Negli ultimi anni il tema della cybersecurity è prepotentemente balzato all’attenzione delle aziende, delle pubbliche amministrazioni e, soprattutto, del legislatore europeo e italiano.
Il perché di questa rinnovata centralità delle tematiche di sicurezza informatica sta tutto nei dati, nei numeri relativi agli attacchi informatici. Il costo totale in conseguenza di attacchi informatici ammonta ad oltre 6 mila miliardi di dollari e la media mensile di attacchi gravi dal 2018 al 2021 è aumentata del 30%.
Il termine cybersecurity è divenuto ormai di uso comune, anche a causa dell’estesa diffusione dei fenomeni connessi alla criminalità informatica, al cybercrime e alle forme di guerra ibrida che fanno uso estensivo di pratiche di cyberwarfare.
Ma cosa significa cybersecurity?
Per dare una risposta, è importante analizzare l’oggetto delle nostre attenzioni: le informazioni.
“conoscenza o insieme di dati che hanno valore per un individuo o una organizzazione”.
Le informazioni possono dunque essere memorizzate, trasmesse e trattate attraverso diversi supporti: la carta, una memoria USB, un DVD, fino alla mente umana. Comprensibilmente, la sola sicurezza informatica non è pertanto uno strumento sufficiente a limitare i rischi connessi alla sicurezza delle informazioni.
Esempio: evitare alla fine della giornata di lasciare documentazione cartacea contenente dati personali o informazioni confidenziali sulla scrivania dell’open space in ufficio è una misura di sicurezza delle informazioni e non di cybersecurity. Installare un software antimalware o attivare la crittografia del disco del proprio PC sono misure di sicurezza delle inormazioni e di cybersecurity.
la ISO/IEC 27001 definisce il concetto di sicurezza delle informazioni come “preservazione della riservatezza, integrità e disponibilità delle informazioni”
proprietà di un’informazione di non essere disponibile o rivelata a individui, entità e processi non autorizzati.
Esempio: un hacker scopre la password della casella email aziendale di un dipendente e vi accede senza autorizzazione. Le informazioni contenute nella casella (email, dati personali, documenti, ecc.) subiscono una perdita di riservatezza.
proprietà di accuratezza e completezza di un’informazione.
Esempio: un dipendente infedele sottrae fondi dalla propria datrice di lavoro dopo avere modificato e alterato il sistema di contabilità, causando così una perdita di integrità delle relative informazioni.
proprietà di un’informazione di essere accessibile e utilizzabile entro i tempi previsti.
Negli ultimi anni il tema della cybersecurity è prepotentemente balzato all’attenzione delle aziende, delle pubbliche amministrazioni e, soprattutto, del legislatore europeo e italiano.
Il perché di questa rinnovata centralità delle tematiche di sicurezza informatica sta tutto nei dati, nei numeri relativi agli attacchi informatici. Basta una veloce ricerca su internet per scoprire che il costo totale in conseguenza di attacchi informatici ammonta ad oltre 6 mila miliardi di dollari e che la media mensile di attacchi gravi dal 2018 al 2021 è aumentata del 30%.
Questo quadro ha indotto il legislatore comunitario ad intraprendere una serie di iniziative di varia natura volte ad aumentare la consapevolezza degli operatori e dei cittadini in relazione ai rischi derivanti da una scarsa attenzione alla cybersecurity. Tralasciando le specifiche normative di settore, di seguito sono elencate le iniziative di rilievo intraprese a livello europeo e nazionale allo scopo di innalzare i livelli di sicurezza informatica e cooperazione in settori critici per il regolare funzionamento dell’apparato produttivo e della società civile.
Il Regolamento (UE) 2016/679, meglio noto come GDPR, ricopre un ruolo centrale tra le fonti degli obblighi in materia di sicurezza delle informazioni. Seppure l’oggetto immediato di tutela del Regolamento non sia la sicurezza informatica tout court, ma la protezione delle persone fisiche e dei relativi dati personali, il GDPR prescrive ai soggetti che trattano questi ultimi l’obbligo di mettere in atto “misure tecniche e organizzative adeguate per garantire il livello di sicurezza adeguato al rischio”.
