Elisabetta Giovanna Rosafio è professore ordinario di Diritto della navigazione e Diritto aerospaziale presso la…
La cyber security nell’Agenda Digitale Italiana. L’intervento del Prof. Alberto Gambino
di Alberto Gambino*Lo spazio cibernetico riveste un’importanza centrale per la gestione che in esso si esplica della vita politica, sociale ed economica di tutti i Paesi, e l’interconnessione dei relativi sistemi informatici impone a ciascuno di essi di prendere in grande considerazione il tema della sicurezza.
Inizialmente concepito come uno spazio immateriale non soggetto ad alcuna regolamentazione, lo spazio cibernetico si trova oggi sottoposto a confliggenti iniziative regolatorie espressioni dei vari interessi coinvolti, di cui si fanno portavoce Stati, organizzazioni internazionali e organismi sovranazionali.
Un’attenta analisi della realtà odierna mostra, tuttavia, come sia sempre maggiore l’esigenza non tanto di una regolamentazione specifica delle attività svolte all’interno dello spazio cibernetico – ciò anche in ragione dell’attività ermeneutica di giurisprudenza e dottrina che hanno saputo applicare al mutato contesto tecnologico leggi pensate per una realtà “analogica” -, quanto piuttosto di quelle che al di fuori di esse vengono svolte e che, sfruttando le falle della rete, si alimentano con l’intento di minare l’ordine e la certezza delle norme fondamentali della democrazia.
In questo contesto diviene ancor più stringente la necessità di analizzare il tema della sicurezza cibernetica, con il compito di descrivere i contorni dei possibili rimedi e strumenti di intervento, guardando anche alla possibilità di affiancare alle disposizioni legislative l’uso di strumenti tecnico-informatici condivisi e adottati su scala globale.
Il tema della sicurezza informatica ha, infatti, un perimetro particolarmente ampio, potendo essere considerato nella sua dimensione di sicurezza nazionale, ma anche nella sua dimensione più prossima al cittadino, almeno in termini di percezione, di sicurezza nelle modalità di trattamento dei dati.
L’Agenda Digitale Italiana 2014-2020, consapevole di questa duplice dimensione, individua quale fattore di sviluppo e di crescita del Paese gli investimenti nel settore della sicurezza delle reti e nell’ammodernamento degli strumenti e delle tecniche di trattamento dei dati, incidendo il primo più sulle esigenze di sicurezza nazionale e il secondo sulla privacy dei cittadini.
- Gli interventi normativi in materia di sicurezza informatica.
L’Unione Europea ha già da tempo avviato il processo di policy making volto a dotare i Paesi membri di un framework normativo che permetta la tutela della sicurezza in Internet nella sua interezza.
L’adozione del decreto legislativo n. 61/2011, con il quale è stata recepita la direttiva 2008/114/CE[1], e, successivamente, e della legge n. 33/2012, ha permesso l’avvio del processo di definizione delle Infrastrutture Critiche Europee (ICE) situate sul territorio nazionale. Con i successivi decreti attuativi del 2013 (DPCM del 24 Gennaio 2013) e del 2014 (DPCM del 27 gennaio 2014) sono state chiaramente riportate le infrastrutture informatiche nel perimetro delle infrastrutture nazionali rilevanti per la sicurezza e definiti il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico ed il Piano nazionale per la protezione cibernetica e la sicurezza informatica.
Il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico individua sei linee di intervento per potenziare la sicurezza cibernetica del Paese: 1) il miglioramento delle capacità tecnologiche per l’incremento delle capacità di monitoraggio e dell’analisi preventiva, 2) il potenziamento delle capacità di difesa mediante l’individuazione di un’Autorità nazionale cui affidare i compiti in materia di sicurezza informatica e delle reti che cooperi con le omologhe Autorità europee per la condivisione delle informazioni, 3) l’incentivazione della collaborazione tra Autorità ed imprese, 4) la promozione e la diffusione della cultura della sicurezza cibernetica, 5) il rafforzamento delle tecniche di contrasto dei contenuti illegali on-line e 6) l’attivazione di una rete di cooperazione con i Paesi terzi.
