Il 21 novembre è entrata in vigore la legge 133 del 18 novembre 2019, recante disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica.

Negli ultimi due anni, gli attacchi cyber sono aumentati in termini non solo quantitativi, ma anche qualitativi.

Basti pensare all’incremento delle attività di cyber spionaggio e sabotaggio, attuate mediante infiltrazioni nelle strutture critiche di aziende e istituzioni con lo scopo di estrarre dati a fini geopolitici o economici. È di poche settimane fa l’ultimo esempio che ha riguardato l’Italia, con l’infiltrazione in banche dati istituzionali come quella dell’Agenzia delle Entrate, dell’Inps, di Aci e Infocamere mediante attacchi ai sistemi informatici di alcuni Comuni.
A voler considerare tra i rischi cyber anche gli “attacchi” realizzati attraverso lo sfruttamento di lacune normative, l’opacità dei contratti di servizio in essere o la scarsa informazione del pubblico, su tutti si ricordi il caso “Cambridge Analytica”.

L’evoluzione tecnologica, da Giano Bifronte qual è, mostra proprio sul terreno della sicurezza informatica l’altra “faccia della stessa medaglia”.
Gli attori e le tecnologie, infatti, si evolvono, ma l’evoluzione non è necessariamente “costruttiva”, potendo essere impiegata anche fini “distruttivi”.

I sistemi basati sull’intelligenza artificiale, ad esempio, che sono da accogliere con estremo favore per l’efficientamento e la riduzione dei costi che comportano, si prestano essi stessi ad essere lo strumento per la realizzazione di attacchi informatici o, peggio, ad essere alterati e indotti in errore con conseguenze gravissime in ragione del tipo di struttura nel quale sono impiegati.
È, quindi, evidente che quanto più le modalità e le finalità degli attacchi diventano sofisticate, tanto più completa e solida deve essere l’architettura a tutela della sicurezza cibernetica.
Blockchain, intelligenza artificiale, industria 4.0, Internet of Things sono evoluzioni tecnologiche inevitabili, necessarie e auspicate. Esse, tuttavia, presuppongono la sicurezza della rete che il perimetro di sicurezza nazionale cibernetica intende garantire.

L’Italia, con la legge in commento, prosegue il percorso avviato l’anno scorso e concretizzatosi con l’implementazione della Direttiva Network and Information Security, l’individuazione dei c.d. operatori essenziali e la pubblicazione delle linee guida per la gestione dei rischi e la prevenzione e mitigazione degli incidenti che hanno un impatto rilevante sulla continuità e sulla fornitura dei servizi essenziali.
La legge, infatti, stabilisce i criteri per individuare i soggetti inclusi nel perimetro, i relativi obblighi e le sanzioni in caso di inadempimento e fissa i termini di concretizzazione dei necessari step successivi.

Il perimetro di sicurezza nazionale: i soggetti, gli obblighi e le sanzioni
Entro il 21 marzo 2020, verranno individuati i soggetti inclusi nel perimetro che, come tali, sono tenuti al rispetto degli obblighi in materia di sicurezza nazionale cibernetica.
Si tratta di amministrazioni pubbliche, enti e operatori pubblici e privati che esercitano una funzione essenziale dello Stato o assicurano un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, e che dipendono da reti, sistemi informativi e servizi informatici.

La legge chiarisce che l’individuazione dei soggetti interessati avverrà mediante un criterio di gradualità, ovvero considerando l’entità del pregiudizio che potrebbe derivare dal malfunzionamento, dall’interruzione ovvero dall’utilizzo improprio delle reti e dei sistemi informativi ed informatici interessati.
Entro il 21 maggio 2020, i soggetti inclusi nel perimetro devono trasmettere alla Presidenza del Consiglio dei Ministri (i soggetti pubblici) e al Ministero dello Sviluppo Economico (i soggetti privati), l’elenco delle reti, dei sistemi informativi e dei servizi informatici di loro competenza. Lo stesso elenco, inoltre, dovrà essere aggiornato annualmente.
Secondo la procedura che verrà definita entro il 21 settembre 2020, i soggetti inclusi nel perimetro dovranno:

• Notificare gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici al Gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT).
  Tale notifica è dovuta anche da parte degli operatori di servizi essenziali, individuati il 28 dicembre scorso, e delle imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico inclusi nel perimento di sicurezza nazionale cibernetica.

• Comunicare l’intenzione di affidare forniture di beni e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici al Centro di valutazione e certificazione nazionale (CVCN) istituito presso il Ministero dello Sviluppo Economico. La comunicazione deve comprendere una valutazione del rischio anche in relazione all’ambito di impiego.

Il CVCN, cui è consegnata anche una valutazione del rischio relativo all’affidamento, effettua verifiche preliminari e può imporre condizioni e test di hardware e software. I bandi di gara o i contratti, quindi, devono essere integrati con clausole che condizionano, sospensivamente o risolutivamente, il contratto al rispetto delle condizioni e all’esito dei favorevole dei test disposti dal CVCN.

Entro il 21 settembre 2020, inoltre, verranno anche stabilite le misure volte a garantire elevati livelli di sicurezza sulle reti, dei sistemi informativi e dei servizi informatici che tengano conto degli standard definiti a livello internazionale e dell’Unione Europea.
Gli operatori di servizi essenziali e le imprese che forniscono reti pubbliche di comunicazioni o servizi di comunicazione elettronica accessibili al pubblico inclusi nel perimetro di sicurezza nazionale cibernetica, devono osservare le misure di sicurezza ad essi relative ove equivalenti a quelle stabilite per il perimetro di sicurezza nazionale.

Il complesso di obblighi previsti dalla legge è assistito dalla previsione di sanzioni amministrative e sanzioni penali.
Le prime, di importo particolarmente significativo, vanno da un minimo edittale di Euro 200.000 ad un massimo di Euro 1.800.000 a seconda del tipo di violazione commessa e della relativa gravità.
È prevista, invece, la pena della reclusione da 1 a 3 anni per chi, al fine di ostacolare o condizionare l’espletamento dei procedimenti o delle attività ispettive e di vigilanza, fornisce dati, informazioni o elementi non rispondenti al vero ovvero non comunica i dati o trasmette le informazioni e gli elementi di fatto richiesti.

Osservazioni conclusive
L’istituzione del perimetro di sicurezza nazionale cibernetica rappresenta il presupposto necessario per consentire che il processo di digitalizzazione in atto segua la sua naturale evoluzione nel rispetto delle libertà fondamentali e dei servizi e funzioni essenziali dello Stato, senza strumentalizzazioni.
Il nostro Paese ha gettato le prime fondamenta di quella che è destinata a diventare un’architettura particolarmente complessa, tanto per i contenuti quanto per i soggetti coinvolti.
I prossimi interventi dovranno essere veloci, per evitare di essere superati dalla rapidità della tecnologia, ma anche strutturati, a garanzia di una tutela effettiva.

Ancora una volta, si tratta di un esercizio delicato, e i soggetti cui verrà affidato dovranno possedere un’elevata specializzazione e competenza, ma anche, e soprattutto, una visione delle conseguenze attuali e future delle violazioni del perimetro.

Francesca Zambuco
Socio AIDR