L’art. 32 GDPR, intitolato “sicurezza del trattamento”, prevede infatti un obbligo di implementazione di un sistema di sicurezza che tenga conto, e riduca, i rischi presentati da ciascun trattamento di dati personali. I rischi da considerare sono quelli connessi alla distruzione, alla perdita, modifica, alla divulgazione non autorizzata o all’accesso, in modo accidentale o non consentito o non autorizzato, a dati personali trasmessi, conservati o comunque trattati.
Il sistema di misure di sicurezza dovrà quindi essere definito in tutti i suoi aspetti tecnici, procedurali e organizzativi. L’individuazione puntuale delle misure è, tuttavia, rimessa al soggetto che tratta i dati personali, determinandone le finalità (cd. Titolare del trattamento), o che tratta i dati su incarico e dietro istruzioni del titolare del trattamento (cd. Responsabile del trattamento). Sebbene l’art. 32 GDPR preveda un elenco di misure di sicurezza potenzialmente adottabili, il legislatore ha lasciato un ampio margine di discrezionalità al Titolare e al Responsabile del trattamento, i quali sono tenuti ad effettuare una valutazione preliminare e proattiva delle misure da implementare in relazione ai livelli di rischio associati a ciascun trattamento di dati personali, tenendo in ogni caso conto dello stato dell’arte.
A tale ultimo riguardo, la rapida evoluzione e innovazione della tecnica comporta infatti una sempre più rapida obsolescenza delle tecniche di protezione dei sistemi e dei dati, anche personali. Pertanto, quelle che oggi sembrano essere misure di protezione forti, con il passare di qualche anno si potrebbero dimostrare obsolete e inefficaci. L’analisi dei rischi deve, pertanto, essere svolta in modo rigoroso e su base regolare, aggiornando, ove necessario, i presidi posti a tutela della sicurezza dei trattamenti.
L’intero GDPR si presenta quindi fortemente caratterizzato dall’obiettivo di costruire un sistema che faccia della sicurezza uno dei capisaldi della normativa e ciò sta certamente contribuendo ad innalzare il livello di consapevolezza degli operatori in relazione al tema della sicurezza, confidenzialità, integrità e disponibilità dei dati e delle informazioni trattate a livello informatico.
Direttiva NIS
Accanto al GDPR il legislatore europeo ha inteso adottare misure specificamente volte a innalzare il livello di sicurezza informatica di determinati soggetti e strutture ritenute particolarmente “critiche” per il sistema nazionale ed europeo.
L’intervento più significativo in tale senso è costituito dalla Direttiva (UE) 2016/1148 del 6 luglio 2016, “recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione”, meglio nota come Direttiva NIS, recepita nel nostro ordinamento dal D.lgs. 65/2018. La Direttiva NIS mira a conseguire un livello di sicurezza comune ed elevato della rete e dei sistemi informativi nell’Unione europea, mediante l’introduzione di una serie di obblighi in materia di sicurezza a carico degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD).
OSE: operatori, pubblici o privati, di servizi essenziali operanti nel settore sanitario, dell’energia, dei trasporti, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali, specificatamente individuati dalle autorità nazionali competenti NIS
FSD: soggetti che offrono servizi di e-commerce, cloud computing e motori di ricerca online, con l’esclusione delle imprese che impiegano meno di 50 persone e con un totale di bilancio annuo non superiore a 10 milioni di Euro
Tra questi risultano essere rilevanti, in particolare, gli obblighi di:
Il dettaglio circa gli “elementi di sicurezza” informatica che i fornitori di servizi digitali devono prendere in considerazione per la definizione della strategia aziendale, nonché circa i criteri di determinazione dei parametri per considerare “rilevante” un incidente di sicurezza sono, inoltre, oggetto di uno specifico Regolamento di esecuzione n. 2018/151.