Nel Quadro Strategico Nazionale viene data grande importanza alle partnership Pubblico-Privato (PPP) considerate un elemento strutturale indefettibile all’interno dell’architettura nazionale preposta a garantire la sicurezza cibernetica. Tali forme di collaborazione si incentrano, secondo quanto indicato all’interno del Piano Nazionale, sul sistema di info-sharing, ossia di condivisione delle informazioni detenute, in un disegno volto ad assicurare l’interoperabilità dei dati e la condivisione degli standard di comunicazione e di valutazione delle vulnerabilità[2].
In particolare gli operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, sono chiamati a rispondere ad una serie di obblighi tra i quali: l’apertura delle proprie banche dati per consentire l’accesso ai controlli da parte delle Autorità competenti, la comunicazione al Nucleo per la Sicurezza Cibernetica (NSC) di ogni significativa violazione dell’integrità e della sicurezza informatica, l’adozione di best practices per il conseguimento della sicurezza cibernetica e, più in generale, l’obbligo di collaborazione per il ripristino della sicurezza in caso di infrazione della rete[3].
Con il decreto-legge n. 7/2015, convertito con modificazioni dalla l. n. 43/2015, il legislatore è nuovamente intervenuto in materia aggiornando gli strumenti di contrasto all’utilizzazione della rete internet per fini di proselitismo e agevolazione di gruppi terroristici, prevedendo aumenti di pena per i delitti di apologia e di istigazione al terrorismo commessi attraverso strumenti telematici.
Anche in tale provvedimento la cooperazione tra Autorità Giudiziaria e fornitori di connettività, di servizi di hosting o di altri servizi connessi alla rete Internet viene indicata come primo strumento per la prevenzione ed il contrasto al cyber terrorismo.
Nell’ambito delle PPP, già individuate nel Quadro Strategico Nazionale, viene, infatti, previsto che gli internet service provider collaborino con il Servizio Polizia Postale e delle Telecomunicazioni della Polizia di Stato per la creazione ed il costante aggiornamento di una “black list” dei siti internet utilizzati per attività legate al terrorismo.
A riprova dell’esigenza di considerare il tema della sicurezza informatica nella sua interezza il citato decreto ha introdotto, altresì, la modifica dell’articolo 53, comma 1, del decreto legislativo 30 giugno 2003, n. 196 (cd. Codice della privacy), ai sensi del quale, nella nuova formulazione, le forze di polizia e gli altri organi di pubblica sicurezza sono esentati dall’osservanza di alcune disposizioni del predetto Codice nell’effettuazione di trattamenti di dati personali per finalità di polizia espressamente individuati da norme di legge.
Deve osservarsi, peraltro, come il Governo abbia saputo delineare una disciplina che, seppur di emergenza, non si esaurisce in una mera compressione di diritti, analogamente a quanto accaduto in Francia dopo il primo attentato del 2015 (decreto n. 5/2015[4] che legittima una commissione amministrativa ad hoc a richiedere il blocco di siti aventi natura pedopornografica o terroristica) e già prima negli Stati Uniti d’America (con il Patriot Act[5]), ma che, al contrario, si dimostra equilibrata nel bilanciare i vari interessi in gioco anche grazie ad efficaci strumenti di coinvolgimento dei soggetti privati, rimettendo sempre le decisioni finali all’Autorità Giudiziaria, che è, per sua intrinseca natura, garante del rispetto dei diritti.
La dimensione della sicurezza informatica rapportata ai dati personali si palesa, alla luce di quanto esposto, in potenziale contrasto con la dimensione nazionale, da qui il compito che il legislatore, prima, e gli interpreti, in fase applicativa, poi, sono chiamati ad assolvere, rappresentato dall’esigenza di coniugare diritti individuali con interessi collettivi.
