Diventa legge il disegno di legge sulla sicurezza cibernetica. L'ok finale, a Montecitorio, è stato della maggioranza, astenuta l'opposzione. Si converte il decreto legge proposto dal governo presieduto da Giuseppe Conte: il fondamento è l'istituzione di un "perimetro" nazionale dove entro quattro mesi si faranno rientrare le amministrazioni pubbliche, gli enti e gli operatori nazionali - pubblici e privati - obbligati a tutelarsi contro le minacce informatiche. Sono enti e amministrazioni pubbliche e private che svolgono una funzione essenziale per lo Stato o un servizio essenziale per le attività civili, sociali ed economiche nazionali. Nel "perimetro" ci saranno infrastrutture strategiche, Ose (operatori di servizi essenziali) e anche gli Fsd (fornitori di servizi digitali). Non tutti subito, sarebbe impossibile. La previsione è di cominciare con circa un centinaio di soggetti, i più a rischio. La partenza, lo dice testualmente la legge, sarà infatti «graduale». Diventano obbligatorie le segnalazioni di attacco informatico: andranno fatte al Csirt (computer security incident response team), un organismo appena istituito con un Dpcm presso il Dis (Dipartimento informazioni e sicurezza, si veda IlSole24Ore del 9 novembre). Il Dis svolge così un ruolo centrale di coordinamento e controllo dei processi di monitoraggio e gestione degli attacchi. Lo scenario è molto ampio: basti solo pensare che per l'attuazione della direttiva europea Nis (network and information security) - stabilisce i requisiti minimi per la sicurezza informatica per gli operatori di servizi essenziali e servizi digitali - sono stati conteggiati più di 460 Ose. Il testo - relatori Emanuele Fiano (Pd) ed Emanuele Scagliusi (M5S) - prevede l'affidamento di beni e servizi a rischio informatico ai soggetti rientranti nel perimetro con regole stringenti rinviate a un altro decreto del presidente del Consiglio da approvare entro dieci mesi. Un altro dpcm definirà le caratteristiche di questi beni per poter passare i test del Cvcn, il centro di valutazione e certificazione nazionale presso il Mise (ministero dello sviluppo). È in ballo, va detto, una questioni di costi di rilievo a carico di numerose piccole e medie imprese del settore informatico fornitrici di beni e servizi in affidamento ai soggetti in arrivo nel perimetro. È stata sollevata più volte l'ipotesi di agevolazioni fiscali legate a questi oneri ma finora non ha avuto seguito. Ci sono anche sanzioni severe: rischia da uno a tre anni di carcere chi falsifica oppure omette le comunicazioni sugli elenchi delle reti, servizi informatici e informativi. Per gli illeciti amministrativi si parte da un minimo di 200mila euro fino a un massimo di 1.800.000 euro. La maggior parte delle norme attende dunque decreti attuativi ma entra subito in vigore la facoltà del presidente del Consiglio di disattivare apparecchi o prodotti in caso di attacchi con rischio grave e imminente per la sicurezza nazionale. Partono nell'immediato anche le disposizioni per estendere le norme sul "perimetro" alle imprese nel settore del 5G. E quelle sulla golden power recuperate da un disegno di legge del precedente governo Conte. Il potere del governo può essere esercitato contro «soggetti esterni all'Unione europea» intenzionati all'acquisizione azionaria di società nazionali di infrastrutture critiche, gestione dati, e finanziarie come Borsa spa. Il potere di veto si estende dalle sole «delibere» alla «adozione di atti o operazioni».