Legge 90/2024 Cybersicurezza: a chi si applica e quali sono gli obblighi per le PA

La Legge 90/2024, pubblicata il 28 giugno scorso, ha rivoluzionato il panorama della cybersicurezza per la Pubblica Amministrazione italiana.

Questa normativa non è un semplice aggiornamento tecnico, ma un vero e proprio cambio di paradigma che sta creando nuove sfide e responsabilità concrete per gli enti pubblici.

Lavorando al fianco di centinaia di enti pubblici, tocchiamo con mano la confusione e l’incertezza che ancora circondano questa nuova legge.

In particolare, sono diversi gli enti che non hanno ancora ben chiaro se rientrano o meno nel perimetro normativo e quali siano le azioni concrete da intraprendere per essere conformi alla Legge 90/2024.

Francamente, lo scenario attuale è preoccupante.

Il Rapporto Clusit di marzo 2025 ha mostrato infatti alcuni dati allarmanti: gli attacchi informatici verso le pubbliche amministrazioni italiane sono aumentati del 90% in un solo anno, con ben 431 attacchi registrati nel 2024.

Presta attenzione, non si parla di semplici tentativi ma di attacchi andati a “buon” fine.

E il 78% di questi attacchi è legato al cybercrime, con il ransomware che continua a essere la minaccia principale.

Fatta questa veloce – ma doverosa – premessa, vediamo ora a chi si applica la Legge 90/2024 e quali obblighi comporta per le Pubbliche Amministrazioni.

L’articolo 1 ha creato un perimetro ben definito, che include:

• Le pubbliche amministrazioni centrali individuate dalla legge 196/2009 (ministeri, enti costituzionali, agenzie fiscali)
• Le regioni e province autonome di Trento e Bolzano
• I comuni con popolazione superiore a 100.000 abitanti (e sono meno di 50 in tutta Italia)
• Tutti i comuni capoluoghi di regione, indipendentemente dalla loro dimensione
• Le città metropolitane
• Le società di trasporto pubblico urbano con bacino d’utenza superiore a 100.000 abitanti
• Le società di trasporto pubblico extraurbano che operano nelle città metropolitane
• Le ASL
• Le società in house dei soggetti sopra elencati
• Le società in house che gestiscono acque reflue e rifiuti

IMPORTANTE: se il tuo ente è già incluso all’interno del del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) o è un organo di intelligence / sicurezza, sei esplicitamente escluso dall’applicazione della Legge 90/2024 perché avrai già altri obblighi specifici ai quali sottostare derivanti da altre normative.

Un altro aspetto che crea spesso confusione è il periodo transitorio.

La Legge 90/2024 ha infatti concesso 180 giorni di tempo (dalla sua entrata in vigore) per adeguarsi ad alcuni soggetti, nello specifico ai comuni sopra i 100.000 abitanti, ai capoluoghi di regione, alle società di trasporto e alle ASL.

Per queste tipologie di ente non significa che hanno la facoltà di ignorare la legge, ma semplicemente che hanno avuto un po’ di tempo in più per mettersi in regola.

Dopo aver chiarito a chi si applica la Legge 90/2024, voglio aiutarti a capire esattamente cosa devi fare se il tuo ente rientra tra quelli coinvolti da questa nuova normativa.

La Legge 90/2024 prevede infatti diversi obblighi e, credimi, non sono dei semplici adempimenti formali.

Notifica degli incidenti informatici per PA ed enti strategici

Il primo obbligo – e forse il più immediato – riguarda la notifica degli incidenti informatici.

Ed è proprio su questo aspetto che in questi anni ho visto diversi enti farsi trovare impreparati.

In caso di incidente informatico, la Legge 90/2024 prevede che:

• devi segnalare entro 24 ore (sì, hai letto bene, 24 ore) qualsiasi tipo di incidente informatico rientrante nella tassonomia definita dal D.L. 105/2019
• entro 72 ore devi poi completare una notifica dettagliata dell’incidente

IMPORTANTE: la segnalazione deve avvenire attraverso il portale del CSIRT Italia (https://www.csirt.gov.it/segnalazione)

Presta particolare attenzione a non sottovalutare cosa si intende per “incidente informatico”: con questa dicitura non si fa riferimento solamente ad un eventuale attacco hacker.

