Rivista Corporate Governance ISSN 2724-1068 / EISSN 2784-8647
G. Giappichelli Editore

indietro

stampa articolo indice fascicolo leggi articolo leggi fascicolo


La cybersecurity: minacce, evoluzione normativa, corporate governance e nuove prospettive (di Giovanni Barbara, Professore straordinario di Diritto commerciale presso il Dipartimento di Scienze Giuridiche e dell’Impresa dell’Università LUM Giuseppe Degennaro. Direttore Scientifico e Direttore Responsabile Rivista Scientifica Corporate Governance)


Lo scritto affronta l’attuale tematica della cybersecurity soffermandosi sull’importanza dello sviluppo di una specifica cultura aziendale che sensibilizzi tutti gli operatori in ordine alla necessità che venga posta in essere un’attività preventiva di cura, implementazione ed adeguamento della struttura organizzativa, anche per affrontare e contenere il cyber risk.

 

Cybersecurity: threats, regulatory evolution, corporate governance and new perspectives

The paper addresses the current issue of cybersecurity with a focus on the importance of the development of a specific corporate culture that sensitizes all operators to the need for preventive care, implementation and adjustment of the organizational structure, also to address and contain cyber risk.

Keywords: Cybersecurity – cyber risk – adequate organizational structures – corporate governance.

SOMMARIO:

1. Premessa - 2. La strategia dell’Unione Europea e l’impianto normativo - 2.1. Il Digital Operational Resilience Act (DORA) - 3. La cybersecurity nell’ordinamento italiano - 4. La cybersecutity e la corporate governance - 5. Conclusioni - NOTE


1. Premessa

Gli attacchi informatici sono una minaccia crescente per un’economia che si basa, ogni giorno di più, su tecnologie digitali [1]. Soprattutto per tale motivo la cybersecurity, intesa come attività e competenze multidisciplinari atte a proteggere tutti quegli asset materiali ed immateriali, le imprese e le organizzazioni in generale, che possono essere aggrediti tramite il “cyberspazio”, in questi ultimi anni si è prepotentemente imposta all’attenzione internazionale [2]. Altro motivo che ha concorso a rendere la cybersecurity un tema centrale e così attuale, si può dire una priorità assoluta, è la circostanza che essa interessa e riguarda tutti, qualsiasi persona e qualsiasi organizzazione, perché tutti oramai utilizzano nella quotidianità posta elettronica, computer, server, tablet, smartphone, ecc. Inoltre, il rischio cibernetico interessa molteplici attività produttive e per sua natura oltrepassa i confini tra paesi [3]. In pratica, ormai siamo dinanzi ad un fenomeno globale [4]. Ciò, inevitabilmente, comporta che il business creato dalla rete, ovvero sviluppato attraverso la rete o con l’ausilio e il supporto della rete, oltre ai noti vantaggi ed alle significative opportunità non poteva non registrare alcuni effetti collaterali negativi. Ci si riferisce, in particolare, al cybercrime [5] che oggi ha assunto dimensioni impressionanti [6]. Si pone quindi l’assoluta necessità di far comprendere i rischi cyber e di capire come governarli. Poiché il fenomeno, appunto, riguarda tutti – persone fisiche e giuridiche, organizzazioni pubbliche e private, grandi, medie e piccole, terzo settore, associazioni e fondazioni, ecc. – si pone qui la necessità di ritagliare un perimetro d’indagine più contenuto (per quanto di per sé molto vasto) focalizzando l’attenzione sulle “sole” imprese e sulle società, in particolare su quelle organizzazioni che vedono la presenza di un organo delegato e/o di un organo amministrativo, al fine di comprendere cosa in particolare essi debbano fare per porre al riparo la società e l’impresa dal rischio cyber. Lo sguardo che si intende volgere fa focus su una prospettiva giuridica-azien­dalistica per cui le considerazioni che saranno svolte sulla cybersecurity non possono prescindere da [continua ..]


