessione e riorganizzazione per l’impresa, che dovrà dimostrare di aver corretto le proprie carenze prima di poter tornare a operare nei cantieri.
Oltre alla gestione delle decurtazioni, il sistema della patente edilizia a crediti prevede la possibilità di incrementare il punteggio iniziale. Le imprese che investono nella sicurezza sul lavoro e che dimostrano di adottare misure volontarie in materia di salute e sicurezza, come la certificazione di un Sistema di Gestione della Sicurezza sul Lavoro (SGSL) conforme alla norma UNI EN ISO 45001, possono ottenere incrementi significativi dei crediti. Anche l’adozione di modelli organizzativi e gestionali conformi all’articolo 30 del D.Lgs. 81/2008 può comportare un aumento dei crediti fino a 40 punti.
Il sistema premia, inoltre, la continuità di buone pratiche: le imprese che non subiscono decurtazioni di punteggio per un biennio possono vedere incrementato il proprio punteggio di 1 fino a 20 crediti, promuovendo un comportamento virtuoso e conforme alle normative nel lungo termine.
Sanzioni
Le sanzioni previste per chi opera senza la patente edilizia a crediti, o con una patente che abbia un punteggio inferiore ai 15 crediti, sono estremamente severe e mirano a garantire la sicurezza sul lavoro e il rispetto delle normative. In particolare, l’impresa o il lavoratore autonomo che si trovino a operare in cantiere senza una patente valida o con un punteggio insufficiente sono soggetti a una sanzione amministrativa significativa, pari al 10% del valore dei lavori.
In ogni caso, la sanzione non può essere inferiore a 6.000 euro, anche se il 10% del valore dei lavori risultasse inferiore a tale somma. Questa misura è stata concepita per garantire che le imprese rispettino gli obblighi di legge e per disincentivare comportamenti negligenti o fraudolenti nel settore edilizio.
Oltre alla sanzione pecuniaria, è prevista l’esclusione dalla partecipazione ai lavori pubblici per un periodo di sei mesi, una misura che può avere gravi conseguenze per le imprese che operano principalmente nel settore delle gare d’appalto pubbliche. Questa esclusione rappresenta una pena aggiuntiva particolarmente incisiva, poiché limita la capacità dell’impresa di accedere a nuove opportunità lavorative durante il periodo di interdizione.
Il combinato disposto di sanzioni economiche e l’esclusione dai lavori pubblici rende chiaro che il legislatore intende garantire la piena osservanza delle normative in materia di sicurezza nei cantieri, creando un sistema in cui le violazioni sono fortemente scoraggiate, non solo tramite pene economiche, ma anche con l’interdizione operativa.
Conclusioni sulla patente edilizia a crediti
In conclusione, il sistema della patente edilizia a crediti rappresenta un importante strumento di controllo e incentivazione per garantire la conformità delle imprese e dei lavoratori autonomi alle normative di sicurezza sul lavoro. Il meccanismo di attribuzione e gestione dei crediti, unito alle sanzioni previste per chi non rispetta gli obblighi, mira a responsabilizzare tutti i soggetti coinvolti nell’attività edilizia, promuovendo il rispetto delle normative e il miglioramento continuo delle condizioni di lavoro nei cantieri.
Per le imprese e i professionisti che operano nel settore della contrattualistica pubblica, ma anche in quello privato, la patente a crediti assume una rilevanza strategica. Da un lato, consente di accedere a opportunità lavorative di rilievo, garantendo una certificazione di qualità e sicurezza. Dall’altro, la perdita dei crediti o la mancanza di una patente valida può comportare l’esclusione temporanea dalle gare d’appalto pubbliche, con gravi conseguenze economiche e operative.
In questo contesto, è essenziale per le imprese e i lavoratori autonomi assicurarsi di rispettare scrupolosamente i requisiti previsti dalla normativa, adottando misure preventive e investendo nella formazione e nella sicurezza. Solo così sarà possibile mantenere e incrementare i crediti necessari per operare in cantiere, evitando le pesanti sanzioni previste dalla legge.
