Il 2018 è un anno importante per la sicurezza informatica. Anzi, è l’anno della sicurezza informatica. Perché da maggio 2018 le norme dell’Unione europea sono operative in tutti gli stati membri. Una cornice di riferimento sulla cybersecurity costituita da due regolamenti e due direttive, entro le quali si collocano tutte le leggi e le applicazioni nazionali.
Indice degli argomenti
La direttiva Nis: il primo passo della strategia europea per la sicurezza informatica
Possiamo considerare la direttiva Nis come il primo passo della strategia europea per la cybersecurity. Approvata dal Parlamento Ue il 6 Luglio 2016, la direttiva ha l’obiettivo di rafforzare la sicurezza e la resilienza informatica all’interno del Vecchio Continente. Un’esigenza che parte da una considerazione: le reti, i sistemi e i servizi informativi svolgono oggi un ruolo d’importanza vitale nella società. Senza di loro il mercato interno non potrebbe funzionare, per questo è essenziale che siano affidabili e sicuri per le attività economiche e sociali.
A questo proposito, Nis si applica a due categorie: gli operatori di servizi essenziali, cioè quelli che sono necessari al mantenimento di attività sociali e/o economiche fondamentali (come le imprese di trasporti, d’energia, la sanità); e gli operatori di servizi digitali come motori di ricerca, cloud computing e piattaforme per l’e-commerce.
Entrambi dovranno adottare misure tecniche e organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici, tenendo conto di alcuni elementi specificati nella norma a cui, probabilmente, seguiranno linee guida o altri provvedimenti. In caso di inadempienza scatteranno sanzioni durissime che vanno da un minimo di 12mila fino a 150mila euro.
A questo proposito è prevista, a livello nazionale, la designazione di un gruppo di intervento per la sicurezza informatica in caso di incidente e di un’autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi. Inoltre, Nis fissa l’istituzione di un gruppo di cooperazione composto da rappresentanti degli Stati membri, dalla Commissione e dall’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA). Un team che avrà l’obiettivo di promuovere la collaborazione tra i paesi dell’Unione in relazione alla sicurezza delle reti e dei sistemi informativi e facilitare lo scambio di informazioni.
GDPR, la sicurezza informatica dei dati personali
Il Gdpr, cioè General data protection regulation, è il nuovo regolamento europeo sulla privacy e i dati personali che è diventato operativo in Italia a partire dal 25 maggio 2018. Un testo che si compone di 99 articoli e andrà a interessare tutte le aziende che gestiscono qualsiasi tipo di dato personale. Non va confuso con la direttiva nis, in quanto ha diverso oggetto e diverso ambito di applicazione. Tuttavia, le due normative possono sovrapporsi quando un incidente nella sicurezza informatica implica anche una violazione di dati personali.
Tra le prescrizioni, sono da menzionare: una richiesta di consenso in forma chiara, “comprensibile e facilmente accessibile”; l’istituzione di un registro delle attività dove si elencano le finalità dell’elaborazione dei dati, i destinatari, l’eventuale scadenza per la loro cancellazione; e la notifica delle violazioni entro 72 ore dall’avvenuta conoscenza. Inoltre, è richiesta la designazione di un “responsabile protezione dati” che avrà il ruolo di vigilare sull’applicazione effettiva del Gdpr in azienda: può essere scelto tra i dipendenti o nominato esternamente.
La direttiva 680, la sicurezza informatica dei dati trattati dalle autorità
Speculare al Gdpr è la direttiva 680 del 2016. Molte delle norme contenute sono simili a quelle presenti nel testo del nuovo regolamento europeo sulla privacy e i dati personali, se non addirittura uguali. Ma hanno un ambito di applicazione specifico e riguardano i trattamenti effettuati dalle autorità competenti a fini di: prevenzione, indagine, accertamento e perseguimento di reati; esecuzione di sanzioni penali; salvaguardia e prevenzione di minacce alla sicurezza pubblica.
In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati (fondati su fatti ovvero su valutazioni) e di interessati, in ragione della loro specifica posizione processuale.
Inoltre, riguardo ai diritti dell’interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento), il testo prevede che rispetto ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l’esercizio di tali diritti è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti.
In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dalle garanzie che riconoscono i diritti di difesa all’interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento, assicurando quindi la possibilità di limitare l’esercizio dei diritti dell’interessato, conformemente alle esigenze di prevenzione, di indagine e processuali.
