martedì 11 Mag, 2021

A norma di sicurezza informatica

,

11/05/2021

Storia della Cyber Security nella legislazione italiana

Dopo l’approvazione della Direttiva Network and Information Security (NIS) nel 2016, recepita in Italia nel 2018, le istituzioni europee continuano ad adottare misure intese a rafforzare la sicurezza cibernetica nell’Unione europea.

La principale di queste misure recentemente adottate consiste in un regolamento volto a creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali, a rafforzare il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA): il cosiddetto Cybersecurity Act.

Il regolamento è stato pubblicato in Gazzetta Ufficiale il 7 giugno 2019 ed è entrato in vigore il 27 giugno dello stesso anno. Il Cybersecurity Act costituisce una parte fondamentale della nuova strategia dell’UE per la sicurezza cibernetica, che mira a rafforzare la resilienza dell’Unione agli attacchi informatici.

L’idea è quella di creare un mercato unico della sicurezza cibernetica in termini di prodotti, servizi e processi, per accrescere la fiducia dei consumatori nelle tecnologie digitali. Lo strumento normativo in questione si affianca, ed è in parte complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS.

Il Cybersecurity Act si compone di due parti: nella prima vengono specificati il ruolo e il mandato dell’ENISA, mentre nella seconda viene introdotto un sistema europeo per la certificazione della sicurezza informatica dei dispositivi connessi ad Internet e di altri prodotti e servizi digitali.

Trattandosi di un regolamento, una volta entrato in vigore, il Cybersecurity Act è stato immediatamente applicabile in tutti gli Stati membri, senza che vi sia stata necessità di interventi attuativi da parte dei legislatori nazionali, salvo per quanto riguarda alcune limitate disposizioni, ad esempio in materia di sanzioni.

Un primo punto chiave del Cybersecurity Act, come detto, riguarda il rafforzamento del ruolo dell’ENISA, garantendole un mandato permanente e consentendole di svolgere non solo compiti di consulenza tecnica, come è stato fino ad ora, ma anche attività di supporto alla gestione operativa degli incidenti informatici da parte degli Stati membri. Un altro punto chiave del Cybersecurity Act riguarda l’introduzione di un sistema europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali. Ciò anche al fine di facilitare il loro scambio all’interno dell’Unione europea e di accrescere la fiducia dei consumatori nei loro confronti.

Il Cybersecurity Act intende agire in questo senso introducendo un quadro complessivo di regole che disciplinano gli schemi europei di certificazione della sicurezza informatica.

È bene però precisare che il Cybersecurity Act non istituisce schemi di certificazione direttamente operativi, ma crea piuttosto un “quadro” per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali. La creazione di questi schemi di certificazione, da predisporsi per specifiche categorie di prodotti e servizi, comporterà che i certificati rilasciati secondo tali schemi saranno validi e riconosciuti in tutti gli Stati membri.

Il Cybersecurity Act costituisce l’ultimo passo di un percorso in realtà piuttosto lungo in materia di regolamentazione della sicurezza informatica.

Evoluzione normativa della Cybersec

È nel 2013 che per la prima volta in Italia si sono individuati in maniera organica i compiti affidati a ciascuna componente istituzionale in materia sicurezza informatica.

Sicurezza e difesa cibernetica, meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità dei sistemi in caso di crisi. Erano questi i punti per la prima volta regolamentati nel Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico e nel Piano Nazionale per la Protezione Cibernetica.

Questi due documenti erano sono stati approvati a dicembre 2013 in attuazione di un’espressa disposizione contenuta nel Decreto Monti (DPCM del 24 gennaio del 2013), approvato invece nel gennaio dello stesso anno. Nello specifico, il Decreto Monti individuava nella Presidenza del Consiglio dei Ministri il vertice dell’architettura nazionale in materia di sicurezza cibernetica.

Presso l’Ufficio del Consigliere Militare (UCM) veniva incardinato il Nucleo per la Sicurezza Cibernetica (NSC), in funzione di prevenzione, preparazione, risposta e ripristino rispetto ad eventuali situazioni di crisi cibernetica. Venivano quindi istituiti un Computer Emergency Response Team (CERT) nazionale all’interno del Ministero dello Sviluppo economico e un CERT della Pubblica amministrazione all’interno dell’Agenzia per l’Italia digitale (AgID).

Nel 2017 il Decreto Gentiloni (DPCM 17 febbraio 2017) sostituì interamente le precedenti disposizioni. A questo, infatti, seguì una nuova edizione del Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica.

Nel nuovo assetto strategico, al Presidente del Consiglio viene espressamente affidata l’alta direzione e la responsabilità della politica generale del governo anche nel campo della sicurezza dello spazio cibernetico. Il premier coordina le politiche dell’informazione per la sicurezza cibernetica, impartisce le direttive e, sentito il Comitato Interministeriale per la Sicurezza della Repubblica (CISR), emana le disposizioni necessarie per l’organizzazione e il funzionamento dell’intero sistema di sicurezza cibernetica nazionale.

L’NSC infine, rientrerà d’ora in poi nell’ambito del Dipartimento Informazioni per la Sicurezza (DIS).

La Cybersec in materia penale

Nel nostro ordinamento, lo sviluppo di una normativa in materia di criminalità informatica è avvenuto senza un previo disegno sistematico, perché condizionato da contingenti necessità di tutela, cui il legislatore si è ritrovato via via a far fronte, e in primis dall’urgenza di adeguarsi ad indicazioni e raccomandazioni provenienti dall’Unione Europea.

Sulla spinta delle Raccomandazioni del Consiglio d’Europa il parlamento approvò nel dicembre del 1993, la prima legge (Legge 23 dicembre 1993, n. 547) in tema di criminalità informatica, che modificava il codice penale introducendo nuove fattispecie di reato e modificando quelle esistenti introducendo riferimenti ai beni informatici.

Quasi 15 anni passeranno prima di un’ulteriore modifica (Legge 18 marzo 2008 n. 48), avvenuta nel marzo 2008, a seguito della ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, che si tenne a Budapest nel novembre 2001.

Con queste due leggi vengono introdotte sanzioni se il reato di falso è compiuto anche attraverso documenti digitali, e se ci si impossessa impropriamente di chiavi e credenziali di accesso. Vengono punite le intrusioni non autorizzate nei sistemi informatici, la diffusione di virus e la frode informatica.

Ma anche in interventi legislativi più recenti sono state introdotte modifiche al codice penale per consentire la punibilità di altre condotte realizzate con il mezzo informatico. Si pensi, ad esempio, alle aggravanti dei delitti di addestramento ad attività con finalità di terrorismo anche internazionale, di istigazione a delinquere o di atti persecutori, quando i fatti siano commessi attraverso strumenti informatici o telematici. La legislazione speciale, infine si occupa di materie come la tutela dei dati personali. Tema più che attuale, la tutela dei dati personali (D.Lgs. n. 196 del 2003) punisce, ad esempio, quelle piattaforme che comunicano e diffondono illegalmente i dati personali dei propri utenti.

Scopri subito la nuova edizione di

Tecnologia & Innovazione