Il contributo opera, in primo luogo, una ricognizione delle tipologie di rischi cibernetici e dei possibili strumenti di gestione e prevenzione degli stessi. Successivamente, alla luce dei numerosi punti di contatto tra i due compendi normativi, viene operato un raffronto tra la disciplina della cybersecurity e quella in materia di protezione dei dati personali, con un particolare approfondimento sulle ipotesi di incidente cibernetico e di violazione dei dati personali.

SOMMARIO:

1. Il quadro normativo in materia di cybersecurity - 2. Prevenzione e gestione del rischio cibernetico - 3. Sicurezza cibernetica e protezione dei dati personali - 4. La concretizzazione del rischio: le ipotesi di data breach e di “incidente” - 5. Conclusioni - NOTE

1. Il quadro normativo in materia di cybersecurity

Il lemma cybersecurity, evocando le parole cyberspace e security, risulta ontologicamente correlato al complesso di strumenti e processi volti a ridurre il rischio di attacchi informatici e, di tal guisa, a rafforzare la protezione di un dato spazio cibernetico [1]. Nello specifico, seguendo la definizione fornita dall’art. 2, n. 1, del c.d. Cybersecurity Act del 2019, per cybersecurity deve intendersi “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche” [2]. Nondimeno, l’art. 1, lett. a) del d.l. 14 giugno 2021, n. 82 inquadra la “cybersicurezza”, come “l’insieme delle attività, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico” [3]. Siffatte nozioni valorizzano il ruolo cui è chiamata la cybersecurity, ossia quello di tutela non soltanto dell’integrità della rete bensì anche della comunità di individui ad essa associata, nonché dei sistemi produttivi e di difesa nazionale. Si tratta, in sostanza, di un compito cruciale, atteso il contestuale coinvolgimento di istanze legate alla persona, di interessi economici e di obiettivi strategici nazionali [4]. La necessità di assicurare un sufficiente livello di regolazione a una simile concatenazione di profili privatistici e pubblicistici è dunque assurta alla stregua di criterio guida degli interventi del legislatore europeo e domestico in materia, che pare appena il caso di ripercorrere sommariamente. Sul punto, è necessario innanzitutto ricordare che le politiche europee in materia di cybersecurity hanno ottenuto forte impulso in seguito agli episodi terroristici occorsi nei primi anni del XXI secolo, al punto che già nel 2004 fu introdotta l’Agenzia Europea di sicurezza delle reti e dell’informazione (ENISA) con i fini di coadiuvare le istituzioni europee nell’elaborazione di strategie in grado di assicurare la sicurezza delle reti e di diffondere la cultura ICT all’interno degli Stati membri e tra [continua ..]

2. Prevenzione e gestione del rischio cibernetico

L’excursus appena prospettato dimostra la centralità assunta dalla cybersecurity come strumento di tutela non soltanto del corretto funzionamento tecnico dello spazio cibernetico ma anche (e soprattutto) degli interessi economici e valoriali ad esso associati [13]. Occorre pertanto traslare la riflessione sui tratti e sulle modalità di gestione del c.d. “rischio cibernetico”, che, ai sensi dell’art. 4, n. 9, della direttiva NIS, può esser definito come “ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza della rete e dei sistemi informativi” [14]. All’interno di una nozione così ampia possono essere sussunte diverse tipologie di rischi, tra cui è opportuno evidenziare: a) il rischio di ransomware [15]; b) il rischio di malware [16]; c) le minacce collegate all’ingegneria sociale (social engineering threats), all’interno delle quali rientrano diverse attività che tentano di sfruttare un errore umano con l’obiettivo di accedere a informazioni o servizi [17]; d) il rischio di data breach [18]; e) il Distributed Denial of Service, anche noto con il lemma Attacco DDOS, che consiste in un attacco volto a rendere indisponibile un sito mediante l’attivazione di un numero elevatissimo di richieste contestuali d’accesso, le quali, non potendo esser processate dal sito, rendono quest’ul­timo inutilizzabile [19]; f) il rischio di attacchi volti a danneggiare le infrastrutture che sorreggono la rete Internet, attuati con la finalità di renderla indisponibile in una data area [20]; g) il rischio di disinformazione o di falsa informazione, attraverso la manipolazione delle notizie diffuse sulle piattaforme digitali; h) i c.d. supply chain attacks, ossia gli attacchi perpetrati accedendo alla rete di un’azienda o di un privato dopo aver alterato il sistema di una terza parte fornitrice [21]. Ciò considerato, se l’obiettivo della cybersecurity, alla luce delle possibili minacce, è dunque quello di garantire la riservatezza dei dati presenti nel sistema, la correttezza e la completezza di tali dati e, infine, l’accesso e la disponibilità agli stessi, risulta cruciale la definizione delle strategie di prevenzione e di gestione del rischio cibernetico [22]. Tale operazione può avvenire [continua ..]

