04 Set Decreto Presidente del Consiglio dei Ministri 04/06/2025, N. 111 – Regolamento recante modificazioni all’allegato A al Decreto del Presidente del Consiglio dei Ministri 14 aprile 2021, N.81
È stato pubblicato in Gazzetta Ufficiale il 1° agosto 2025 il Decreto del Presidente del Consiglio dei Ministri n. 111 del 4 giugno 2025 (di seguito, il “DPCM”), recante modificazioni all’allegato A al decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81.
Con questo nuovo provvedimento, il legislatore interviene sul DPCM 81/2021 – già noto per disciplinare gli obblighi di notifica degli incidenti informatici da parte dei soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica, introdotto dal Decreto-legge n. 105/2019 – introducendo una rilevante novità.
La modifica consiste nell’aggiunta di una nuova tipologia specifica di incidente da notificare: l’accesso non autorizzato o con abuso dei privilegi concessi, identificato con il codice ICP-A-20. Rientrano in questa categoria tutti gli episodi in cui un soggetto accede a sistemi o dati informatici in assenza di autorizzazione formale, oppure oltrepassando i privilegi a lui assegnati.
L’incidente da notificare non riguarda solo soggetti esterni che accedono ai sistemi e/o ai dati aziendali, ma riguarda anche condotte di soggetti interni che, per esempio, accedono agli account per finalità diverse dallo svolgimento della loro attività lavorativa.
Ciò implica che, anche in assenza di compromissione o esfiltrazione di dati, sarà sufficiente rilevare un accesso improprio – sia da parte di utenti esterni, sia da parte di soggetti interni all’organizzazione – per far scattare l’obbligo di notifica secondo quanto previsto dal DPCM 81/2021. Vengono così formalmente inclusi, tra gli incidenti notificabili, anche comportamenti apparentemente “silenziosi”, come l’uso di account aziendali per finalità non conformi ai compiti lavorativi assegnati.
L’integrazione normativa impone quindi a tutte le organizzazioni pubbliche e private ricomprese nel Perimetro di sicurezza nazionale cibernetica di aggiornare le proprie politiche e procedure, in particolare quelle relative alla gestione degli incidenti ICT. In concreto, sarà necessario:
- Definire criteri chiari per l’identificazione di accessi non autorizzati o abusi dei privilegi all’interno dei sistemi e delle reti aziendali;
- Implementare strumenti e processi di rilevamento tempestivo in grado di intercettare tali anomalie;
- Adeguare la procedura di notifica, assicurando il rispetto delle tempistiche e delle modalità previste dalla normativa vigente.
Questa evoluzione normativa rappresenta un ulteriore passo verso una maggiore attenzione alla sicurezza interna dei sistemi informativi e alla prevenzione di minacce che non sempre provengono dall’esterno. Le organizzazioni dovranno quindi rafforzare il proprio livello di controllo sugli accessi privilegiati e promuovere una cultura aziendale della sicurezza basata anche sulla responsabilizzazione degli utenti interni.