Per garantire la massima conformità e affrontare con serenità le complessità normative, è consigliabile rivolgersi a studi legali specializzati, in grado di fornire assistenza su misura per ogni fase del processo, dalla richiesta della patente alla gestione degli eventuali contenziosi o sanzioni. Lo Studio Legale D’Agostino si pone come partner affidabile per imprese e professionisti, offrendo consulenze personalizzate e un supporto continuo nella gestione della compliance normativa in materia di sicurezza sul lavoro e contrattualistica pubblica.
Scarica qui la Guida Operativa alla disciplina del D.M. 132/2024 sulla patente edilizia
Link esterno: portale ANCE patente a crediti
da Redazione | Ott 13, 2024 | Diritto d'Impresa, Diritto Penale
Negli ultimi anni, l’evoluzione del cybercrime ha assunto una dimensione sempre più preoccupante, evidenziando la necessità di una risposta globale coordinata da parte delle istituzioni e delle forze dell’ordine. Internet Organised Crime Threat Assessment (IOCTA) 2024, redatto da Europol, offre un’analisi approfondita delle principali minacce che hanno colpito l’Unione Europea nel 2023.
Questo report, giunto alla sua decima edizione, rappresenta uno strumento fondamentale per comprendere come il cybercrime si sia adattato alle nuove tecnologie e alle crescenti complessità dei sistemi informatici, esponendo aziende, istituzioni e privati cittadini a rischi sempre maggiori. Tra le minacce più rilevanti identificate nel rapporto, si evidenziano l’uso illecito delle criptovalute, l’aumento degli attacchi ransomware e la proliferazione di contenuti di sfruttamento sessuale dei minori online. Questo articolo si propone di illustrare i principali risultati del IOCTA 2024, con un focus sulle tendenze emergenti e le prospettive future in materia di cybercrime, con particolare attenzione agli aspetti giuridici e normativi connessi ai reati informatici.
In questo breve articolo passeremo in rassegna ciascuna di queste voci, così da dare al lettore un quadro chiaro dei più recenti sviluppi del crybercrime.
Valute virtuali e dark-web. I fattori di crescita del cybercrime
Le criptovalute e il dark web rappresentano due elementi centrali nel panorama del crimine informatico moderno, fungendo da strumenti indispensabili per consentire e facilitare un’ampia gamma di attività illecite. Il report IOCTA 2024 di Europol evidenzia come questi strumenti siano ormai essenziali per i cybercriminali, fornendo loro mezzi per operare con un alto grado di anonimato e sicurezza, riducendo le possibilità di identificazione. In particolare, l’uso delle criptovalute, come il Bitcoin e le altcoins come Monero, è cresciuto in modo esponenziale nei crimini di natura finanziaria, con una particolare prevalenza nelle attività di riciclaggio di denaro e finanziamento del terrorismo.
La capacità delle criptovalute di essere trasferite rapidamente e senza il bisogno di intermediari finanziari tradizionali, rende estremamente difficile per le autorità di contrasto rintracciare i flussi di denaro criminali, soprattutto quando queste operazioni avvengono su reti decentralizzate e con l’utilizzo di servizi anonimi.
Il Bitcoin resta la criptovaluta maggiormente utilizzata nel contesto criminale, soprattutto nelle operazioni di estorsione legate ai ransomware, dove i malintenzionati richiedono il pagamento in criptovalute per decriptare i dati delle vittime. Tuttavia, il report sottolinea che sempre più spesso i criminali informatici ricorrono anche ad altcoins come Monero, caratterizzate da una maggiore opacità e da funzionalità di anonimizzazione avanzate, rendendo ancora più difficile il lavoro delle forze dell’ordine.
Nonostante ciò, l’adozione di regolamentazioni più stringenti all’interno dell’Unione Europea, come il quadro normativo che impone obblighi di trasparenza ai crypto-asset service providers (CASPs), ha migliorato la cooperazione tra le autorità investigative e i fornitori di servizi criptovalutari, incrementando il controllo su queste transazioni.
Parallelamente, il dark web continua a fungere da piattaforma chiave per lo scambio di beni e servizi illeciti. Attraverso l’uso di reti come Tor, i criminali possono comprare e vendere dati rubati, strumenti di hacking, malware e altro materiale illegale, tra cui contenuti di abuso sessuale su minori. Nonostante i recenti successi delle operazioni delle forze dell’ordine, come la chiusura del Monopoly Market da parte della polizia tedesca, la frammentazione del dark web rende difficile un contrasto efficace a lungo termine. I marketplace criminali, infatti, sono sempre più volatili e tendono a chiudere e riaprire sotto nomi diversi, spesso attraverso mirror sites che ripristinano rapidamente l’attività illecita in nuove location virtuali.