Il recepimento della Direttiva NIS, tra le altre cose, ha previsto l’adozione di una strategia nazionale di sicurezza cibernetica, volta a prevedere le misure di preparazione, risposta e recupero dei servizi a seguito di incidenti informatici, la definizione di un piano di valutazione dei rischi informatici e programmi di formazione e sensibilizzazione in materia di rischio cyber. Inoltre, è stato istituito il cosiddetto “CSIRT” italiano, prevedendo la fusione tra il CERT nazionale e il CERT-PA.
Le sanzioni amministrative nel caso di violazione delle disposizioni del decreto legislativo di recepimento della Direttiva NIS possono arrivare nei casi più gravi fino a 150.000 Euro.
Il legislatore europeo con la Direttiva (UE) 2016/943 ha voluto creare un quadro comune di protezione del know-how e delle informazioni commerciali riservate, attribuendo ai segreti commerciali lo stesso valore dei brevetti e di altri diritti di proprietà intellettuale.
I segreti commerciali sono, infatti, tutelati dagli articoli 98 e 99 del Codice della Proprietà Industriale (CPI), così come modificati dal D.lgs. n. 63/2018 che ha dato attuazione alla Trade Secrets Directive, all’interno del quale sono disciplinati ed espressamente inclusi tra i diritti “non titolati”, con conseguente applicazione di tutte le norme previste a tutela dei diritti di proprietà industriale. La qualificazione delle informazioni e delle esperienze aziendali come segreti commerciali offre diversi vantaggi.
Competitività: la tutela del patrimonio informativo aziendale come segreto commerciale ha un ritorno di immagine positivo per la società, in termini di maggiore affidabilità agli occhi dei partner commerciali, con un conseguente vantaggio competitivo rispetto ai concorrenti presenti sul mercato.
Tutela giuridica: il titolare dei segreti commerciali può ricorrere alle medesime tutele – e richiedere l’applicazione delle medesime sanzioni – concesse dal CPI ai diritti di proprietà industriale registrati (brevetti, marchi e design registrato).
Aumento del valore aziendale: i segreti commerciali sono a tutti gli effetti un asset aziendale che può essere valorizzato nell’ambito di operazioni straordinarie (es. fusioni e acquisizioni), generando importanti plusvalenze.
Scalabilità: molte delle misure di sicurezza adottate per la tutela dei segreti commerciali sono idonee a proteggere adeguatamente anche la sicurezza delle reti informatiche aziendali (cybersecurity) e dei dati personali (GDPR).
La fruizione dei predetti vantaggi da parte dell’impresa è, tuttavia, subordinata alla qualificazione delle informazioni e delle esperienze aziendali come segreti commerciali. Non tutto il patrimonio informativo, infatti, è qualificabile come segreto commerciale. Ai sensi di quanto previsto dell’art. 98 del CPI sono segreti commerciali solo le informazioni aziendali e le esperienze tecnico-industriali, comprese quelle commerciali, che siano segrete, che abbiano valore economico in quanto segrete, e che siano sottoposte da parte del titolare a misure ragionevolmente adeguate a mantenerle segrete.
A differenza di altri titoli di proprietà industriale, quali marchi, brevetti e design, per i quali esiste un registro che attesta la sussistenza dei requisiti per la tutela, per i segreti commerciali l’onere di provare la sussistenza dei presupposti per la tutela grava sul titolare: è quindi determinante individuare le informazioni e/o esperienze che si ha interesse a proteggere quale segreto commerciale, per poi procedere ad implementare le misure di sicurezza necessarie a garantire l’effettiva riservatezza di tali informazioni.
A tale riguardo, le misure di sicurezza che possono essere potenzialmente adottate non sono solo di natura tecnico/informatica, ma possono consistere anche in misure organizzative (come le policy interne volte a disciplinare le modalità di gestione, conservazione e trasferimento delle informazioni) e contrattuali (ad esempio, accordi di confidenzialità e clausole di riservatezza e segretezza).