La lezione del costituzionalismo moderno in tema di diritti fondamentali insegna però che un punto di bilanciamento, anche in epoche di crisi, è possibile. Gli ordinamenti giuridici, infatti, così come le convenzioni e le carte che tutelano i diritti fondamentali a livello internazionale, non prevedono quasi mai una protezione assoluta dei diritti dell’uomo, ma stabiliscono le condizioni per il loro bilanciamento.
In questa cornice va collocato il dibattito che concerne la possibilità di ricorrere a tecniche di cifratura o criptazione, come strumento che consenta di bilanciare le evidenziate contrapposte dimensione del tema della sicurezza informatica.
La criptazione quale strumento di bilanciamento della sicurezza nazionale con la tutela dei dati personali viene richiamata dall’art. 17 della direttiva 95/46/CE, che annovera tale tecnica tra le misure di sicurezza, e nel più recente considerando n. 20[6] della direttiva 2002/58/CE relativa alla tutela della vita privata nel settore delle comunicazioni elettroniche. In particolare, secondo il considerando 20, i fornitori di servizi di comunicazione elettronica accessibili al pubblico su Internet sono tenuti a informare utenti e abbonati delle misure adottate per garantire la sicurezza delle loro comunicazioni: tra queste misure, si annoverano particolari tipi di programmi o tecniche di criptaggio.
In questa prospettiva deve leggersi anche l’introduzione, nel nuovo Regolamento Privacy[7], adottato lo scorso maggio e che entrerà in vigore dal 2018, dell’obbligo di analisi preventiva dei rischi di determinate operazioni di trattamento, c.d. Data Protection Impact Assessment (DPIA), che mira a ponderare ex ante l’incidenza che una determinata soluzione tecnica avrà sulla tutela dei dati trattati. L’analisi viene effettuata caso per caso, in ragione delle specificità correlate alle modalità di gestione delle informazioni.
Questa procedura, già presente in alcuni Paesi, ha preso piede anche nell’ambito dell’Unione in relazione ai dispositivi di identificazione a radio frequenza, c.d. Rfid, al fine di stimolare i produttori a sviluppare tecnologie rispettose della normativa sulla privacy. Tale mezzo di carattere preventivo, infatti, dovrebbe essere teso a valutare se il trattamento dei dati svolto nell’ambito della prestazione di un servizio sarà effettuato in maniera conforme alle disposizioni in materia, in modo da adottare prontamente le modalità di protezione che risultino necessarie.
La DPIA si colloca, dunque, in una fase preliminare dello sviluppo del prodotto/servizio, quando il design di quest’ultimo non è delineato in maniera definitiva, bensì è ancora in uno stadio progettuale. Uno dei vantaggi derivanti dall’adozione della DPIA consiste nella possibilità di ricorrervi non solo nella fase iniziale di progettazione, essendo uno strumento valutativo del rispetto delle disposizioni che può – e deve – essere aggiornato per tutto il ciclo di vita del dispositivo o della soluzione tecnica, poiché eventuali modifiche di quest’ultimi, o del contesto in cui gli stessi interagiscono per l’elaborazione dei dati, possono comportare nuovi o diversi rischi per il trattamento che vanno necessariamente considerati[8].
Si osserva, dunque, come per assicurare la tutela dei cittadini sia nella loro dimensione collettiva che in quella unitaria, sia necessario affiancare a delle “buone leggi”, l’uso di strumenti tecnici all’altezza delle sfide che l’attuale contesto storico presenta.
- Conclusioni
La scelta operata dal legislatore europeo e nazionale di individuare in misure tecniche di protezione un bilanciamento delle esigenze di sicurezza nazionale delle infrastrutture e della sicurezza delle modalità di trattamento dei dati conferma la bontà della scelta operata dal Governo di inserire tra gli obiettivi dell’Agenda Digitale Italiana anche lo sviluppo di efficienti e innovative infrastrutture informatiche.
Un’infrastruttura di accesso, in termini di reti e strumenti, adeguata è, infatti, il requisito di base per la crescita digitale; ma a questo tassello fondamentale occorre definire e aggiornare l’insieme di regole tecniche e di principi del Sistema Pubblico di Connettività (SPC), quale framework nazionale di integrazione e sicurezza, che definisce le modalità preferenziali che i sistemi informativi delle pubbliche amministrazioni devono adottare per essere tra loro interoperabili e sicuri.