La combinazione tra criptovalute e dark web ha favorito lo sviluppo di un vero e proprio ecosistema criminale, in cui il cybercrime-as-a-service prospera, fornendo a malintenzionati di ogni livello strumenti tecnologici sempre più sofisticati per compiere crimini informatici. Contrastare l’uso illecito di questi strumenti rappresenta una delle principali sfide che i governi e le forze dell’ordine dovranno affrontare negli anni a venire, nel tentativo di ridurre l’impatto devastante del cybercrime sull’economia e sulla sicurezza pubblica.
Cybercrime e attacchi informatici: statiche ed evoluzione del fenomeno
Gli attacchi informatici sono, secondo Europol, uno dei fenomeni più pervasivi e distruttivi del panorama del cybercrime, con un impatto significativo sulle infrastrutture critiche, sulle aziende e sui privati cittadini. Il report IOCTA 2024 evidenzia come il 2023 sia stato caratterizzato da un aumento degli attacchi informatici, in particolare quelli legati al modello del ransomware-as-a-service (RaaS). Questo modello consente a gruppi di criminali informatici di “affittare” strumenti di ransomware a soggetti meno esperti, democratizzando di fatto l’accesso a queste tecnologie distruttive. Il ransomware è diventato uno degli strumenti più potenti nelle mani dei cybercriminali, i quali sfruttano le vulnerabilità delle infrastrutture informatiche per criptare i dati delle vittime e chiedere un riscatto in cambio della loro decriptazione.
Uno degli aspetti più preoccupanti che emerge dal report è la crescente specializzazione dei criminali informatici. Alcuni affiliati ai gruppi ransomware, ad esempio, si concentrano esclusivamente sul guadagnare accesso iniziale ai sistemi di grandi aziende e infrastrutture critiche, per poi vendere tale accesso ad altri criminali specializzati in ransomware. Questo sistema frammentato e altamente specializzato rende estremamente difficile il contrasto da parte delle forze dell’ordine, poiché i vari attori operano in modo isolato, minimizzando le possibilità di essere identificati.
Il report sottolinea come i gruppi ransomware tendano a colpire con sempre maggiore frequenza le piccole e medie imprese, che rappresentano il bersaglio ideale a causa delle loro difese informatiche generalmente meno sofisticate. Tuttavia, gli attacchi non risparmiano neanche le grandi organizzazioni, specialmente nel settore sanitario, manifatturiero e delle infrastrutture critiche. Questi attacchi causano gravi danni economici, paralizzano le operazioni aziendali e, in alcuni casi, mettono a rischio la vita delle persone, come è stato dimostrato da attacchi contro ospedali e reti di distribuzione energetica.
Un altro trend evidenziato nel IOCTA 2024 è l’uso sempre più sofisticato di tecniche di estorsione multilivello. Non si tratta più solo di criptare i dati delle vittime, ma anche di rubarli e minacciare di pubblicarli online in caso di mancato pagamento del riscatto. Questa doppia pressione aumenta le probabilità di successo per i criminali, poiché le vittime, temendo ripercussioni sulla propria reputazione o sanzioni legali, sono più inclini a pagare il riscatto.
Il report sottolinea inoltre come la frammentazione del panorama ransomware sia stata accentuata dalle recenti operazioni delle forze dell’ordine, che hanno portato allo smantellamento di gruppi come Conti e LockBit. Tuttavia, queste operazioni non hanno fermato il fenomeno, bensì hanno portato alla riorganizzazione di questi gruppi sotto nuovi nomi, spesso con tecnologie e metodi ancora più sofisticati. La crescita del ransomware-as-a-service e l’uso crescente di strumenti di intelligenza artificiale per migliorare l’efficacia degli attacchi rendono chiaro che i cyber-attacchi continueranno a evolvere, rappresentando una delle principali minacce alla sicurezza globale.