Il Regolamento (UE) 2019/881, meglio noto come Cybersecurity Act, rappresenta uno dei principali tasselli della legislazione europea in relazione al sistema di sicurezza cibernetica europeo. L’obiettivo dichiarato del Cybersecurity Act è quello di rafforzare la resilienza informatica dell’Unione Europea agli attacchi informatici, nonché accrescere la fiducia dei consumatori nei servizi digitali, anche attraverso la creazione di un mercato unico della sicurezza informatica.
A tale scopo, il Cybersecurity Act agisce principalmente su due aspetti: da un lato, rafforza significativamente il ruolo dell’Agenzia dell’Unione Europea delle reti e dell’informazione (ENISA); dall’altro, istituisce un quadro europeo per la certificazione della sicurezza informativa di prodotti ICT e servizi digitali.
ENISA
La European Network and Information Security è stata inizialmente costituita nel 2004 con il compito di assistere gli Stati membri e le istituzioni europee – da un punto di vista tecnico – nel settore della sicurezza delle reti e dell’informazione.
Con il Cybersecurity Act, l’ENISA – che, pur mantenendo l’acronimo, viene ora chiamata European Union Agency for Cybersecurity – ampia il suo raggio di azione e acquisisce un ruolo di primo piano nella costruzione della strategia di sicurezza informatica nell’Unione Europea.
L’ENISA presta la propria assistenza a enti e istituzioni dell’Unione, nonché a soggetti pubblici e privati. Oggetto dell’assistenza è il miglioramento della protezione delle reti e dei sistemi informativi, lo sviluppo delle capacità di cyber-resilienza e risposta e la gestione degli incidenti. L’ENISA, inoltre, compie una fondamentale attività di promozione della conoscenza e delle competenze nel campo della cybersecurity e promuove l’uso delle certificazioni europee.
Linee Guida ENISA: Nell’ambito della propria attività di promozione, l’ENISA pubblica regolarmente diverse linee guida che coprono molteplici argomenti e interessano numerosi settori che devono confrontarsi con la tematica della cybersecurity
Altro snodo fondamentale del Cybersecurity Act è l’introduzione di un quadro europeo di certificazione della sicurezza informatica dei prodotti e dei servizi digitali.
Lo scopo di tale sistema è duplice: si tenta di facilitare lo scambio di prodotti e servizi ICT, creando così un mercato unico della sicurezza informatica, con lo scopo ulteriore di rafforzare la fiducia dei consumatori in tali prodotti.
Perché un sistema europeo? In quasi tutti gli Stati membri è già presente un qualche tipo di schema di certificazione in materia di cybersecurity per prodotti e servizi digitali. Tuttavia, tali schemi normalmente non hanno efficacia all’estero, con la conseguenza che le imprese interessate sono costrette a svolgere diversi processi di certificazione in ciascuno Stato membro.
2.6 Perimetro Nazionale di Sicurezza Cibernetica
Sull’onda della spinta europea – iniziata soprattutto con la Direttiva NIS – anche l’Italia ha avviato l’adozione di un sistema normativo in materia di cybersecurity.
Si tratta di un articolato quadro normativo, composto da diversi fonti e provvedimenti (alcuni dei quali in costante aggiornamento e/o non ancora pienamente adottati), che si propone di:
Tutto ciò, al fine di “assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato”.
Oltre al D.L. 105/2019, che ha istituito il perimetro di sicurezza, rilevano anche diversi DPCM tra cui:
La conferma della centralità del tema della cybersecurity emerge chiara alla luce dell’entità delle conseguenze di natura penale che possono derivare da condotte illecite che compromettono la sicurezza informatica e, quindi, anche quella delle informazioni per tale via “aggredibili”. Le violazioni in questo ambito possono infatti tradursi in rilevanti offese al patrimonio, alla reputazione e all’immagine; arrivare a turbare o interrompere il regolare svolgimento di servizi ed attività pubbliche essenziali; costituire, in alcuni casi, un pregiudizio per la sicurezza nazionale in delicati settori strategici.
