L’era (anche normativa) della Cybersecurity

L’era (anche normativa) della Cybersecurity

Il 23 gennaio del 2020, la lancetta del Doomsday Clock[1] è arrivata a soli cento secondi dalla simbolica mezzanotte che segnerà la fine del mondo. Dal lontano 1947, anno in cui è stato creato l’orologio, le lancette non avevano mai segnato un’ora tanto vicina alla metaforica apocalisse. La ragione è, tra le altre cose, il riconoscimento che la guerra cibernetica rappresenta una seria minaccia per l’intera umanità.

La crescente dipendenza della vita quotidiana e dell’economia globale alle nuove tecnologie ha reso la cybersecurity una delle questioni più delicate per la prosperità e la sicurezza dei cittadini e delle imprese. La creazione di spazio cibernetico, infatti, se da un lato, ha permesso innumerevoli possibilità di sviluppo economico, dall’altro, è stato accompagnato da un parallelo incremento delle vulnerabilità.

La comunità scientifica, come visto, nonché la scena politica europea ed italiana stanno sempre di più incrementando la loro attenzione allo studio del fenomeno nonché alla risoluzione delle problematiche ad esso connesse. Al tal riguardo, per avere un’idea del fenomeno, emblematico è il “Discorso sullo stato dell’Unione 2017”, nel quale l’allora Presidente della Commissione Europea Jean-Claude Juncker, metteva in guardia gli Stati europei di come “per la stabilità delle democrazie e delle economie i cyberattacchi possono essere più pericolosi delle armi e dei carri armati”[2].

Ricercando l’equilibrio tra innovazione e protezione, è sorta (anche e di conseguenza) la necessità di una precisa regolamentazione normativa che, disciplinando il concreto utilizzo della cybersecurity e i relativi impatti sulla società, sia idonea a garantire una protezione in linea con i criteri tecnologici sottostanti ed assicurando, al contempo, il raggiungimento degli obiettivi e il soddisfacimento dei bisogni di coloro che fruiscono dei sistemi informatici.

In considerazione dei rischi connessi all’esposizione alle minacce cibernetiche, il tema è divenuto oggetto di interventi normativi in ambito nazionale ed europeo che hanno condotto alla formazione di un framework normativo sempre più composito sul quale basare lo sviluppo di strategie di intervento e di meccanismi di tutela.

Nel quadro della più recente normativa europea in materia di cybersecurity, possiamo citare, senza pretese di esaustività, si colloca il Regolamento UE 2019/881[3], pubblicato in GU il 7 giugno 2019 ed entrato in vigore il 27 giugno 2019 (cd. “Cybersecurity Act”) che costituisce uno step fondamentale della strategia per rafforzare la sicurezza cibernetica nell’Unione Europea, mirando a creare un mercato unico nel quale facilitare lo scambio di prodotti, servizi e processi e ad accrescere la fiducia dei consumatori nelle tecnologie digitali.

Il Cybersecurity Act specifica, altresì, il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA)[4] che svolge attività di consulenza tecnica e di supporto alla gestione operativa degli incidenti informatici degli Stati membri. Tra le misure adottate, inoltre, vi è l’introduzione di un sistema europeo per la certificazione della sicurezza informatica dei dispositivi ICT.

Tale strumento normativo si affianca alla Direttiva (UE) 2016/1148 del 6 luglio 2016 (c.d. direttiva NIS-Network and Information Security[5]) la cui elaborazione si basa sulla volontà di garantire un adeguato livello di sicurezza delle reti, dei sistemi informativi e dei servizi informatici in ambito nazionale, contribuendo ad incrementare, di conseguenza, la sicurezza in ambito europeo mediante l’adozione di soluzioni atte a fronteggiare le minacce cibernetiche.

La citata direttiva è stata recepita in Italia dal D.lgs. 65/2018[7], il quale definisce gli obblighi in capo agli operatori dei servizi essenziali e ai fornitori dei servizi digitali operanti in settori quali energia e trasporti, bancario, sanitario, infrastrutture dei mercati finanziari e digitali, fissando, così, la cornice legislativa entro la quale disciplinare le misure tecnico-operative da adottare nell’erogazione dei propri servizi per la sicurezza informatica.