Reati di pedopornografia. Un fenomeno in continua evoluzione
Uno dei fenomeni più allarmanti descritti nel IOCTA 2024 è l’aumento costante dei casi di sfruttamento sessuale dei minori online (Child Sexual Exploitation, CSE). Secondo Europol, il volume di contenuti illegali, noti come Child Sexual Abuse Material (CSAM), è in crescita, e una parte significativa di questo materiale è auto-generato dalle stesse vittime, spesso sotto coercizione o sfruttamento da parte di predatori online. Gli aggressori, infatti, utilizzano tecniche di grooming per guadagnare la fiducia dei minori, inducendoli a condividere materiale sessualmente esplicito, che viene poi utilizzato come mezzo per estorcere ulteriori contenuti o denaro.
L’uso di piattaforme di comunicazione criptata, come le applicazioni con end-to-end encryption (E2EE), ha complicato notevolmente il lavoro delle forze dell’ordine, poiché tali strumenti rendono estremamente difficile il monitoraggio delle attività illegali e la raccolta di prove. Questi canali vengono ampiamente utilizzati non solo per lo scambio di materiale pedopornografico, ma anche per la comunicazione e la pianificazione tra i membri delle reti criminali. Le indagini sono ulteriormente ostacolate dalla crescente presenza di tecnologie basate sull’intelligenza artificiale, che consentono la creazione di CSAM completamente generato artificialmente, rendendo ancora più complesso distinguere il materiale reale da quello prodotto con strumenti digitali.
Un altro fenomeno particolarmente preoccupante è l’estorsione sessuale dei minori, spesso perpetrata con finalità sia sessuali che economiche. I criminali minacciano di diffondere immagini esplicite delle vittime a meno che non vengano soddisfatte le loro richieste, costringendo così i minori a produrre nuovi contenuti o a pagare somme di denaro.
Il IOCTA 2024 lancia un avvertimento chiaro: la proliferazione del materiale di sfruttamento sessuale dei minori online non mostra segni di rallentamento, e l’uso di tecnologie sempre più sofisticate da parte dei cybercrime actors rende cruciale un potenziamento delle capacità investigative delle forze dell’ordine per affrontare questa tipologia di cybercrime in continua evoluzione.
Truffe e frodi informatiche. Le ultime frontiere del cybercrime.
Le frodi online e le truffe legate ai pagamenti rappresentano – secondo Europol – una delle minacce più rilevanti nel contesto del cybercrime, con un numero sempre crescente di vittime e perdite economiche significative. Il IOCTA 2024 evidenzia come questi schemi fraudolenti si stiano evolvendo rapidamente, diventando sempre più sofisticati e difficili da individuare.
Tra le truffe più comuni, il phishing rimane uno dei vettori d’attacco più utilizzati, colpendo tanto i privati quanto le aziende. Il phishing, che consiste nell’inganno tramite email o messaggi di testo per rubare informazioni sensibili come credenziali di accesso o dati bancari, ha visto un’evoluzione significativa con l’introduzione del phishing-as-a-service. Questo modello permette a criminali meno esperti di acquistare o affittare kit di phishing preconfigurati, riducendo così la barriera di ingresso per commettere questa tipologia di cybercrime.
Tra le nuove varianti di phishing, il smishing (phishing via SMS) e il quishing (phishing tramite codici QR) hanno registrato un aumento, dimostrando come i criminali sappiano adattarsi alle abitudini degli utenti e sfruttare nuove tecnologie. Anche l’uso dell’intelligenza artificiale sta rivoluzionando questo ambito, permettendo ai criminali di creare email di phishing sempre più convincenti e personalizzate, rendendo ancora più difficile per le vittime distinguere un messaggio fraudolento da uno legittimo.
Un altro schema di frode particolarmente diffuso è la compromissione delle email aziendali, nota come Business Email Compromise (BEC), che sfrutta tecniche di ingegneria sociale per indurre i dipendenti a effettuare pagamenti fraudolenti o trasferire fondi su conti controllati dai criminali. Questo tipo di financial cybercrime ha causato perdite enormi per le imprese, in particolare le piccole e medie imprese che non dispongono di sofisticati sistemi di sicurezza informatica. Anche le truffe romantiche (romance fraud), benché meno visibili a causa del basso tasso di denuncia, continuano a mietere vittime. Questi schemi truffaldini sfruttano il desiderio di affetto e la fiducia delle persone per estorcere denaro in modo subdolo.