Il Legislatore ha quindi nel tempo predisposto diverse fattispecie penali a presidio della sicurezza delle informazioni, delle reti e dei sistemi informatici e telematici –spesso in esecuzione anche degli input derivanti dalla legislazione europea– dirette a reprimere condotte volte, ad esempio, ad acquisire e/o utilizzare illecitamente i dati personali, ad accedere abusivamente e/o a compromettere l’operatività di sistemi informatici o telematici (così come delle relative comunicazioni e flussi informativi), oppure connesse alla violazione di specifici obblighi posti dalla normativa di settore.
Da ultimo, è importante evidenziare come molti dei reati in tema di sicurezza informatica sino stati inseriti anche nel catalogo dei cd “reati presupposto” in grado di fondare la responsabilità amministrativa da reato degli enti ai sensi del d.lgs. 231/01.
Le figure di reato rilevanti in argomento possono essere suddivise in tre aree: (i) quella tradizionalmente afferente ai cd reati informatici, che trovano disciplina nel Codice Penale; (ii) quella relativa alla raccolta ed al trattamento dei dati personali, i cui illeciti penali sono previsti nel Codice della Privacy; e, infine (iii) quella riferita alle violazioni previste dalle normative di settore introdotte al fine di innalzare il livello di sicurezza delle reti e dei sistemi informativi in relazione a determinati ambiti (si pensi, ad esempio, alle violazioni previste dalla legge istitutiva del perimetro di sicurezza nazionale cibernetica) ritenuti strategici a livello nazionale ed europeo.
Dapprima con la L. 547/1993 e successivamente con la L. 48/2008, sono stati introdotti nel codice penale numerosi reati cd “informatici”, così definiti in quanto l’elemento che li caratterizza è appunto quello della loro realizzazione mediante l’utilizzo di tecnologie telematiche e/o informatiche. Tra i reati informatici idonei ad impattare sulla sicurezza dei sistemi informativi spiccano, per diffusione nella prassi attuale, soprattutto:
In materia di dati personali la normativa nazionale prevede diverse figure di reato, contenute nel Codice della Privacy, così come aggiornato a seguito dell’approvazione del decreto di adeguamento al GDPR e nello Statuto del Lavoratori (L. 20 maggio 1970, n. 300) per quanto riguarda la sola violazione della disciplina dei controlli a distanza dei lavoratori. In particolare, le due fonti in considerazione prevedono i seguenti illeciti penali:
Con specifico riferimento alla maggior parte delle fattispecie penali contenute nel Codice della Privacy, a seguito del decreto di aggiornamento successivo all’approvazione del GDPR, è oggi previsto, quale elemento necessario affinché il reato sia perfezioni, anche la realizzazione di un danno in alternativa alla finalità di ottenere un profitto illecito (elemento, quest’ultimo, già previsto in precedenza).
Reati previsti dal D.L. 105/2019 (Perimetro di sicurezza nazionale cibernetica)
Con specifico riferimento alla materia penale, l’articolo 1 del D.L. 105/2019, istitutivo del perimetro nazionale di sicurezza cibernetica, prevede un’articolata disposizione che introduce diverse ipotesi di reato, dirette a sanzionare qualsiasi soggetto – tra quelli inclusi nel perimetro di sicurezza nazionale cibernetica – che ostacoli o condizioni i procedimenti o le attività ispettive e di vigilanza fornendo informazioni, dati o elementi di fatto non rispondenti al vero, oppure ometta di comunicare entro i termini prescritti tali dati, informazioni o elementi di fatto, prevedendo per tutte le ipotesi citate la reclusione da uno a tre anni.
Le normative descritte in precedenza sono tutte norme giuridiche con efficacia vincolante, adottate da legislatori nazionali o europei. Accanto a tali disposizioni hanno da tempo trovato spazio anche le cosiddette “norme tecniche”, cioè a dire specifiche tecniche approvate da organismi riconosciuti a svolgere attività normativa e che definiscono le caratteristiche e i requisiti (dimensionali, materiali o prestazionali) ottimali di un prodotto, un processo o un servizio.
