L’Italia di fronte alla minaccia cibernetica, sfide, normative e scenari. L’analisi dell’Avv. Stefano Mele

La cybersecurity è la seconda emergenza in Europa, dopo il cambiamento climatico e prima dell’immigrazione. A dirlo è stato il presidente della Commissione Europea Jean-Claude Junker nel discorso sullo stato dell’Unione del 13 settembre 2017.

In un mondo sempre più digitalizzato, gli attacchi informatici suscitano allarme nella popolazione, causano danni ingenti all’economia e mettono in pericolo la stessa incolumità dei cittadini quando colpiscono reti di distribuzione di servizi essenziali come la sanità, l’energia, i trasporti, con un controllo surrettizio di una vasta gamma di servizi delle infrastrutture critiche della società moderna come anche possono determinare il blocco della operatività di grandi aziende, furti della proprietà intellettuale o di informazioni cruciali per la sopravvivenza di un’azienda e di intere nazioni fino a mettere a repentaglio la stessa democrazia.

Al fine di delineare un quadro dello scenario normativo nazionale ed internazionale, delle sfide cui siamo di fronte e della strategia da adottare in tema di cybersecurity, Diritto Mercato Tecnologia ha intervistato Stefano Mele, avvocato, esperto di cybersicurezza, Presidente Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano.

Avv. Mele, la minaccia cibernetica in Italia quali i rischi per il nostro Paese e come siamo preparati ad affrontarli?

L’innovazione tecnologica rappresenta senza ombra dubbio uno tra i maggiori e più importanti vettori di sviluppo e di crescita economica e sociale di ogni Stato. Pertanto, occorre non sottovalutare i rischi che potrebbero discendere da un utilizzo poco accorto delle tecnologie e della rete Internet, tanto sotto il profilo strettamente criminale, quanto sotto quello della sicurezza nazionale, in particolar quando essa si declina all’interno delle incessanti attività di spionaggio informatico: oggigiorno, una tra le principali minacce alla competitività economica di ogni nazione.

L’analisi dello scenario corrente e dei principali documenti strategici nazionali in tema di sicurezza cibernetica delineano contorni comuni e quanto mai evidenti delle più importanti direttrici di minaccia.

Esse si sostanziano nel vuoto normativo e di regolamentazione (soprattutto internazionale) presente in questo settore, nel basso livello di collaborazione e di scambio informativo interno e internazionale, nella scarsa capacità di raggiungere un adeguato livello di sicurezza cibernetica e di resilienza dei sistemi critici nazionali, fino alla quasi inesistente sensibilità su queste tematiche da parte della maggior parte dei decisori politici.

Nonostante ciò, da tempo l’Italia, grazie soprattutto all’incessante lavoro del nostro Dipartimento delle Informazioni per la Sicurezza (DIS), si è dotata di una precisa strategia per far fronte alla cosiddetta minaccia cibernetica – pubblicando anche due piani attuativi di breve/medio periodo – e riorganizzando di recente anche la struttura governativa, al fine di snellirla e renderla ancora più capace di fronteggiare questa minaccia che ha nell’istantaneità, nell’a-territorialità e nell’anonimato i suoi tre principali punti di forza.

La principale criticità, però, risiede ancora nella mancanza di fondi stabili attributi dalla politica a questo settore. Settore che, lo si deve ricordare, abbraccia trasversalmente ogni ambito della società e della nostra vita di tutti i giorni: dalla sicurezza nazionale alla tutela del know-how delle nostre aziende, dalla sanità  ai sistemi bancari e finanziari, dalla crescita economica alla tutela dei diritti dei cittadini.

Lo scorso 16 maggio è stato approvato in Consiglio dei Ministri il Decreto Legislativo per attuare in Italia la Direttiva NIS, pubblicato in Gazzetta Ufficiale, è in vigore a fine giugno. Cosa cambia nell’approccio alla sicurezza?