Le frodi legate agli investimenti rappresentano un altro settore in forte crescita, con l’uso delle criptovalute che continua a essere una componente centrale di questi schemi. I criminali utilizzano piattaforme di investimento false o truffaldine per attrarre le vittime, promettendo rendimenti elevati, e poi svanendo con i fondi raccolti. Il report evidenzia come molti di questi schemi siano supportati da Remote Administration Tools (RATs), che permettono ai truffatori di prendere il controllo dei dispositivi delle vittime per monitorare e manipolare le loro transazioni.
Il IOCTA 2024 sottolinea che la crescente disponibilità di servizi illegali sul dark web, come il phishing-as-a-service e il malware-as-a-service, ha reso le frodi online e i sistemi di pagamento un terreno fertile per i cybercriminali. La collaborazione internazionale tra le forze dell’ordine e le aziende private sarà cruciale per ridurre l’impatto del cybercrime, proteggendo i consumatori e le imprese dalle perdite finanziarie e dal furto di dati personali.
Cybercrime e cyber-attacchi. Uno sguardo al futuro
Il report IOCTA 2024 si conclude con uno sguardo proiettato al futuro, evidenziando come il cybercrime non solo continuerà a crescere, ma diventerà sempre più sofisticato. Tra le principali previsioni, Europol individua un’ulteriore diffusione dell’uso di tecnologie basate sull’intelligenza artificiale nel contesto criminale. Gli strumenti di machine learning e deep learning stanno già consentendo ai cybercriminali di migliorare significativamente le loro tecniche di ingegneria sociale, rendendo le frodi, i tentativi di phishing e le truffe online ancora più difficili da individuare. Si prevede che l’uso di large language models (LLM) da parte dei criminali si espanderà ulteriormente, permettendo loro di personalizzare le truffe in modo da renderle ancora più convincenti.
Un altro aspetto critico del panorama futuro riguarda la crescente frammentazione del mercato del ransomware. Mentre alcune operazioni sono state smantellate dalle forze dell’ordine, i cybercrime actors si stanno riorganizzando sotto nuove forme, sviluppando varianti di ransomware sempre più difficili da attribuire e contrastare. La proliferazione del ransomware-as-a-service (RaaS), insieme alla crescente capacità dei criminali di utilizzare exploit di zero-day e altre vulnerabilità avanzate, preannuncia un ulteriore incremento degli attacchi mirati alle piccole e medie imprese, che spesso non dispongono delle risorse per difendersi efficacemente.
Inoltre, l’uso delle criptovalute continuerà a rappresentare una sfida fondamentale per le forze dell’ordine. Sebbene siano state adottate nuove normative che impongono una maggiore trasparenza e cooperazione da parte dei fornitori di servizi legati alle criptovalute, i criminali stanno rapidamente cercando di aggirare tali restrizioni, utilizzando altcoins e strumenti di anonimizzazione sempre più sofisticati. Il futuro del crimine informatico vedrà probabilmente un incremento del ricorso a criptovalute più difficili da tracciare, oltre a una maggiore integrazione tra piattaforme del dark web e mercati finanziari criminali.
Infine, il report prevede una crescita significativa dei crimini legati al child sexual exploitation (CSE), in particolare a causa dell’aumento di contenuti di abuso sessuale generati o alterati con l’uso dell’intelligenza artificiale. Questo crea nuove sfide legali e investigative, poiché sarà sempre più complesso distinguere tra materiale reale e contenuti artificialmente generati.
In questo contesto di minacce in costante evoluzione, la preparazione diventa fondamentale. Lo Studio Legale D’Agostino si propone come un partner strategico per imprese e istituzioni, offrendo consulenza legale specializzata nella prevenzione e nella gestione dei rischi legati ai crimini informatici. Garantire la conformità alle normative vigenti e implementare solide strategie di cybersicurezza sono le prime linee di difesa contro un panorama criminale sempre più insidioso.
