Sommario:

1. Il quadro normativo in materia di cybersecurity - 2. Prevenzione e gestione del rischio cibernetico - 3. Sicurezza cibernetica e protezione dei dati personali - 4. La concretizzazione del rischio: le ipotesi di data breach e di “incidente” - 5. Conclusioni - NOTE

Il lemma cybersecurity, evocando le parole cyberspace e security, risulta ontologicamente correlato al complesso di strumenti e processi volti a ridurre il rischio di attacchi informatici e, di tal guisa, a rafforzare la protezione di un dato spazio cibernetico [1]. Nello specifico, seguendo la definizione fornita dall’art. 2, n. 1, del c.d. Cybersecurity Act del 2019, per cybersecurity deve intendersi “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche” [2]. Nondimeno, l’art. 1, lett. a) del d.l. 14 giugno 2021, n. 82 inquadra la “cybersicurezza”, come “l’insieme delle attività, necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico” [3]. Siffatte nozioni valorizzano il ruolo cui è chiamata la cybersecurity, ossia quello di tutela non soltanto dell’integrità della rete bensì anche della comunità di individui ad essa associata, nonché dei sistemi produttivi e di difesa nazionale. Si tratta, in sostanza, di un compito cruciale, [continua ..]

» Per l'intero contenuto effettuare il login inizio

L’excursus appena prospettato dimostra la centralità assunta dalla cybersecurity come strumento di tutela non soltanto del corretto funzionamento tecnico dello spazio cibernetico ma anche (e soprattutto) degli interessi economici e valoriali ad esso associati [13]. Occorre pertanto traslare la riflessione sui tratti e sulle modalità di gestione del c.d. “rischio cibernetico”, che, ai sensi dell’art. 4, n. 9, della direttiva NIS, può esser definito come “ogni circostanza o evento ragionevolmente individuabile con potenziali effetti pregiudizievoli per la sicurezza della rete e dei sistemi informativi” [14]. All’interno di una nozione così ampia possono essere sussunte diverse tipologie di rischi, tra cui è opportuno evidenziare: a) il rischio di ransomware [15]; b) il rischio di malware [16]; c) le minacce collegate all’ingegneria sociale (social engineering threats), all’interno delle quali rientrano diverse attività che tentano di sfruttare un errore umano con l’obiettivo di accedere a informazioni o servizi [17]; d) il rischio di data breach [18]; e) il Distributed Denial of Service, anche noto con il lemma Attacco DDOS, che consiste in un attacco volto a rendere indisponibile un sito mediante l’attivazione di un numero elevatissimo di richieste contestuali d’accesso, le quali, non potendo esser processate dal sito, rendono [continua ..]

» Per l'intero contenuto effettuare il login inizio

La correlazione tra sicurezza cibernetica e protezione dei dati personali, seppur inidonea a esaurire il tema, costituisce l’aspetto più sensibile in materia di cybersecurity, atteso il coinvolgimento dei diritti e delle libertà della persona [33]. La “sicurezza”, intesa come insieme di misure atte a contenere il rischio cibernetico, è espressamente disciplinata dalla direttiva NIS e dal Regolamento 2016/679/UE (GDPR) secondo un modello integrato e complementare. Entrambe le fonti si riferiscono al “rischio” esistente o probabile, ma, se nel caso del GDPR tale pericolo è individuato con riguardo all’uso illecito di dati personali, lesivo dei diritti e delle libertà della persona fisica, nella direttiva NIS si assiste invece a una considerazione del rischio come elemento di turbativa dei servizi essenziali e, più in generale, delle attività economiche [34]. Appare utile, al riguardo, menzionare la disciplina del GDPR in materia di sicurezza del trattamento, fornita dalla Sezione II del regolamento e, segnatamente, dagli artt. 32-34 [35]. Tali norme rappresentano la concretizzazione del principio di integrità e riservatezza del trattamento di cui all’art. 5, par. 1, lett. f) del GDPR, secondo cui i dati devono essere trattati “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e [continua ..]