2. La strategia dell’Unione Europea e l’impianto normativo

L’Unione Europea ha, nel corso degli ultimi decenni, ideato ed adottato un quadro normativo a supporto della strategia della cybersecurity, finalizzato alla protezione dei cittadini, delle imprese e delle istituzioni dalle minacce informatiche, promuovendo una costante cooperazione internazionale. Pietra miliare della normativa unionale di settore è la direttiva (UE) 2016/1148 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. direttiva NIS – Network and Information Security). La direttiva NIS 2016 rappresenta il primo vero esempio di normativa di “Difesa comune europea”, avendo la stessa imposto agli Stati membri l’obbligo di dotarsi di requisiti minimi di sicurezza delle reti e dei sistemi informativi relativamente ai fornitori di servizi essenziali. Peculiare fine promosso dalla direttiva NIS è stato quello di definire un assetto normativo omogeneo per l’individuazione di misure di difesa contro gli attacchi informatici a strutture critiche, migliorandone la cyber resilienza [11]. In ragione della crescita esponenziale del mercato digitale, dell’evoluzione delle minacce e degli attacchi cyber – sempre più sofisticati – nonché della costante trasformazione digitale, la direttiva NIS ha fin da subito manifestato alcuni profili di inadeguatezza, conducendo, già nel dicembre 2020, la Commissione a proporne la revisione con l’obiettivo strategico principale di rendere l’Europa pronta per l’era digitale. Mediante l’introduzione della direttiva NIS 2 [12] si è inteso, infatti, perseguire la pregnante esigenza di armonizzazione normativa, fornendo indicazioni a ciascun Stato membro per l’adozione di una sua strategia nazionale volta a garantire la resilienza dei soggetti considerati “critici”. Anche in tema di sicurezza informatica dei prodotti ICT e dei servizi digitali, l’Unione Europea non ha mancato di intervenire, tramite l’adozione nel 2019 del Cybersecurity Act, rafforzando il mandato dell’ENISA [13] nella identificazione degli attacchi, e individuando standard comuni – validi in tutto il territorio UE – per la valutazione della sicurezza e della certificabilità dei prodotti e servizi IT, allo scopo di facilitare lo scambio e il commercio di tutti prodotti ICT all’interno [continua ..]


2.1. Il Digital Operational Resilience Act (DORA)

Risale alla prima decade di dicembre 2022 l’adozione in prima lettura, da parte del Parlamento Europeo, del testo della proposta di regolamento relativo alla resilienza per la finanza digitale, ossia per la resilienza operativa digitale per il settore finanziario. Si tratta del c.d. Regolamento DORA (Digital Operational Resilience Act) [15], il quale si pone – nel complesso impianto normativo in materia di cybersecurity – come nuovo paradigma europeo orientato ad una sempre più efficace ed omnicomprensiva gestione dei temi cybersecurity ed ICT nei Financial Services. In altre parole, mediante tale ulteriore intervento normativo, si è inteso armonizzare le regole in materia di cybersecurity per rendere resiliente il settore fintech [16], con la piena consapevolezza che la mancanza di resilienza operativa potrebbe compromettere la solidità delle entità finanziarie. Il precipuo scopo del Regolamento DORA, dunque, è quello di superare le diversità legislative dei singoli ordinamenti e i diversi approcci normativi – astrattamente idonei a pregiudicare la resilienza operativa digitale – mediante un approccio basato sulla valutazione del rischio operativo finanziario. Volgendo lo sguardo alla platea dei destinatari del Regolamento DORA, occorre constatare l’ampiezza della stessa, rientrando entro il perimetro di applicabilità del Regolamento le società dei Financial Services, oltre che le entità del settore finanziario tradizionale come istituti di credito, borse, gestori di fondi alternativi, compagnie di assicurazione, istituti di pagamento, istituti di moneta elettronica, nonché fornitori di servizi di criptovaluta, emittenti di cripto-asset ed emettenti di token. Il Regolamento DORA concepisce una serie di specifici obblighi posti in capo alle entità finanziarie, tutti finalizzati al conseguimento di un elevato livello comune di resilienza operativa digitale [17]. In particolare, i menzionati obblighi riguardano, tra gli altri: la gestione dei rischi delle tecnologie dell’informazione e della comunicazione (TIC); la segnalazione alle autorità competenti degli incidenti gravi connessi alle TIC e notifica – su base volontaria – delle minacce informatiche significative; la segnalazione alle autorità competenti di gravi incidenti operativi o relativi alla sicurezza dei pagamenti; la condivisione di [continua ..]


3. La cybersecurity nell’ordinamento italiano

Sul tema, anche la legislazione italiana – in ragione della crescente rilevanza strategica della cybersecurity – è stata oggetto, nel corso degli anni, di una costante e profonda implementazione. Gli Stati membri – Italia compresa – sono stati chiamati a recepire, nel corso del tempo, le molteplici istanze di armonizzazione normativa provenienti dall’UE, per far fronte alla continua e rapida trasformazione che ha interessato l’intero tessuto sociale, anche con riguardo al peculiare ambito della cybersecurity. In ragione dell’esponenziale crescita di dispositivi, oggetti e persone collegate alla rete, infatti, si è assistito – e si assiste – all’incremento delle situazioni di vulnerabilità dalle quali derivano, in particolar modo in ambito governativo, le fondamentali istanze di valutazione e prevenzione dei potenziali effetti che la minaccia cibernetica è in grado di cagionare alla Sicurezza Nazionale. In considerazione degli input unionali, l’Italia ha iniziato a maturare una embrionale consapevolezza nell’ambito della cybersecurity già a partire dal 2008, in occasione della costituzione del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) [19]. Successivamente, nel 2013, a seguito dell’approvazione da parte dell’Unione Europea della prima Cybersecurity Strategy gli Stati membri hanno iniziato a ponderare l’introduzione di un framework esclusivamente dedicato alla sicurezza informatica. Proprio su tale spinta, il d.P.C.M. Monti del 24 gennaio 2013 ha, per la prima volta, delineato l’architettura nazionale in materia di sicurezza cibernetica, successivamente rivista e implementata, nel 2015, con la direttiva Renzi. Fondamentale importanza ha rivestito nel nostro ordinamento il d.lgs. 18 maggio 2018, n. 65, che ha recepito la già menzionata direttiva NIS, definendo la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi, e individuando la schiera di soggetti competenti per l’attuazione degli obblighi previsti dalla direttiva stessa. Il decreto ha introdotto una serie di obblighi di sicurezza a carico degli operatori e fornitori dei servizi digitali nell’adozione di misure di sicurezza nonché obblighi di notifica degli incidenti, prevedendo inoltre la creazione di un Gruppo di intervento per la [continua ..]