Per garantire i diritti in ambito giudiziario anche con riferimento ai terzi, si è previsto uno speciale procedimento attraverso il quale qualsiasi interessato, durante il procedimento penale o dopo la sua definizione, può chiedere la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano.
In materia di sicurezza del trattamento, si prevede come obbligatoria anche per l’autorità giudiziaria la nomina del responsabile della protezione dati, in ragione dell’ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale.
Per quanto riguarda i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, si stabilisce che esso sia consentito solo nei confronti delle autorità competenti e per le finalità di pubblica sicurezza oggetto della direttiva e in presenza di specifiche condizioni, tra cui l’adozione, da parte della Commissione dell’Unione europea, di una decisione di adeguatezza o, in mancanza, vi siano garanzie adeguate.
Il decreto individua nel Garante nazionale l’autorità deputata a vigilare sul rispetto delle norme attuative della direttiva in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolte dalle attività di trattamento di dati personali, escludendo il potere di controllo del Garante in ordine al trattamento svolto dall’autorità giudiziaria nell’esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero. Infine, per quanto riguarda la violazione delle nuove norme, il testo prevede sanzioni amministrative (che nei casi più gravi possono estendersi da 50mila a 150mila euro) per le violazioni inerenti alle modalità del trattamento e introduce sanzioni penali per il trattamento operato con finalità illegittime.
eIdas, la sicurezza informatica applicata alla firma e alla transazioni elettroniche
L’eIDAS, acronimo di electronic IDentification, Authentication and trust Services, è il regolamento europeo che disciplina la firma elettronica, i trasferimenti di denaro e altri tipi di transazioni elettroniche nel mercato unico europeo. Ha permesso di creare standard unici per la firma elettronica, certificati digitali, marche temporali, e altre forme di autenticazione elettronica, consentendo di sostituire documenti cartacei con equivalenti digitali che hanno lo stesso valore legale e riconoscimento ufficiale in tutti i paesi dell’Unione europea.
I paesi membri dell’Unione europea sono tenuti a riconoscere le firme elettroniche che rispettano gli standard fissati dall’eIDAS. In particolare, distingue tre tipologie di firme elettronica: firma elettronica definita come “un insieme di dati in forma elettronica, acclusi oppure connessi tramite associazione logica ad altri dati elettronici e utilizzati dal firmatario per firmare”; la firma elettronica avanzata, che deve soddisfare determinati requisiti; e la firma elettronica qualificata che, invece, si basa su un certificato qualificato ed è realizzata mediante un dispositivo sicuro per la creazione della firma.
La via italiana alla sicurezza informatica e il decreto Gentiloni
I due regolamenti e le due direttive costituiscono la cornice di riferimento entro le quali si collocano tutte le leggi e le applicazioni italiane. Un passo in autonomia sul fronte della sicurezza informatica interna è stato fatto dal governo Gentiloni nel febbraio del 2017. Ha approvato un programma nazionale per la cybersecurity in più fasi e un nuovo decreto, sostituendo il provvedimento dell’ex presidente del Consiglio Mario Monti che ha regolato l’architettura nazionale per la sicurezza cibernetica dal gennaio 2013 al 2017.
Il provvedimento ha rafforzato il ruolo del Cisr che ha il compito di emanare direttive con l’obiettivo di innalzare il livello della sicurezza informatica del Paese, avvalendosi del supporto del coordinamento interministeriale della parte tecnica del Cisr (Comitato interministeriale per la sicurezza della Repubblica) e del Dis (Dipartimento delle informazioni per la sicurezza).
Tra le novità, il Nucleo sicurezza cibernetica (Nsc) viene ricondotto all’interno del Dis ed assicurerà la risposta coordinata agli eventi cibernetici significativi per la sicurezza nazionale in raccordo con tutte le strutture dei ministeri competenti in materia.
Inoltre, è prevista una forte interazione con l’Agenzia per l’Italia Digitale (AgID) del Dipartimento della Funzione Pubblica, con il ministero dello Sviluppo Economico, con il ministero dell’Interno, con il ministero della Difesa e, infine, con il ministero dell’Economia e Finanze.
Il compito di definire linee di azione che devono assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico, sia pubblici che privati, è affidato al direttore generale del Dis che assume così un ruolo centrale nella sicurezza informatica italiana.
A lui spetta verificare e risolvere le eventuali vulnerabilità. Per la realizzazione di queste iniziative è previsto il coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, e una collaborazione con le imprese di settore.