18 novembre 2019
Aggiornato 01:30
sicurezza

Cybersecurity, cosa dice la proposta di legge sulle startup alla Camera

Poche settimane fa è stata presentata alla Camera una proposta di legge per disciplinare e regolare il settore della cybersecurity, startup comprese

Cybersecurity, cosa dice la proposta di legge sulle startup alla Camera
Cybersecurity, cosa dice la proposta di legge sulle startup alla Camera Shutterstock

ROMA – Favorire, anche in Italia, la costituzione e lo sviluppo di start-up innovative nel settore della cyber security. È questo il principale obiettivo di una proposta di legge presentata alla Camera e che vede come prima firmataria Rosa Villecco Calipari, deputata del Partito Democratico e componente del Copasir, l’organo parlamentare di controllo sull’intelligence.

L’iniziativa arriva in un momento in cui «il settore della sicurezza delle tecnologie dell’informazione e della comunicazione è in continuo e profondo cambiamento». In particolare, «in termini statistici», si legge nel documento, «il 2016 è stato l’anno in cui è stato rilevato il numero di attacchi informatici più alto di sempre e per la prima volta l’Italia è entrata nella top-ten di Paesi al mondo per gravità e per numero di attacchi subiti’ anche da ‘alcune pubbliche amministrazioni». L’anello più debole della catena, evidenzia la proposta, restano comunque «le piccole e medie imprese», rese più vulnerabili dalle «ridotte capacità individuali di investimento in strategie e in progetti di sicurezza nonché i modelli organizzativi in genere lenti a evolversi». In questo scenario, bisognoso di maggiore soluzioni di sicurezza, si registra tuttavia una frammentazione di competenze che rischiano di disperdersi, danneggiando eccellenze tecnologiche piccole e medie, spesso nate già in ambiti universitari con ‘un conseguente svantaggio competitivo complessivo e un rischioso processo di dipendenza tecnologica da soggetti esteri in un settore, quale quello della cyber security, strategicamente critico.

Per queste ragioni, nell’articolo 1 della proposta di legge si spiega di voler mirare a a rafforzare la competività tecnologica nel settore della sicurezza cibernetica – definita nel recente decreto del presidente del Consiglio dei ministri del 17 febbraio 2017, «Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali» -, al fine di ‘aumentare i livelli di sicurezza dalle minacce cibernetiche (con particolare riferimento alle piccole e medie imprese) e accrescere la quota di produzione e di occupazione di alta qualificazione attraverso l’incentivo all’istituzione di startup innovative e lo sviluppo dell’imprenditoria giovanile nel settore della sicurezza cibernetica.

Dopo l’individuazione della finalità della proposta di legge, con l’articolo 2 si definiscono le startup innovative nel settore della sicurezza cibernetica fissando i criteri che le caratterizzano, avendo come riferimento principale la nuova edizione del Piano nazionale per la protezione cibernetica e la sicurezza informatica di marzo 2017 (oltre al già citato Dpcm Gentiloni). In pratica, si definiscono startup innovative nel settore della sicurezza cibernetica le società che hanno come oggetto sociale esclusivo la ricerca e lo sviluppo di strumenti e di servizi orientati alla sicurezza cibernetica e alla sicurezza delle informazioni attraverso l’uso di tecnologie o lo sviluppo di software originali. Tali strumenti e servizi devono riguardare almeno una tra le seguenti funzioni: raccolta, elaborazione e diffusione di informazioni relative a minacce e vulnerabilità, nonché gestione della conoscenza che ne deriva; prevenzione, risposta e rimedio a incidenti informatici e a compromissioni di informazioni su reti e sistemi di comunicazione; comunicazione e condivisione sicura, rispettando i criteri di identificazione, autenticazione, integrità, non ripudiabilità e confidenzialità delle informazioni riguardanti la sicurezza di sistemi e di piattaforme delle tecnologie dell’informazione e della comunicazione (Ict); prevenzione, gestione, analisi e valutazione del rischio relativo alla compromissione di informazioni nonché agli incidenti in sistemi e in piattaforme delle Ict; integrazione e standardizzazione di protocolli di sistemi, tecnologie e servizi già esistenti operanti nelle funzioni precedentemente indicate; promozione e sviluppo della cultura della sicurezza cibernetica. Le imprese startup innovative, si aggiunge, possono essere costituite anche nella forma della società a responsabilità limitata semplificata ai sensi dell’articolo 2463-bis del codice civile.

