Cybersecurity e P.A.: i principi, le norme ed i

provvedimenti in materia

Prof. Avv. Michele Iaselli

Ministero della Difesa

Negli ultimi tempi si è assistito ad unarapida evoluzione delle minacce in campoinformatico (v. anche minacce cibernetiche)ed in particolare per quelle incombenti sullapubblica amministrazione, che è divenutaun bersaglio specifico per alcune tipologiedi attaccanti particolarmente pericolosi.

Se da un lato la PA continua ad essereoggetto di attacchi dimostrativi, provenientida soggetti spinti da motivazioni politicheed ideologiche, sono divenuti importanti epericolose le attività condotte da gruppiorganizzati, non solo di stampopropriamente criminale.

Le pubbliche amministrazioni, dal punto divista sicurezza, possono essereconsiderate come organizzazionifortemente regolate, in considerazione delfatto che la loro attività si svolgenell’ambito e nei limiti di norme che hannovalore di legge. Il problema è che fino adoggi sono state poche le norme giuridicheche si siano occupate di cyber security.

In effetti le norme di maggiore rilevanzasono quelle contenute nel Codicedell’Amministrazione Digitale (CAD -D.Lgs. 7 marzo 2005 s.m.i.), che all’art.17 al fine di garantire l’attuazione dellelinee strategiche per la riorganizzazione edigitalizzazione dell’amministrazionedefinite dal Governo, prevede che lepubbliche amministrazioni individuinomediante propri atti organizzativi, ununico ufficio dirigenziale generaleresponsabile del coordinamentofunzionale.

Questo Ufficio sostituisce il Centro dicompetenza previsto dalla normativaprevigente e il responsabile dei sistemiinformativi automatizzati di cui all’articolo 10del decreto legislativo 12 febbraio 1993, n.39. Inoltre alla luce della recente riforma delCAD (d.lgs. n. 179/2016) lo stesso ufficiodeve assicurare la transizione allamodalità operativa digitale e i conseguentiprocessi di riorganizzazione finalizzati allarealizzazione di un'amministrazione digitale eaperta, di servizi facilmente utilizzabili e diqualità, attraverso una maggiore efficienza edeconomicità.

Naturalmente anche l'Agenzia per l'ItaliaDigitale (AgID) deve assicurare ilcoordinamento delle iniziative nell’ambitodelle attività di indirizzo, pianificazione,coordinamento e monitoraggio dellasicurezza informatica con particolareriferimento al Sistema Pubblico diConnettività.

Nei successivi articoli 50 e 51 del CAD siparla rispettivamente di disponibilità edaccessibilità dei dati al di fuori dei limiti dicarattere normativo come nel caso dellaprotezione dei dati personali, di sicurezzadei dati, dei sistemi e delle infrastrutturedelle pubbliche amministrazioni, oggiregolamentati dalle misure minime disicurezza previste dalla normativa sullaprotezione dei dati personali.

In materia, difatti, occorrono ulterioriregole tecniche che in coerenza con ladisciplina in materia di tutela della privacyintroducano elementi utili per riconoscerel’esattezza, la disponibilità, l’integrità e perverificare l’accessibilità e la riservatezzadei dati.

Proprio per questi motivi è stata pubblicatasulla G.U. (Serie Generale n. 79 del04/04/2017) la Circolare AgID del 17marzo 2017 n. 1/2017 contenente le“Misure minime di sicurezza ICT per lepubbliche amministrazioni”.

Le stesse misure sono parte integrante delpiù ampio disegno delle Regole Tecnicheper la sicurezza informatica della PubblicaAmministrazione, emesso come previstodalla Direttiva 1 agosto 2015 delPresidente del Consiglio dei Ministri, cheassegna all’Agenzia per l’Italia Digitale ilcompito di sviluppare gli standard diriferimento per le amministrazioni.

Tale Direttiva in considerazione dell’esigenzadi consolidare un sistema di reazioneefficiente, che raccordi le capacità di rispostadelle singole Amministrazioni, a fronte dieventi quali incidenti o azioni ostili chepossono compromettere il funzionamento deisistemi e degli assetti fisici controllati daglistessi, sollecita tutte le Amministrazioni e gliOrgani chiamati ad intervenire nell’ambitodegli assetti nazionali di reazione ad eventicibernetici a dotarsi, secondo una tempisticadefinita e comunque nel più breve tempopossibile, di standard minimi di prevenzionee reazione ad eventi cibernetici.