La definizione include infatti “qualsiasi evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione anche parziale ovvero l’utilizzo improprio di reti, sistemi informativi o servizi informatici”.

Questo significa che anche un semplice malfunzionamento tecnico potrebbe quindi rientrare all’interno di questa categoria.

Credimi, in questi anni ho visto spesso enti accorgersi tardivamente di problemi (apparentemente) banali ma che in realtà sarebbero stati da notificare.

Il referente per la Cybersicurezza nella Pubblica Amministrazione

Un altro obbligo fondamentale previsto dalla Legge 90/2024 è quello di individuare e nominare un “referente per la cybersicurezza”.

Dalla mia personale esperienza maturata sul campo, ti confido che questa è la parte forse più delicata.

Infatti:

• devi identificare una struttura dedicata alla cybersicurezza (può essere anche un’unità già esistente)
• questa struttura dovrà occuparsi di politiche di sicurezza, gestione del rischio, definizione di ruoli, pianificazione degli interventi e monitoraggio delle minacce
• all’interno di questa struttura, dovrà essere nominato un referente che diventerà il punto di contatto unico con l’ACN

C’è anche una buona notizia…

Se già presente all’interno dell’ente, il ruolo di referente per la cybersicurezza può essere assegnato all’RTD (Responsabile per la Transizione Digitale).

Ma presta attenzione: deve avere competenze specifiche in materia.

Non basta una semplice nomina formale, serve qualcuno che sappia davvero cosa fare in caso di incidente.

Le funzioni dell’Agenzia per la Cybersicurezza Nazionale

La Legge 90/2024 ha anche conferito dei “superpoteri” all’ACN (Agenzia per la Cybersicurezza Nazionale), che credo sia importante per te conoscere bene:

• l’ACN può procedere con ispezioni per verificare che il tuo ente stia effettivamente rispettando gli obblighi previsti
• SE non lo fai e sei recidivo, puoi ricevere sanzioni fino a 125.000 euro (non sono spiccioli!)
• l’ACN ha il compito di raccogliere tutti i dati sugli incidenti e pubblicarli all’interno della sua relazione annuale

All’interno dell’articolo 2 c’è infine un aspetto che trovo particolarmente rilevante: se l’ACN dovesse identificare delle vulnerabilità all’interno dei tuoi sistemi informatici potrà indicarti delle possibili soluzioni per risolverle e tu avrai SOLO 15 giorni per implementarle.

L’unica eccezione prevista è legata a “motivate esigenze tecnico-organizzative” ma, per esperienza, sono convinto che ACN non accetti facilmente giustificazioni troppo generiche.

Ma non è finita qui…

La Legge 90/2024 va ben oltre gli obblighi che ti ho appena descritto, ha infatti introdotto diverse novità che influenzano praticamente ogni aspetto legato alla digitalizzazione all’interno degli enti pubblici.

Legge 90/2024 e nuovi standard (da prevedere) per i contratti pubblici

L’articolo 10 rivoluziona il modo in cui dovrai gestire gli appalti per servizi informatici e, credimi, l’impatto è notevole:

• entro 120 giorni dall’entrata in vigore, dovrà essere adottato un DPCM per definire gli “elementi essenziali di cybersicurezza” da considerare negli appalti
  potrai escludere le offerte che non rispettano questi elementi (un potere che prima non avevi in modo così esplicito)
• dovrai sempre considerare questi elementi nella valutazione qualitativa delle offerte
• se usi il criterio del minor prezzo, dovrai inserire questi elementi tra i requisiti minimi obbligatori
• nelle gare con offerta economicamente più vantaggiosa, il punteggio economico non potrà superare il 10% (quindi 90% sulla qualità)

Quello che trovo particolarmente interessante è che queste disposizioni si applicano a tutte le PA dell’articolo 1, comma 2, del D.Lgs. 165/2001.

Nella pratica, anche se non rientra tra quelli obbligati ad effettuare le notifiche degli incidenti, questi nuovi standard per i contratti pubblici riguardano sicuramente anche il tuo ente.