4. La cybersecutity e la corporate governance

Si è già detto, in premessa, che la cybersecurity, così come altri temi che occupano un posto rilevante nella corporate governance, è un problema culturale che necessita di immediata attenzione, di capacità di apprendimento e di veloce cambiamento da parte degli operatori chiamati ad agire per garantire, in primo luogo, un’adeguata prevenzione. A queste conclusioni si perviene esaminando una serie di peculiarità del fenomeno cybersecurity ma anche il modus operandi tradizionale degli operatori (per quanto qui interessa, nello specifico degli amministratori, esecutivi e non, e degli imprenditori) che, come accennato, spesso appare datato e non in linea con i tempi. Si è già detto anche che a ciò si aggiunge, peggiorando enormemente la situazione, il livello culturale digitale nel nostro paese [24]. Ma un elemento, che aggrava lo scenario che si presenta e fa comprendere che siamo davvero in piena emergenza, risiede nella circostanza, forse non adeguatamente considerata, che vede oggi gli incidenti informatici come il rischio più importante per le aziende italiane. E, se è vero che le imprese italiane stanno dimostrando una rinnovata consapevolezza dell’importanza della gestione della sicurezza, è altrettanto vero che esse registrano ancora dei ritardi significativi, anzi atavici. Ciò, probabilmente, è da attribuire al fatto che molte aziende considerano il rischio cybersecurity come un rischio che deve essere gestito dalla funzione e dal responsabile della funzione IT: in pratica, come un rischio importante, molto importante, forse il più importante, ma, esclusivamente, come un banale rischio informatico. In altri termini, le aziende che hanno sottovalutato e non hanno dato adeguata risposta a questa tipologia di rischio hanno trascurato un aspetto molto rilevante e cioè il concetto della trasversalità aziendale: in sostanza, il messaggio che sinora non sembra essere stato raccolto è che la cybersecurity non deve essere considerata una competenza settoriale bensì qualcosa che attraversa trasversalmente l’intera azienda e “deve superare i silos organizzativi” [25]. Tale concetto non può che essere totalmente sposato e condiviso, come si avrà modo di dire meglio ricordando l’importanza e la centralità di adeguati assetti organizzativi [26]. Ancora, [continua ..]


5. Conclusioni

Alla luce delle articolate considerazioni esposte è possibile ora accennare alcune conclusioni di sintesi dalle quali emerge un quadro, rectius uno scenario, ancora confuso o quantomeno non ben definito. Si ritiene che il fenomeno cybersecurity sia ancora, tutto sommato, un fenomeno nuovo e tutto da scoprire da parte delle aziende italiane ovvero da parte di chi le governa. Tale conclusione è supportata dalla convinzione che il dato culturale, in generale del nostro paese ed in particolare delle nostre aziende, accusa ritardi non compatibili con le risposte che necessitano per fronteggiare le minacce e gli attacchi che si moltiplicano e che appaiono essere fuori controllo. Sotto il profilo normativo, il legislatore europeo e nazionale ha emanato provvedimenti efficaci consapevole della necessità di bruciare le tappe; tuttavia, è noto che la legislazione insegue i fenomeni e i fatti giuridicamente rilevanti cercando di qualificarli e di regolamentarli ma risulta chiaro che trattasi di un’attività tardiva e/o a posteriori poco efficace, che potrà dare i suoi frutti solo nel prossimo futuro. Emerge così la necessità di risposte immediate, urgenti ed adeguate che è possibile fornire soltanto con un veloce cambiamento culturale, una crescita diffusa della competenza digitale ed una collaborazione tra imprese, istituzioni, autorità ed enti preposti, a livello domestico ed internazionale. Dinanzi a tale scenario si ritiene quindi che l’unica risposta immediata in grado di contenere le minacce ed i danni economici e reputazionali a carico delle imprese sia mettere a punto, curare e implementare adeguati assetti organizzativi, in grado di monitorare e contenere tutti i rischi, primo tra tutti il rischio cyber, e adottare una strategia di impresa che partendo dal Board, quindi dagli amministratori, esecutivi e deleganti, preveda non soltanto una crescita culturale con l’acquisizione di competenze specifiche in materia di cybersecurity ma anche presidi trasversali al fine di implementare la competenza e la tenuta generale nonché la capacità di tutte le funzioni organizzative di presidiare l’azienda per limitarne le vulnerabilità strutturali.


NOTE