In tale ottica assume rilevanza anche lanuova direttiva sullaprotezione cibernetica e la sicurezzainformatica nazionale emanata conDPCM del 17 febbraio 2017 (pubblicatosulla GU n. 87 del 13-4-2017) che si ponel’obiettivo di aggiornare la precedentedirettiva del 24 gennaio 2013 e diconseguenza anche la relativa architetturadi sicurezza cibernetica nazionale e diprotezione delle infrastrutture critiche.

L’esigenza di un nuovo provvedimento nasceinnanzitutto dall’emanazione della direttiva(UE) 2016/1148 del Parlamento europeo edel Consiglio, del 6 luglio 2016, recantemisure per un livello comune elevato di sicurezzadelle reti e dei sistemi informativi nell'Unione(c.d. Direttiva NIS) nonché da quanto previstodall'art. 7-bis, comma 5, del decreto-legge 30ottobre 2015, n. 174, convertito, conmodificazioni, dalla legge n. 198 del 2015, alfine di ricondurre a sistema e unitarietà lediverse competenze coinvolte nella gestione dellasituazione di crisi, in relazione al grado dipregiudizio alla sicurezza della Repubblica e delleIstituzioni democratiche poste dalla Costituzionea suo fondamento.

Del resto lo stesso art. 51 del CAD specifica chel’AgID attui, per quanto di competenza e in raccordocon le altre autorità competenti in materia, ilQuadro strategico nazionale per la sicurezza dellospazio cibernetico e il Piano nazionale per lasicurezza cibernetica e la sicurezza informatica.AgID, in tale ambito:a) coordina, tramite il Computer Emergency

Response Team Pubblica Amministrazione (CERT-PA) istituito nel suo ambito, le iniziative diprevenzione e gestione degli incidenti disicurezza informatici;

b) promuove intese con le analoghe struttureinternazionali;

c) segnala al Ministro per la pubblicaamministrazione e l'innovazione il mancatorispetto delle regole tecniche da parte dellepubbliche amministrazioni.

La nuova dimensione della sicurezza e della privacy

Il progressivo sviluppo delle comunicazionielettroniche ha determinato la crescitaesponenziale di nuovi servizi e tecnologie.Se ciò ha comportato, da un lato,indiscutibili vantaggi in termini disemplificazione e rapidità nel reperimento enello scambio di informazioni fra utenti dellarete Internet, dall’altro, ha provocato unenorme incremento del numero e delletipologie di dati personali trasmessi escambiati, nonché dei pericoli connessi alloro illecito utilizzo da parte di terzi nonautorizzati.

Si è così maggiormente diffusal’esigenza di assicurare una fortetutela dei diritti e delle libertà dellepersone, con particolare riferimentoall’identità personale e alla vitaprivata degli individui che utilizzanole reti telematiche.

Le diverse questioni emerse nellamateria in esame hanno confermatoperaltro la necessità di unacooperazione internazionale, anche inragione del recepimento in Italia delprincipio di stabilimento, che puòlimitare il potere di interventodell’Autorità rispetto ai trattamenti didati personali effettuati da soggettisituati all’estero.

Lo sviluppo di moderne tecnologie e dinuovi servizi di comunicazioneelettronica ha reso, quindi, necessarioun ulteriore adeguamento dellanormativa sulla protezione dei datipersonali in ambito italiano edinternazionale.

Tale processo è stato avviato, in Italia,già con il Codice per la protezione deidati personali che ha compiuto unaricognizione innovativa dellepreesistenti norme sul trattamento deidati nel settore delle telecomunicazioni(d.lgs. n. 171/1998, come modificatodal d.lgs. n. 467/2001), completandonello stesso tempo il recepimento delladirettiva n. 2002/58/CE, relativa allatutela della vita privata nel settore dellecomunicazioni elettroniche.

La disciplina introdotta in materia dalCodice, riproponendo un criterio giàpresente nella normativa comunitaria,ha adottato un approccio“tecnologicamente neutro”, ossia validoed applicabile a tutte le forme dicomunicazione elettronica aprescindere dal mezzo tecnicoutilizzato.