*Il testo integrale dell’intervento del Prof. Alberto Gambino, Pro-Rettore dell’Università Europea di Roma e Presidente dell’Accademia Italiana del Codice di Internet (Iaic) in occasione del dibattito “Cyber Security: come non cadere nella Rete”, svoltosi a Senigallia il 18 luglio 2016.
[1] Direttiva 2008/114/CE del Consiglio, dell’8 dicembre 2008, relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione.
[2] Cfr. Presidenza del Consiglio dei Ministri, Piano nazionale per la protezione cibernetica e la sicurezza informatica, dicembre 2014, p. 16.
[3] Cfr. Presidenza del Consiglio dei Ministri, Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico, dicembre 2014, p. 25.
[4] Decreto n. 125 del 5 febbraio 2015 “relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique”.
[5] Public Law 107–56—OCT. 26, 2001: Uniting and strengthening america by providing appropriate tools required to intercept and obstruct terrorism (USA PATRIOT ACT) act of 2001.
[6] Direttiva 2002/58/CE, considerando n. 20: «I fornitori di servizi dovrebbero adottare misure appropriate per salvaguardare la sicurezza dei servizi da essi offerti, se necessario congiuntamente al fornitore della rete, e dovrebbero informare gli abbonati sui particolari rischi di violazione della sicurezza della rete. Tali rischi possono presentarsi segnatamente per i servizi di comunicazione elettronica su una rete aperta come l’Internet o la telefonia mobile analogica. È di particolare importanza per gli utenti e gli abbonati di tali servizi essere piena- mente informati dal loro fornitore di servizi dell’esistenza di rischi alla sicurezza al di fuori della portata dei possibili rimedi esperibili dal fornitore stesso. I fornitori di servizi che offrono servizi di comunicazione elettronica accessibili al pubblico su Internet dovrebbero informare gli utenti e gli abbonati delle misure che questi ultimi possono prendere per proteggere la sicurezza delle loro comunicazioni, ad esempio attraverso l’uso di particolari tipi di programmi o tecniche di criptaggio. L’obbligo di informare gli abbonati su particolari rischi relativi alla sicurezza non esonera il fornitore di servizi dall’obbligo di prendere, a sue proprie spese, provvedimenti adeguati ed immediati per rimediare a tutti i nuovi, imprevisti rischi relativi alla sicurezza e ristabilire il normale livello di sicurezza del servizio […]».
[7] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
[8] Indicazioni sul possibile utilizzo del sistema della DPIA si rinvengono preliminarmente nella comunicazione della Commissione europea, Un approccio globale alla protezione dei dati personali nell’Unione europea, COM (2010) 609 def., Bruxelles, 4 novembre 2010, 2.2.4 (cfr., inoltre, risoluzione Comprehensive approach on personal data protection, cit. supra nota 6), la quale sottolinea come i responsabili del trattamento di tali dati debbano effettuare un’opportuna valutazione dei dati soggetti al trattamento, specie in materia di dati sensibili. Inoltre, come accennavo, la suddetta DPIA è stata menzionata sia nel regolamento che nella direttiva di riforma del pacchetto di protezione dei dati. Fondamentale elemento da mettere in evidenza, è che la PIA potrebbe assumere un valore non solo interno, ma anche internazionale: negli accesi dibattiti tra Unione Europea e Stati Uniti, questo strumento appare conciliativo delle due realtà (cfr.: Department of Commerce Internet Policy Task Force, Commercial Data Privacy and Innovation in the Internet Economy: A Dynamic Policy Framework, December, 2010, 34 ss., pubblicato in http://www.commerce.gov/sites/default/files/documents/2010/december/iptf-privacy-green-paper.pdf).
Cyber, Gambino: bene sviluppo innovative infrastrutture (Askanews/CyberAffairs)
Il Parlamento Ue adotta la direttiva Network and Information Security (Nis)
20 LUGLIO 2016