L’articolo 3 prevede disposizioni in materia di deroghe al diritto societario e di riduzioni degli oneri per l’avvio di start-up innovative nel settore della sicurezza cibernetica. Tra le misure sono previste: l’esenzione dall’imposta di registro, dai diritti erariali e dalle tasse di concessione governativa per le società costituite da persone fisiche che non hanno compiuto il quarantesimo anno di età all’atto della costituzione di una società che abbia le caratteristiche precedentemente elencate; il differimento delle scadenze previste per il versamento dei contributi previdenziali a carico delle società per i primi due anni dall’iscrizione in una apposita sezione speciale del registro delle imprese – prevista nell’articolo 6 della proposta di legge -, di due anni solari; l’esonero dal versamento dell’acconto dell’imposta sul valore aggiunto (Iva), sempre per il primo biennio.

Per quanto riguarda gli incentivi, previsti nell’articolo 4, si parla invece del fatto che «i costi delle società di cui al titolo V del libro quinto del codice civile, delle reti di imprese, delle organizzazioni di produttori, nonché dei consorzi e delle società consortili, costituite anche in forma cooperativa, finalizzati allo studio di innovazioni tecnologiche da utilizzare per migliorare i propri sistemi di sicurezza cibernetica sostenuti nei confronti delle società» contemplate dal testo, identificati mediante avviso di gara pubblicato nel sito web dell’ente che ha sostenuto i costi nell’osservanza del modello pubblicato con decreto del Ministro dello sviluppo economico, d’intesa con il Ministro dell’istruzione, dell’università e della ricerca, entro tre mesi dalla data in vigore della presente legge, sono assoggettati al regime fiscale e contabile dei costi in ricerca e sviluppo interni.

Con gli articoli 5 e 6, si prevedono misure per la promozione e l’internazionalizzazione delle startup innovative nel settore della sicurezza cibernetica (tra le quali campagne annuali in Italia e all’estero predisposte dal ministero dello Sviluppo economico, di concerto con il ministero dell’istruzione, dell’università e della ricerca e con il ministero degli Esteri e della cooperazione internazionale e d’intesa con l’Agenzia per la promozione all’estero e l’internazionalizzazione delle imprese italiane, o azioni promosse in casi specifici con enti locali, consorzi, camere di commercio, eccetera), e la già citata istituzione di una sezione speciale nel registro delle imprese (alla quale le società devono essere iscritte per poter beneficiare della disciplina prevista da questa legge).

Infine, l’articolo 7 reca una norma transitoria, secondo la quale anche le società già costituite alla data di entrata in vigore della presente legge e in possesso dei requisiti previsti possono richiedere l’iscrizione alla sezione speciale se entro sessanta giorni dalla stessa data depositano presso l’ufficio del registro delle imprese una dichiarazione sottoscritta dal rappresentante legale che attesta il possesso dei requisiti citati.

«Questo progetto di legge - ha detto la deputata dem Rosa Villecco Calipari - nasce da un lavoro fatto insieme ai giovani dell’associazione Cultura Democratica con i quali abbiamo discusso in questi ultimi due anni su come affrontare un tema che vede il nostro Paese molto esposto nonostante le ottime decisioni che abbiamo iniziato a prendere dal Piano nazionale strategico, il primo fatto da Mario Monti, seguito dalla modifica fatta dal governo Renzi e dal Dpcm Gentiloni che inquadra in modo diverso anche la parte di gestione e coordinamento della sicurezza cyber nel nostro Paese. Facendo ricerca sul campo ci si rende conto di un Paese che ha affrontato il tema della cyber security un po’ in ritardo, ma che a passi veloci sta cercando di creare un’architettura. Con i provvedimenti citati è riuscito in questo percorso. La parte economico-aziendale, tuttavia, ci sta riuscendo un po’ meno’. Quindi c’è da una parte l’esigenza di sviluppare la cultura digitale, una realtà di fatto per i nostri figli; dall’altra c’è la necessità di rendere questo sistema coordinato, anche dal punto di vista produttivo e delle aziende che ci lavorano».