3. Sicurezza cibernetica e protezione dei dati personali

La correlazione tra sicurezza cibernetica e protezione dei dati personali, seppur inidonea a esaurire il tema, costituisce l’aspetto più sensibile in materia di cybersecurity, atteso il coinvolgimento dei diritti e delle libertà della persona [33]. La “sicurezza”, intesa come insieme di misure atte a contenere il rischio cibernetico, è espressamente disciplinata dalla direttiva NIS e dal Regolamento 2016/679/UE (GDPR) secondo un modello integrato e complementare. Entrambe le fonti si riferiscono al “rischio” esistente o probabile, ma, se nel caso del GDPR tale pericolo è individuato con riguardo all’uso illecito di dati personali, lesivo dei diritti e delle libertà della persona fisica, nella direttiva NIS si assiste invece a una considerazione del rischio come elemento di turbativa dei servizi essenziali e, più in generale, delle attività economiche [34]. Appare utile, al riguardo, menzionare la disciplina del GDPR in materia di sicurezza del trattamento, fornita dalla Sezione II del regolamento e, segnatamente, dagli artt. 32-34 [35]. Tali norme rappresentano la concretizzazione del principio di integrità e riservatezza del trattamento di cui all’art. 5, par. 1, lett. f) del GDPR, secondo cui i dati devono essere trattati “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” [36]. Nello specifico, la sicurezza del trattamento è disegnata attraverso l’imposizione di taluni obblighi in capo al titolare e al responsabile del trattamento, consistenti, da un lato, nell’adozione di policies interne e di accorgimenti tecnici, tali da impostare sin dall’inizio un modello di trattamento conforme alle prescrizioni del GDPR, e, dall’altro, nella realizzazione della valutazione d’impatto e della consultazione preventiva per i trattamenti che sottendono rischi notevoli per i diritti e le libertà fondamentali delle persone fisiche [37]. Occorre a questo punto esaminare la concezione del legislatore europeo del rischio privacy, la cui prevenzione è disciplinata dal GDPR attraverso un meccanismo articolato in tre fasi. Il primo livello di prevenzione è dato da una generica [continua ..]

4. La concretizzazione del rischio: le ipotesi di data breach e di “incidente”

Un ulteriore aspetto di concatenazione tra cybersecurity e protezione dei dati personali è costituito dalle ipotesi di data breach o violazione dei dati e di incidente, espressioni con cui, rispettivamente, il GDPR e la direttiva NIS si riferiscono a eventi che ledono la sicurezza dell’attività svolta [44]. È opportuno premettere che sia la normativa in materia di cybersecurity sia quella relativa alla protezione dei dati personali dedicano ampio spazio a tale fase patologica, atteso che essa rappresenta, dopo la prevenzione e la gestione, il terzo momento di rilevanza del rischio. Si tratta, in particolare, della fase in cui, alla luce dell’insufficienza delle misure di prevenzione e gestione adottate, il rischio si è effettivamente manifestato e necessita di strumenti di contenimento [45]. L’evento pregiudizievole è gestito attraverso l’imposizione in capo ai soggetti responsabili di obblighi di notifica all’autorità, conferendo concretezza ai principi di sicurezza e accountability attraverso un meccanismo procedimentalizzato e ponderato sui tratti del singolo caso, dalla natura e dalla gravità della violazione sino all’entità dei rischi per l’interessato [46]. L’art. 33 del GDPR impone siffatto dovere al titolare del trattamento, e, in parte, anche al responsabile del trattamento, il quale è tenuto a informare il titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione. Considerato, in particolare, che il titolare del trattamento deve notificare la violazione entro settantadue ore dal momento dell’accertamento, risulta cruciale l’adozione di un adeguato sistema informativo interno che favorisca il flusso di comunicazioni e la ricognizione dei rischi [47]. L’obbligo informativo può essere adempiuto anche in una pluralità di momenti, essendo il titolare abilitato a comunicare parzialmente i dati violati, impegnandosi, tuttavia, a giustificare le ragioni alla base dell’informativa parziale e a integrare la comunicazione entro un termine predefinito [48]. Ad ogni modo, la notifica all’autorità deve almeno: i) descrivere la natura della violazione dei dati personali; ii) comunicare il nome e i dati di contatto del responsabile della protezione dei dati presso cui ottenere più informazioni; iii) descrivere le probabili [continua ..]

5. Conclusioni

Dallo scenario sin qui prospettato è possibile trarre alcune considerazioni conclusive. Il problema della regolazione della sicurezza cibernetica, alla luce delle conseguenze che è in grado di generare rispetto ai diritti e alle libertà delle persone fisiche, agli interessi economici delle persone giuridiche e agli interessi strategici dello Stato, ha ormai assunto una rilevanza tale da investire la società nel suo complesso. Di tali istanze il legislatore europeo e domestico sembra aver preso consapevolezza, attesa la crescente disciplina del settore attraverso un insieme, sempre più coordinato, di strategie programmatiche e interventi coercitivi. Se è vero che la costruzione di uno spazio cibernetico pienamente immune da minacce è di difficile realizzazione, è al contempo indubbio che la definizione di un quadro giuridico aggiornato, accompagnato dalla valorizzazione del contributo della scienza, sia giuridica che informatica, e dall’individuazione delle sanzioni, dei soggetti competenti a emanarle, delle autorità deputate al controllo dello spazio e degli strumenti di resilienza dei sistemi, può senz’altro contribuire in modo efficace alla prevenzione, alla gestione e al superamento del rischio cibernetico.

NOTE