Responsabilità amministrative introdotte dalla Legge 90/2024

Se amministri un ente pubblico o sei un dirigente, questa parte ti toccherà particolarmente:

• se non rispetti gli obblighi previsti dalla Legge 90/2024, rischi una responsabilità disciplinare e amministrativo-contabile personale
• la Legge 90/2024 ha introdotto una precisazione temporale: la “reiterata inosservanza” si considera solo nell’arco di cinque anni
• questo meccanismo di responsabilità personale è simile a quello che già conosciamo dall’articolo 18-bis del CAD

Su questo aspetto, ho assistito a diverse discussioni all’interno degli enti che affianchiamo.

La maggior parte degli RTD sono seriamente preoccupati perchè, di fatto, si trovano nella situazione di assumere responsabilità personali per attività sulle quali spesso non hanno il controllo completo.

Il mio consiglio rimane quello di documentare sempre tutto, specialmente le richieste di risorse o interventi che non vengono accolte dall’amministrazione.

Legge 90/2024 e nuove misure di sicurezza (da garantire)

Passiamo ora alla parte pratica, quella che richiede azioni concrete:

• dovrai sviluppare politiche e procedure di sicurezza specifiche (non bastano più quelle generiche)
• sarà necessario definire chiaramente ruoli e responsabilità per ogni aspetto della cybersicurezza
• dovrai implementare sistemi di gestione del rischio informatico (e no, non intendo solo un antivirus)
• il tuo ente dovrà pianificare interventi preventivi e adottate misure di sicurezza multiple e stratificate
• dovrai effettuare un monitoraggio costante – e documentato – delle minacce
  tutti i programmi e le applicazioni dovranno rispettare le linee guida sulla crittografia e la conservazione delle password

Ed infini, un ultimo che spesso viene trascurato…

La Circolare AGID n. 2/2017 sulle “Misure minime di sicurezza ICT” è ancora in vigore.

Questo significa che, a tutti gli effetti, devi rispettare sia quelle misure minime che i nuovi requisiti della Legge 90/2024.

Non è un “o l’uno o l’altro”, è un “entrambi”.

Prima di lasciarti, è doveroso parlarti di quella parte che con buone probabilità potrebbe preoccuparti di più: le sanzioni previste dalla Legge 90/2024.

Ecco quindi a cosa vai incontro se non rispetti gli obblighi:

• se non notifichi gli incidenti come previsto, l’ACN può effettuare ispezioni (e ti assicuro che non sono piacevoli)
• se l’inosservanza si ripete nell’arco di cinque anni, rischi una sanzione amministrativa da 25.000 a 125.000 euro
• se l’ACN ti segnala una vulnerabilità e non la risolvi entro 15 giorni, rischi le stesse sanzioni (a meno che tu non abbia motivazioni tecniche realmente valide)

Quello che trovo particolarmente interessante è il “ciclo di autofinanziamento” creato dalla Legge 90/2024: tutti i proventi delle sanzioni andranno direttamente nelle casse dell’ACN.

Questo significa che, più enti verranno sanzionati, più l’Agenzia avrà risorse per effettuare i controlli.

Un meccanismo che, francamente, potrebbe portare da un’applicazione sempre più rigorosa delle norme.

Ma c’è un aspetto che mi preme sottolineare: queste sanzioni non colpiscono solo l’ente in quanto tale, ma possono tradursi in responsabilità personali per dirigenti e funzionari.

Ho letteralmente visto RTD perdere il sonno per questo, e non li biasimo di certo.

Grazie a questa nuova legge, sto però notando un cambio di approccio alla sicurezza informatica, che non viene più vista come “un adempimento informatico in più” da gestire ma come una questione strategica per richiedere un’attenzione maggiore da parte dei vertici amministrativi.

E come abbiamo visto all’inizio, considerando che solo nel 2024 gli attacchi alla PA sono cresciuti del 90%, direi che è un cambiamento necessario.

Il mio consiglio?

Non aspettare che si verifichi un incidente o di ricevere un’ispezione per poi correre per metterti in regola.

Il costo della prevenzione è sempre inferiore a quello della sanzione, per non parlare dei danni reputazionali che un data breach potrebbe causare al tuo ente.

Non perderti gli aggiornamenti e le novità più importanti!