Presentata dall'onorevole Andrea Casu (Pd) ed altri parlamentari

"Al presidente del Consiglio dei ministri. 

Per sapere, premesso che:

sabato 28 giugno 2025 si è verificata un'avaria al sistema di trasmissione dati radar presso il Centro di controllo d'area (Acc) di Milano, responsabile della gestione del traffico aereo sul nord-ovest d'Italia con pesanti ricadute sugli utenti;

come previsto dal decreto legislativo n. 134 del 4 settembre 2024 (attuazione della direttiva Ue Nis 2/2022/2557), che impone ai soggetti gestori di infrastrutture critiche di notificare immediatamente all'Agenzia per la cybersicurezza nazionale (Acn) ogni incidente informatico rilevante o criticità nella cybersecurity, anche quando si ritenga non trattarsi di un attacco hacker, Acc di Milano, tramite Enav, ha comunicato l'evento alle autorità competenti, mentre Enac ha avviato un'inchiesta e richiesto un report tecnico-operativo per informare il Governo e la stessa Acn;

attualmente, la normativa ha stabilito, con il decreto-legge n. 105 del 2019, convertito con modificazioni dalla legge n. 133 del 2019, la definizione del Perimetro di sicurezza cibernetica nazionale (Pnsc) al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi sede nel territorio nazionale, da cui dipenda l'esercizio di una funzione essenziale o la fornitura di un servizio essenziale per lo Stato e dal cui malfunzionamento, interruzione —anche parziale— o utilizzo improprio possa derivare un pregiudizio per la sicurezza nazionale;

successivamente, il decreto del presidente del Consiglio dei ministri 31 luglio 2020, n. 131, ha individuato i soggetti pubblici e privati che forniscono tali servizi o esercitano tali funzioni nei settori: interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali e lavoro;

più di recente, il decreto legislativo 4 settembre 2024, n. 134, ha previsto l'attuazione della direttiva (Ue) 2022/2557, relativa alla resilienza delle entità critiche (Cer), che definisce norme armonizzate volte a garantire la fornitura di servizi essenziali nel mercato interno, ad aumentare la resilienza dei soggetti critici e a migliorare la cooperazione transfrontaliera tra le autorità competenti. Successivamente, il 16 ottobre 2024 è entrato in vigore il decreto legislativo n. 138 del 2024, che recepisce la direttiva Ue 2022/2555 (NIS 2), ridefinendo le regole per la sicurezza delle reti e dei sistemi informativi in un panorama cyber in costante evoluzione e, di conseguenza, potenzialmente sempre più a rischio;

tuttavia, la normativa sopra ricordata non sembra rispondere sufficientemente ad alcune questioni particolarmente delicate sollevate dal caso in oggetto –:

se l'Agenzia nello svolgimento della propria attività ispettiva goda dei medesimi poteri concessi agli organi di polizia giudiziaria ovvero se alla stessa sia permesso il compimento dei cosiddetti 'atti a sorpresa' con possibilità di svolgere nell'immediatezza del fatto (ovvero in flagranza di reato) accertamenti autonomi anche al di fuori delle stringenti previsioni di cui alla legge n. 689 del 1981;

se nell'ambito delle cosiddette attività di 'certificazione e vigilanza' Acn si limiti a prendere atto di quanto viene formalmente attestato dai soggetti 'richiedenti certificato' o se, diversamente, abbia la possibilità di compiere (anche in modo invasivo) delle proprie verifiche tecniche direttamente sui beni dell'interessato per appurare la veridicità delle dichiarazioni ricevute;

se l'Agenzia sia dotata degli strumenti e dei poteri necessari per accertare autonomamente se la eventuale interruzione di servizi essenziali derivi o meno da 'attacchi informatici';

se alla luce di quanto accaduto il 28 giugno 2025 il presidente del Consiglio ritenga che il concreto funzionamento delle norme sopra ricordate sia soddisfacente nell'ottica di garantire la sicurezza dei servizi essenziali per il Paese". (4-05600)

Sull'argomento vedi anche la notizia pubblicata da AVIONEWS.