Nello scenario normativo in tema di sicurezza cibernetica è presente anche il decreto n. 105/2019[7], istitutivo del “Perimetro di Sicurezza Nazionale Cibernetica”, per la cui attuazione ed ulteriore specifica rimanda al DPCM n. 131/2020, il quale definisce i criteri di individuazione dei soggetti pubblici e privati inclusi nel Perimetro, predisponendo un elenco di reti, sistemi informativi e servizi informatici per la sicurezza nazionale, in quanto indispensabili per l’esercizio di una funzione essenziale dello Stato o per la prestazione di un servizio essenziale per gli interessi dello Stato.

Alla luce di quanto detto, il panorama normativo nazionale ed europeo sta subendo delle modifiche, o meglio, si sta definendo di pari passo con l’evoluzione digitale ma non può dirsi di certo ad oggi completo ed esaustivo. I provvedimenti finora emanati testimoniano l’attenzione da parte del legislatore europeo ed italiano verso la cybersecurity e rispondono all’esigenza di tutela ma occorrono ancora ulteriori passaggi per giungere ad una concreta realizzazione di un substrato normativo sul tema.

Si attendono, dunque, sviluppi futuri mediante una regolamentazione sempre più puntuale da inserire nell’impianto normativo che si sta progressivamente costruendo, operando non solo in ottica di protezione preventiva ma anche di attuazione di un pronto e repentino intervento in caso di attacchi ai sistemi tecnologici coinvolti.

[1] L’orologio dell’apocalisse è una iniziativa ideata nel 1947 dagli scienziati della rivista Bulletin of the Atomic Scientists dell’Università di Chicago. Si tratta, in particolare, di un orologio la cui mezzanotte simboleggia la fine del mondo a cui l’umanità è sottoposta. A tal riguardo, si v.: https://thebulletin.org/2020/01/press-release-it-is-now-100-seconds-to-midnight/.

[2] Il discorso completo si v.: https://ec.europa.eu/commission/presscorner/detail/it/SPEECH_17_3165

[3] Per una più completa disamina si v.: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32019R0881&from=PT

[4] Per il provvedimento istitutivo si v.: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2004R0460:20110625:IT:PDF

[5] Per il testo integrale del provvedimento si v.: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L1148&from=EN

[6] A tal riguardo si v.: https://www.gazzettaufficiale.it/eli/gu/2018/06/09/132/sg/pdf

[7] Al tal proposito si v.: https://www.gazzettaufficiale.it/eli/id/2019/09/21/19G00111/sg

Per altri articoli relativi alla normativa sulla cybersecurity si rimanda a https://www.telsy.com/it/blog/#legal

Gli autori

Alessandro Livi si è laureato con il massimo dei voti presso l’Università degli Studi di Roma “Tor vergata” discutendo una tesi in Diritto Privato Comparato dal titolo: “Il diritto d’autore internazionale nella società digitale, tra nuove tutele e nuovi conflitti”. Dottorando di ricerca presso l’Università degli Studi di Roma “Tor Vergata”, Alessandro è, altresì, cultore della materia di Diritto Privato Comparato presso la citata Università nonché di Market Law and Regulation presso l’università LUISS Guido Carli. Prima di entrare in Telsy, ha prestato la propria attività, tra le altre cose, nell’ambito della contrattualistica d’impresa, del diritto societario, del diritto commerciale e del diritto finanziario presso studi legali di primario livello, sia nazionali che internazionali, nonché, in qualità di Legal Consuel, in contesti aziendali. È, infine, autore di diverse pubblicazioni in materia di diritto societario, fintech e cybersecurity law.

Erica Onorati, laureata in giurisprudenza all’Università LUISS Guido Carli di Roma con una tesi in diritto civile intitolata “Le clausole di rinegoziazione”, incentrata sull’analisi e sull’applicabilità della rinegoziazione in materia contrattuale. Specializzata nel profilo di diritto civile, ha approfondito temi legati alla responsabilità contrattuale ed extracontrattuale e al diritto societario e commerciale. Dopo diverse esperienze maturate in ambito legale in contesti aziendali come giurista d’impresa, attualmente ricopre il ruolo di Junior Legal Counsel in Telsy. con un focus incentrato sulla gestione della contrattualistica d’impresa e sulla consulenza legale fornita alle linee di business coinvolte nei vari settori di operatività aziendale.