Per scaricare il report IOCTA di Europol clicca: qui
Sulla recente riforma in materia di cybercrime, rinviamo al nostro recente: articolo
da Redazione | Ott 11, 2024 | Diritto d'Impresa, Diritto Penale
La Legge n. 90/2024, anche nota come Legge sulla Cybersicurezza, introduce rilevanti novità in materia, imponendo una serie di obblighi in capo alle pubbliche amministrazioni e alle imprese che operano in settori strategici. Tale normativa si inserisce in un contesto giuridico che mira a rafforzare la resilienza cibernetica nazionale, e rappresenta uno dei tasselli di un mosaico complesso (specialmente a seguito dell’emanazione del D. Lgs. 138/2024).
La Legge in commento è strutturata in due capi. Per quel che qui interessa il Capo I introduce misure per il rafforzamento della cybersicurezza, imponendo obblighi specifici alle pubbliche amministrazioni, quali l’obbligo di notifica degli incidenti informatici e la nomina di un referente per la cybersicurezza. Queste disposizioni mirano a rendere più sicure le infrastrutture digitali critiche, aumentando la capacità di risposta e prevenzione agli attacchi cibernetici. Non tratteremo invece del Capo II che apporta modifiche significative al codice penale e al codice di procedura penale (sul punto di rinviamo al nostro precedente approfondimento).
L’articolo che segue intende analizzare le principali disposizioni della legge, evidenziando gli impatti operativi che questa comporta per le pubbliche amministrazioni e le imprese coinvolte, offrendo al contempo un quadro chiaro delle misure necessarie per assicurare la conformità alla normativa e prevenire possibili sanzioni.
Gli obblighi in capo alle P.A. e i compiti di ACN
Gli obblighi in capo alle P.A. sono radicalmente mutati a seguito della promulgazione della Legge n. 90 del 2024, che introduce obblighi specifici di notifica degli incidenti informatici.
Ai sensi dell’art. 1 della Legge, le pubbliche amministrazioni centrali, Regioni, Province autonome, Comuni con popolazione superiore a 100.000 abitanti, città metropolitane, società di trasporto pubblico urbano ed extraurbano con bacino superiore a 100.000 abitanti, aziende sanitarie locali e società di gestione delle acque reflue e dei rifiuti sono soggetti all’obbligo di notifica. Questi enti devono segnalare entro 24 ore dall’accertamento, tramite il sito dell’Agenzia per la Cybersicurezza Nazionale (ACN), ogni incidente che rientra nella tassonomia definita dal D.L. 105/2019; entro 72 ore dalla segnalazione, è richiesta una notifica completa di tutti gli elementi rilevanti dell’incidente stesso.
In caso di inosservanza, l’ACN può intervenire con un primo avviso, segnalando che la reiterazione del comportamento nell’arco di cinque anni comporterà ulteriori sanzioni, comprese ispezioni mirate per verificare l’attuazione delle misure correttive. Se le violazioni si ripetono, l’Agenzia può imporre sanzioni amministrative pecuniarie che variano tra 25.000 e 125.000 euro, oltre alla responsabilità disciplinare e amministrativo-contabile per i dirigenti e funzionari coinvolti.
Ai sensi dell’art. 2 della L. 90/2024 gli enti pubblici (e le società private ad essi equiparate) devono adottare, entro 15 giorni, gli interventi risolutivi richiesti dall’Agenzia per la Cybersicurezza Nazionale (ACN) nel caso in cui vengano segnalate vulnerabilità nei loro sistemi informatici. In pratica, l’Agenzia potrà segnalare la presenza di vulnerabilità nei sistemi di questi enti e inviare loro una segnalazione specifica; gli enti avranno quindi l’obbligo di adottare rapidamente le misure necessarie per risolvere la questione. In caso contrario l’ACN potrà applicare sanzioni amministrative entro i limiti edittali sopra indicati.
In tal modo il legislatore ha inteso assicurare una risposta rapida e coordinata per eliminare vulnerabilità, che potrebbero compromettere la sicurezza cibernetica dei sistemi utilizzati dalle PA e dai soggetti critici.
Infine, la novella ha previsto l’istituzione, all’interno dell’organigramma delle P.A., di una struttura interna dedicata e la nomina di un referente per la cybersicurezza.