La Direttiva UE 2016/1148, meglio nota come Direttiva NIS, ha come obiettivo quello di provare a mitigare una delle criticità evidenziate in precedenza: quella di raggiungere un adeguato livello di sicurezza cibernetica e di resilienza dei sistemi critici nazionali.

La Direttiva prova a farlo creando misure volte a garantire un livello comune elevato di sicurezza delle reti e delle informazioni che sia uniforme in tutta l’Unione europea. Ciò, attraverso l’adozione di misure tecniche e organizzative che consentano di ridurre i rischi e l’impatto degli incidenti informatici. In quest’ottica, gli obiettivi della Direttiva risultano essere essenzialmente tre:

(i)     promuovere la cultura della gestione del rischio e della segnalazione degli incidenti tra i principali attori economici, in particolare tra gli operatori che forniscono servizi essenziali per il mantenimento di attività economiche e sociali, così come tra i fornitori di servizi digitali;

(ii)     migliorare le capacità nazionali in materia di sicurezza cibernetica;

(iii)     rafforzare la cooperazione in questo settore a livello nazionale e in ambito europeo.

Appare innegabile come la condivisione delle informazioni relative agli incidenti informatici e la cooperazione sia a livello nazione, che in ambito europeo, siano oggigiorno elementi tanto indispensabili, quanto nella pratica difficilmente raggiungibili.

Infatti, se da un lato i governi e le autorità pubbliche sono generalmente restii a condividere informazioni riguardanti la sicurezza cibernetica per timore di compromettere la sicurezza o la competitività nazionale, dall’altro le imprese private sono spesso altrettanto riluttanti a condividerle per timore di esporre le informazioni aziendali sensibili, di danneggiare la propria reputazione, oppure di rischiare di violare le norme in materia di protezione dei dati personali. 

Pertanto, l’obiettivo della Commissione europea di contribuire in maniera attiva – anche grazie al sostegno dell’ENISA – alla creazione di centri di condivisione e di analisi delle informazioni, soprattutto per quei settori ove operano aziende che erogano servizi essenziali , non può che essere visto con estremo favore. Ciò, soprattutto, al fine di provare a superare nel minor tempo possibile quelle evidenti resistenze che il settore attualmente registra.

Quale l’impatto del GDPR sulla cybersicurezza?

Il Regolamendo Generale sulla Protezione dei Dati, meglio noto come GDPR, rappresenta un ulteriore tassello nella strategia europea per giungere nel minor tempo possibile non solo a creare un livello di protezione delle informazioni – nel caso del GDPR focalizzato sui dati personali delle persone fisiche – che sia adeguato rispetto ai “salti” incessanti dell’innovazione tecnologica, ma anche e soprattutto di raggiungere quell’auspicabile dovere di diligenza del settore industriale utile ad implementare reali metodologie di “sicurezza fin dalla progettazione” (security by design) di prodotti, servizi e sistemi. 

E’ in quest’ottica, infatti, che deve essere letto lo sforzo di compliance che oggi viene richiesto alle aziende e alle pubbliche amministrazioni: un’opportunità di maturazione di maturazione rispetto al tema della sicurezza cibernetica. 

Del resto, come amo ripetere sempre, parlare oggigiorno di sicurezza cibernetica non significa più parlare solo ed esclusivamente di sicurezza informatica, di protezione tecnica dei sistemi, di “anti-virus” e di sistemi operativi. Parlare oggi di sicurezza cibernetica significa parlare di protezione del know-how e dei piani di sviluppo delle nostre aziende. Significa parlare di protezione dei dati personali dei clienti, delle loro scelte, della loro sfera più intima e privata. Significa parlare del garantire l’erogazione dei servizi essenziali ai cittadini, come l’energia elettrica, le comunicazioni, gli approvvigionamenti, i trasporti. 

Parlare oggi di sicurezza cibernetica, allora, è parlare di tutela del business e dei posti di lavoro. E’ parlare di sicurezza e crescita economica e sociale. E’ parlare di sicurezza nazionale.