Sommario:

1. Premessa - 2. La strategia dell’Unione Europea e l’impianto normativo - 2.1. Il Digital Operational Resilience Act (DORA) - 3. La cybersecurity nell’ordinamento italiano - 4. La cybersecutity e la corporate governance - 5. Conclusioni - NOTE

Gli attacchi informatici sono una minaccia crescente per un’economia che si basa, ogni giorno di più, su tecnologie digitali [1]. Soprattutto per tale motivo la cybersecurity, intesa come attività e competenze multidisciplinari atte a proteggere tutti quegli asset materiali ed immateriali, le imprese e le organizzazioni in generale, che possono essere aggrediti tramite il “cyberspazio”, in questi ultimi anni si è prepotentemente imposta all’attenzione internazionale [2]. Altro motivo che ha concorso a rendere la cybersecurity un tema centrale e così attuale, si può dire una priorità assoluta, è la circostanza che essa interessa e riguarda tutti, qualsiasi persona e qualsiasi organizzazione, perché tutti oramai utilizzano nella quotidianità posta elettronica, computer, server, tablet, smartphone, ecc. Inoltre, il rischio cibernetico interessa molteplici attività produttive e per sua natura oltrepassa i confini tra paesi [3]. In pratica, ormai siamo dinanzi ad un fenomeno globale [4]. Ciò, inevitabilmente, comporta che il business creato dalla rete, ovvero sviluppato attraverso la rete o con l’ausilio e il supporto della rete, oltre ai noti vantaggi ed alle significative opportunità non poteva non registrare alcuni effetti collaterali negativi. Ci si riferisce, in particolare, al cybercrime [5] che oggi ha assunto dimensioni [continua ..]

» Per l'intero contenuto effettuare il login inizio

L’Unione Europea ha, nel corso degli ultimi decenni, ideato ed adottato un quadro normativo a supporto della strategia della cybersecurity, finalizzato alla protezione dei cittadini, delle imprese e delle istituzioni dalle minacce informatiche, promuovendo una costante cooperazione internazionale. Pietra miliare della normativa unionale di settore è la direttiva (UE) 2016/1148 del 6 luglio 2016 recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (c.d. direttiva NIS – Network and Information Security). La direttiva NIS 2016 rappresenta il primo vero esempio di normativa di “Difesa comune europea”, avendo la stessa imposto agli Stati membri l’obbligo di dotarsi di requisiti minimi di sicurezza delle reti e dei sistemi informativi relativamente ai fornitori di servizi essenziali. Peculiare fine promosso dalla direttiva NIS è stato quello di definire un assetto normativo omogeneo per l’individuazione di misure di difesa contro gli attacchi informatici a strutture critiche, migliorandone la cyber resilienza [11]. In ragione della crescita esponenziale del mercato digitale, dell’evoluzione delle minacce e degli attacchi cyber – sempre più sofisticati – nonché della costante trasformazione digitale, la direttiva NIS ha fin da subito manifestato alcuni profili di inadeguatezza, conducendo, già nel dicembre 2020, la Commissione [continua ..]

» Per l'intero contenuto effettuare il login inizio

Risale alla prima decade di dicembre 2022 l’adozione in prima lettura, da parte del Parlamento Europeo, del testo della proposta di regolamento relativo alla resilienza per la finanza digitale, ossia per la resilienza operativa digitale per il settore finanziario. Si tratta del c.d. Regolamento DORA (Digital Operational Resilience Act) [15], il quale si pone – nel complesso impianto normativo in materia di cybersecurity – come nuovo paradigma europeo orientato ad una sempre più efficace ed omnicomprensiva gestione dei temi cybersecurity ed ICT nei Financial Services. In altre parole, mediante tale ulteriore intervento normativo, si è inteso armonizzare le regole in materia di cybersecurity per rendere resiliente il settore fintech [16], con la piena consapevolezza che la mancanza di resilienza operativa potrebbe compromettere la solidità delle entità finanziarie. Il precipuo scopo del Regolamento DORA, dunque, è quello di superare le diversità legislative dei singoli ordinamenti e i diversi approcci normativi – astrattamente idonei a pregiudicare la resilienza operativa digitale – mediante un approccio basato sulla valutazione del rischio operativo finanziario. Volgendo lo sguardo alla platea dei destinatari del Regolamento DORA, occorre constatare l’ampiezza della stessa, rientrando entro il perimetro di applicabilità del Regolamento le società dei Financial Services, [continua ..]