Più precisamente, le amministrazioni individuate all’articolo 1, comma 1, della Legge sono tenute a identificare una struttura, anche tra quelle già esistenti, all’interno delle risorse umane, strumentali e finanziarie disponibili. Questa struttura assume un ruolo centrale nello sviluppo di politiche e procedure volte a garantire la sicurezza delle informazioni. Tra i suoi compiti principali vi è la redazione e l’aggiornamento continuo di un sistema di analisi preventiva per il rilevamento delle minacce informatiche e di un piano di gestione dei rischi connessi.
Inoltre, la struttura è chiamata a produrre un documento che definisca i ruoli e l’organizzazione del sistema di sicurezza delle informazioni dell’amministrazione, assicurando così una chiara distribuzione delle responsabilità. È altresì prevista l’elaborazione di un piano programmatico per la protezione di dati, sistemi e infrastrutture informatiche.
A questo si affianca l’impegno a pianificare e attuare interventi mirati al potenziamento delle capacità di gestione dei rischi informatici, in coerenza con i piani precedentemente adottati. Un aspetto fondamentale è la necessità di conformarsi alle misure indicate nelle linee guida emanate dall’Agenzia per la Cybersicurezza Nazionale, garantendo un allineamento costante con gli standard nazionali di sicurezza. L’attività di monitoraggio continuo delle minacce e delle vulnerabilità riveste un ruolo cruciale, consentendo un aggiornamento tempestivo delle misure di sicurezza.
Presso questa struttura opera il referente per la cybersicurezza, una figura scelta sulla base di comprovate competenze e professionalità nel settore. Tale figura non solo è responsabile della sicurezza informatica all’interno dell’amministrazione, ma funge anche da punto di contatto unico con l’Agenzia per la Cybersicurezza Nazionale, garantendo così un dialogo costante e diretto con l’ente nazionale preposto alla gestione delle questioni di cybersicurezza.
Infine, la legge attribuisce all’Agenzia per la Cybersicurezza Nazionale il potere di individuare modalità di coordinamento e collaborazione tra le diverse amministrazioni e i referenti per la cybersicurezza, con l’obiettivo di rafforzare ulteriormente la resilienza del settore pubblico. Tuttavia, l’articolo esclude dall’applicazione delle sue disposizioni alcune categorie di soggetti, come gli enti già disciplinati dal D.L. 105/2019 e gli organi dello Stato preposti alla difesa, alla sicurezza militare, alla prevenzione e alla repressione dei reati, nonché gli organismi di informazione per la sicurezza.
Esperto legale in cybersicurezza. Affida allo Studio Legale D’Agostino a Roma la consulenza per l’adempimento degli obblighi in materia di Cyber Security.
Da quando decorre l’obbligo di notifica degli incidenti? Cosa notificare?
L’obbligo di notifica degli incidenti informatici, introdotto dall’art. 1 della Legge n. 90 del 2024, si estende agli incidenti, come definiti dall’art. 1, comma 3-bis del D.L. n. 105 del 2019, che, a sua volta, richiama la definizione contenuta nell’art. 1, comma 1, lett. h) del DPCM n. 81 del 2021.
Il combinato disposto di queste disposizioni impone ai destinatari della Legge n. 90 di notificare ogni evento che determini il malfunzionamento, l’interruzione, anche parziale, o l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, sia esso di natura accidentale o intenzionale. Si tratta di una nozione di “incidente” particolarmente ampia, che copre una vasta gamma di eventi potenzialmente lesivi del corretto funzionamento delle infrastrutture informatiche.
Tale concetto di incidente, così come delineato dalla Legge n. 90 del 2024, si distingue dalla nozione di “incidente” contenuta nella direttiva NIS 2 e nel D. Lgs. n. 138 del 2024. Quest’ultimo, infatti, definisce l’incidente come “un evento che compromette la disponibilità, l’autenticità, l’integrità o la riservatezza di dati conservati, trasmessi o elaborati o dei servizi offerti dai sistemi informativi e di rete o accessibili attraverso di essi”.
La differenza fondamentale tra le due definizioni risiede nell’ampiezza della nozione prevista dalla Legge n. 90, che include anche situazioni di utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici, ipotesi che, seppur non sempre riconducibili a veri e propri attacchi informatici, possono comunque determinare conseguenze rilevanti per il funzionamento delle infrastrutture critiche.