» Per l'intero contenuto effettuare il login inizio

Un ulteriore aspetto di concatenazione tra cybersecurity e protezione dei dati personali è costituito dalle ipotesi di data breach o violazione dei dati e di incidente, espressioni con cui, rispettivamente, il GDPR e la direttiva NIS si riferiscono a eventi che ledono la sicurezza dell’attività svolta [44]. È opportuno premettere che sia la normativa in materia di cybersecurity sia quella relativa alla protezione dei dati personali dedicano ampio spazio a tale fase patologica, atteso che essa rappresenta, dopo la prevenzione e la gestione, il terzo momento di rilevanza del rischio. Si tratta, in particolare, della fase in cui, alla luce dell’insufficienza delle misure di prevenzione e gestione adottate, il rischio si è effettivamente manifestato e necessita di strumenti di contenimento [45]. L’evento pregiudizievole è gestito attraverso l’imposizione in capo ai soggetti responsabili di obblighi di notifica all’autorità, conferendo concretezza ai principi di sicurezza e accountability attraverso un meccanismo procedimentalizzato e ponderato sui tratti del singolo caso, dalla natura e dalla gravità della violazione sino all’entità dei rischi per l’interessato [46]. L’art. 33 del GDPR impone siffatto dovere al titolare del trattamento, e, in parte, anche al responsabile del trattamento, il quale è tenuto a informare il titolare del trattamento senza [continua ..]

» Per l'intero contenuto effettuare il login inizio

Dallo scenario sin qui prospettato è possibile trarre alcune considerazioni conclusive. Il problema della regolazione della sicurezza cibernetica, alla luce delle conseguenze che è in grado di generare rispetto ai diritti e alle libertà delle persone fisiche, agli interessi economici delle persone giuridiche e agli interessi strategici dello Stato, ha ormai assunto una rilevanza tale da investire la società nel suo complesso. Di tali istanze il legislatore europeo e domestico sembra aver preso consapevolezza, attesa la crescente disciplina del settore attraverso un insieme, sempre più coordinato, di strategie programmatiche e interventi coercitivi. Se è vero che la costruzione di uno spazio cibernetico pienamente immune da minacce è di difficile realizzazione, è al contempo indubbio che la definizione di un quadro giuridico aggiornato, accompagnato dalla valorizzazione del contributo della scienza, sia giuridica che informatica, e dall’individuazione delle sanzioni, dei soggetti competenti a emanarle, delle autorità deputate al controllo dello spazio e degli strumenti di resilienza dei sistemi, può senz’altro contribuire in modo efficace alla prevenzione, alla gestione e al superamento del rischio cibernetico.

» Per l'intero contenuto effettuare il login inizio

[1] Sull’autonomia dello spazio telematico e sulla concezione di quest’ultimo come “non luogo”, in quanto non appartenente a “terra, aria, mare” si v. Irti, Norme e luoghi. Problemi di geo-diritto, Roma-Bari, 2001, spec. p. 65 ss. [2] Regolamento 2019/881/UE del 17 aprile 2019 “relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»)”. [3] Il d.l. 14 giugno 2021, n. 82, convertito con la legge 4 agosto 2021, n. 109, reca “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”. [4] Busia, Cybersecurity: una sfida per tutti, in Contaldo-Mula (a cura di), Cybersecurity law. Disciplina italiana ed europea della sicurezza cibernetica anche alla luce delle norme tecniche, Pisa, 2020, p. IX ss. ricostruisce gli obiettivi programmatici della cybersecurity, evidenziando come essa non vada più riguardata alla stregua di un fenomeno “lontano”, riferibile soltanto a regole tecniche di gestione del mezzo tecnologico, ma, piuttosto, proprio alla luce della crescente dipendenza dalla tecnologia, come “naturale necessità [continua ..]

» Per l'intero contenuto effettuare il login inizio