» Per l'intero contenuto effettuare il login inizio

Sul tema, anche la legislazione italiana – in ragione della crescente rilevanza strategica della cybersecurity – è stata oggetto, nel corso degli anni, di una costante e profonda implementazione. Gli Stati membri – Italia compresa – sono stati chiamati a recepire, nel corso del tempo, le molteplici istanze di armonizzazione normativa provenienti dall’UE, per far fronte alla continua e rapida trasformazione che ha interessato l’intero tessuto sociale, anche con riguardo al peculiare ambito della cybersecurity. In ragione dell’esponenziale crescita di dispositivi, oggetti e persone collegate alla rete, infatti, si è assistito – e si assiste – all’incremento delle situazioni di vulnerabilità dalle quali derivano, in particolar modo in ambito governativo, le fondamentali istanze di valutazione e prevenzione dei potenziali effetti che la minaccia cibernetica è in grado di cagionare alla Sicurezza Nazionale. In considerazione degli input unionali, l’Italia ha iniziato a maturare una embrionale consapevolezza nell’ambito della cybersecurity già a partire dal 2008, in occasione della costituzione del Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic) [19]. Successivamente, nel 2013, a seguito dell’approvazione da parte dell’Unione Europea della prima Cybersecurity Strategy gli Stati membri hanno iniziato a [continua ..]

» Per l'intero contenuto effettuare il login inizio

Si è già detto, in premessa, che la cybersecurity, così come altri temi che occupano un posto rilevante nella corporate governance, è un problema culturale che necessita di immediata attenzione, di capacità di apprendimento e di veloce cambiamento da parte degli operatori chiamati ad agire per garantire, in primo luogo, un’adeguata prevenzione. A queste conclusioni si perviene esaminando una serie di peculiarità del fenomeno cybersecurity ma anche il modus operandi tradizionale degli operatori (per quanto qui interessa, nello specifico degli amministratori, esecutivi e non, e degli imprenditori) che, come accennato, spesso appare datato e non in linea con i tempi. Si è già detto anche che a ciò si aggiunge, peggiorando enormemente la situazione, il livello culturale digitale nel nostro paese [24]. Ma un elemento, che aggrava lo scenario che si presenta e fa comprendere che siamo davvero in piena emergenza, risiede nella circostanza, forse non adeguatamente considerata, che vede oggi gli incidenti informatici come il rischio più importante per le aziende italiane. E, se è vero che le imprese italiane stanno dimostrando una rinnovata consapevolezza dell’importanza della gestione della sicurezza, è altrettanto vero che esse registrano ancora dei ritardi significativi, anzi atavici. Ciò, probabilmente, è da attribuire al fatto che molte aziende considerano il [continua ..]

» Per l'intero contenuto effettuare il login inizio

Alla luce delle articolate considerazioni esposte è possibile ora accennare alcune conclusioni di sintesi dalle quali emerge un quadro, rectius uno scenario, ancora confuso o quantomeno non ben definito. Si ritiene che il fenomeno cybersecurity sia ancora, tutto sommato, un fenomeno nuovo e tutto da scoprire da parte delle aziende italiane ovvero da parte di chi le governa. Tale conclusione è supportata dalla convinzione che il dato culturale, in generale del nostro paese ed in particolare delle nostre aziende, accusa ritardi non compatibili con le risposte che necessitano per fronteggiare le minacce e gli attacchi che si moltiplicano e che appaiono essere fuori controllo. Sotto il profilo normativo, il legislatore europeo e nazionale ha emanato provvedimenti efficaci consapevole della necessità di bruciare le tappe; tuttavia, è noto che la legislazione insegue i fenomeni e i fatti giuridicamente rilevanti cercando di qualificarli e di regolamentarli ma risulta chiaro che trattasi di un’attività tardiva e/o a posteriori poco efficace, che potrà dare i suoi frutti solo nel prossimo futuro. Emerge così la necessità di risposte immediate, urgenti ed adeguate che è possibile fornire soltanto con un veloce cambiamento culturale, una crescita diffusa della competenza digitale ed una collaborazione tra imprese, istituzioni, autorità ed enti preposti, a livello domestico ed internazionale. Dinanzi a [continua ..]

» Per l'intero contenuto effettuare il login inizio

[1] Si consenta di rinviare al mio intervento Regole di cybersecurity per combattere le guerre digitali, in Milano Finanza, 17 novembre 2018, p. 12. [2] Sono state coniate diverse definizioni di cybersecurity. L’opinione prevalente la definisce: un “Gruppo di attività e competenze multidisciplinari, complesse e sofisticate, anche non informatiche, che hanno lo scopo di proteggere tutti quegli asset materiali ed immateriali che possono essere aggrediti tramite il “cyberspazio”, ovvero che dipendono da esso, garantendo allo stesso tempo la governance, l’assurance e la busines continuity di tutta la struttura digitale”. Sbaraglia, Cyber Security – Kit di Sopravvivenza, Firenze, 2022, p. 350. L’autore sottolinea altresì che la cybersecurity e la sicurezza informatica non sono precisamente sinonimi. Infatti, il primo termine si è diffuso abbastanza recentemente, ed è focalizzato sulla protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e dell’informazione in formato digitale da attacchi interni e, soprattutto, esterni. Mentre la sicurezza informatica (o delle informazioni) è focalizzata sull’informazione e sugli strumenti che ne supportano il trattamento, quindi comprende il cartaceo. A livello internazionale, invece, la cybersecurity è stata definita “The process of protecting information by preventing, detecting, and [continua ..]

» Per l'intero contenuto effettuare il login inizio