Tale differenza è di particolare rilievo, soprattutto in relazione al contesto delle pubbliche amministrazioni o degli enti soggetti all’applicazione della Legge n. 90 del 2024. Un esempio significativo di queste condotte improprie è rappresentato dall’accesso abusivo a un sistema informatico, disciplinato dall’art. 615-ter del codice penale, per il quale esiste un vasto filone giurisprudenziale. Anche una semplice anomalia o un utilizzo improprio delle risorse informatiche potrebbe far scattare l’obbligo di notifica per l’ente, rendendo necessaria una segnalazione tempestiva all’Agenzia per la Cybersicurezza Nazionale (ACN).
Un altro aspetto fondamentale da tenere in considerazione è l’approssimarsi del termine di efficacia delle disposizioni relative all’obbligo di notifica per alcune categorie specifiche di soggetti. In particolare, le disposizioni troveranno applicazione, a partire dal 13 gennaio 2025, per i comuni con popolazione superiore a 100.000 abitanti, i comuni capoluoghi di regione, le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti, le società di trasporto pubblico extraurbano operanti nelle città metropolitane, le aziende sanitarie locali, nonché le società in house che forniscono servizi informatici o di trasporto.
Questi enti dovranno quindi predisporre tutte le misure necessarie per adempiere all’obbligo di notifica entro tale data, per evitare di incorrere nelle conseguenze sanzionatorie previste dalla legge. Per contro, l’obbligo di notifica degli incidenti è già attualmente efficace per le amministrazioni centrali dello Stato, le regioni, le province autonome e le città metropolitane.
Infine, occorre sottolineare che la Legge n. 90 del 2024 prevede, in caso di reiterata inosservanza dell’obbligo di notifica, l’applicazione di sanzioni pecuniarie nei confronti dell’ente inadempiente. Tuttavia, le conseguenze non si limitano all’aspetto economico. La reiterata inosservanza può infatti costituire anche una causa di responsabilità disciplinare e amministrativo-contabile in capo ai funzionari e ai dirigenti responsabili dell’omessa notifica, ampliando così il regime di responsabilità connesso alla gestione degli incidenti informatici all’interno delle pubbliche amministrazioni e delle società coinvolte. Questa previsione mira a garantire una maggiore diligenza nell’adempimento di un obbligo che riveste un ruolo cruciale per la tutela della cybersicurezza e del corretto funzionamento delle infrastrutture informatiche nazionali.
Conclusioni
In conclusione, la Legge n. 90 del 2024 segna un importante passo avanti nella tutela della cybersicurezza nazionale, introducendo un sistema di obblighi che coinvolge direttamente le pubbliche amministrazioni e le imprese operanti in settori strategici. L’obbligo di notifica degli incidenti informatici, unito alla previsione di sanzioni significative in caso di mancata conformità, è volto a garantire una risposta tempestiva ed efficace alle minacce cibernetiche. La definizione di “incidente” è stata ampliata rispetto a quella contenuta nella direttiva NIS 2, includendo anche l’utilizzo improprio dei sistemi informatici, evidenziando la necessità di un controllo più stringente e una superficie di situazioni da notificare davvero ampia.
Un altro elemento cruciale della normativa è l’obbligo di nomina di un referente per la cybersicurezza all’interno delle amministrazioni e delle imprese coinvolte. Tale figura riveste un ruolo centrale nell’assicurare la corretta attuazione delle politiche di sicurezza informatica e nel dialogo con l’Agenzia per la Cybersicurezza Nazionale, garantendo una gestione efficace degli incidenti e una conformità continua alle disposizioni normative.
La conformità a questi obblighi richiede un’attenta pianificazione e competenze specifiche, e rappresenta una sfida complessa per le realtà coinvolte. Lo Studio Legale D’Agostino è a disposizione per offrire supporto legale e consulenza specializzata nella delicata attività di compliance alla normativa, assistendo sia le pubbliche amministrazioni che le imprese nella gestione degli obblighi di notifica, nella nomina del referente per la cybersicurezza e nell’attuazione delle misure di sicurezza richieste.
Per aggiornamenti seguici anche su: https://www.linkedin.com/company/dagostinolex
Studio Legale D’Agostino: assistenza in cyber security e sicurezza informatica con focus sul Decreto NIS 2, gestione del rischio e incidenti informatici