Norme tecniche (o standard): normative non derivanti dell’esercizio del potere legislativo, ma che si caratterizzano per i seguenti aspetti:
Consensualità: i requisiti/caratteristiche sono consensualmente individuati dagli attori socio-economici coinvolti nella produzione e gestione di quel determinato prodotto, processo o servizio e la norma tecnica è redatta da enti normatori attraverso procedure standard basate sul consenso. I principali enti normatori in Italia sono CEI (che si occupa dell’ambito elettrico) e UNI (che si occupa di tutti i restanti ambiti) mentre a livello mondiale sono IEC e ISO (con la medesima suddivisione tematica)
Democraticità: tutte le parti interessate devono poter partecipare ai lavori e chiunque è messo in grado di formulare osservazioni nell’iter che precede l’approvazione finale delle norme. La partecipazione al processo è in ogni caso volontaria: sono gli stessi interessati che supportano la normazione considerandola una forma di investimento strategico
Trasparenza: ogni ente normatore è tenuto a segnalare le tappe fondamentali dell’iter di approvazione di un progetto di norma
Volontarietà: le norme rappresentano un mero riferimento, non essendovi alcun obbligo di seguirle e rispettarle se non in casi determinati (ad esempio, ove richiamate in specifiche disposizioni legislative). Una norma tecnica non è, quindi, di per sé cogente, ma trae la sua autorevolezza dal consenso degli attori socio-economici coinvolti
In conclusione, tali norme si propongono di definire uno standard che faciliti l’interazione produttiva, economica, sociale. Le norme tecniche che maggiormente hanno trovato diffusione sul mercato negli ultimi decenni sono quelle sui sistemi di gestione. Un modello di gestione è un modello organizzativo composto di politiche, procedure e regole che l’azienda si pone per raggiungere un determinato obiettivo che, per quanto qui rileva, è la sicurezza delle informazioni.
I sistemi di gestione della sicurezza delle informazioni sono oggetto di uno specifico standard internazionale, la ISO/IEC 27001:2017 “Tecnologia delle informazioni – Tecniche di sicurezza – Sistemi di gestione della sicurezza delle informazioni – Requisiti”. Da tale norma tecnica ne sono poi derivate numerose altre, a comporre quella che usualmente è definita come la “famiglia delle ISO/IEC 27000”.
Nello specifico, lo standard ISO/IEC 27001 individua i requisiti per implementare, attuare, mantenere e migliorare in modo continuo un SGSI (Sistema di Gestione per la Sicurezza delle Informazioni) nel contesto di un’azienda o un’organizzazione. Tale norma mira, quindi, a stabilire un sistema organizzato, che assicura una gestione controllata delle informazioni e consente di valutare attentamente tutti i rischi per il business e le diverse tipologie di informazioni gestite, evidenziando le aree in cui è necessario un miglioramento. Ciò con l’obiettivo di preservare riservatezza, integrità e disponibilità dei dati e delle informazioni.
Così come il GDPR, anche la ISO/IEC 27001 adotta un approccio basato sul rischio (risk-based approach) per decidere azioni e misure da adottare per garantire la sicurezza dei dati e delle informazioni. Tale standard ha però un raggio di operatività decisamente più ampio rispetto agli obiettivi del GDPR: la norma internazionale, infatti, mira a proteggere non soltanto i dati personali, ma tutto il patrimonio di informazioni (finanziarie, economiche), in qualsiasi forma esse siano conservate (cartacea o elettronica), costituendo esse un vero e proprio bene da tutelare.
Inoltre, in quanto norma tecnica, qualsiasi soggetto (persona fisica o giuridica, ente pubblico o privato, associazione) può decidere liberamente se ed in che misura adottarla nonché di utilizzarla come criterio guida per gestire i rischi relativi alla sicurezza di dati e informazioni oggetto di operazioni di trattamento.
La sua larga diffusione è, peraltro, strettamente connessa alla certificazione che viene rilasciata da organismi accreditati alle imprese che la adottano. Soltanto le organizzazioni che vogliano ottenere una certificazione ISO 27001 e pregiarsi di questo titolo sono quindi obbligate a dimostrare il rispetto dei requisiti previsti dalla norma.