23

Ma tale processo di adeguamento normativoha compiuto un altro passo importante con ilRegolamento UE 2016/679 del ParlamentoEuropeo e del Consiglio del 27 aprile 2016relativo alla protezione delle persone fisichecon riguardo al trattamento dei datipersonali, nonché alla libera circolazione ditali dati e che abroga la direttiva 95/46/CE(Regolamento generale sulla protezione deidati) pubblicato il 4 maggio 2016 nellaGazzetta Ufficiale dell’Unione Europea deidati.

Come prevede l’art. 99 il Regolamento entreràin vigore il ventesimo giorno successivo allapubblicazione nella Gazzetta Ufficiale (25maggio 2016), ma si applicherà a decorreredal 25 maggio 2018.L’iter di questo Regolamento, che entreràdirettamente in vigore nei singoli Stati membridell'UE, è stato molto sofferto e sono passatiben quattro anni dalla prima proposta dellaCommissione Europea. Un testo inizialmentemolto severo è stato reso più “digeribile” nelcorso degli anni, anche se rimangonoconfermati i principi fondamentali delprovvedimento europeo.

La necessità di emanare un RegolamentoEuropeo in materia di privacy nasce dallaproprio continua evoluzione degli stessiconcetti di privacy e protezione dei datipersonali e quindi della relativa tuteladovuta principalmente alla diffusione delprogresso tecnologico.

Originariamente la direttiva 95/46/CE, pietraangolare nell’impianto della vigente normativadell’UE in materia di protezione dei datipersonali, è stata adottata nel 1995 con dueobiettivi: salvaguardare il diritto fondamentalealla protezione dei dati e garantire la liberacircolazione dei dati personali tra gli Statimembri.Successivamente incalzanti sviluppi tecnologicihanno allontanato le frontiere della protezionedei dati personali. La portata della condivisionee della raccolta di dati è aumentata in modovertiginoso.

La tecnologia attuale consente alleimprese private quanto alle autoritàpubbliche di utilizzare dati personali, comemai in precedenza, nello svolgimento delleloro attività e, sempre più spesso, glistessi privati rendono pubbliche sulla retemondiale informazioni personali che liriguardano. Le nuove tecnologie nonhanno trasformato solo l’economia, maanche le relazioni sociali.

È diventato, quindi, necessario instaurareun quadro giuridico più solido e coerentein materia di protezione dei datinell’Unione che, affiancato da efficacimisure di attuazione, consentirà losviluppo dell’economia digitale nel mercatointerno, garantirà alle persone fisiche ilcontrollo dei loro dati personali erafforzerà la certezza giuridica e operativaper i soggetti economici e le autoritàpubbliche.

Nell’attuale era tecnologica lecaratteristiche personali di un individuopossono essere tranquillamente scisse efatte confluire in diverse banche dati,ciascuna di esse contraddistinta da unaspecifica finalità. Su tale presupposto puòessere facilmente ricostruita la c.d.persona elettronica (v. identità digitale)attraverso le tante tracce che lascia neglielaboratori che annotano e raccolgonoinformazioni sul suo conto.

Si deve precisare innanzitutto che l’obiettivodelle nuove tecnologie è quello di migliorare laqualità della vita dei cittadini nel rispetto dellasicurezza e della privacy. Qualsiasi problematicainerente i rapporti tra nuove tecnologie e privacyva sempre risolta inquadrandola nell’ambito diuna considerazione globale dei benefici socio-economici che scaturiscono dall’innovazionetecnologica. Ad esempio non possono trascurarsii grandi vantaggi rappresentati dalle banche datipresenti in Rete oltre che nello svolgimentodell’attività amministrativa, anche nel migliorarein generale la qualità della vita dei cittadini e nelpromuovere le attività produttive ed economiche.

Lo stesso discorso va necessariamentefatto con riferimento ad Internet ed inparticolare al web 2.0.

L’avvento del web 2.0 (ma si parla già diweb 3.0 e 4.0) inteso come evoluzionedella rete e dei siti internetcaratterizzata da una maggioreinterattività che pone l’utente al centrodella rete ha evidenziato ancora di più gliaspetti descritti in precedenza.

Difatti Internet non è più unasemplice "rete di reti", né unagglomerato di siti Web isolati eindipendenti tra loro, bensì la summadelle capacità tecnologiche raggiuntedall’uomo nell’ambito della diffusionedell’informazione e della condivisionedel sapere.

E’ naturale che in considerazione proprio diqueste nuove potenzialità di Internet, ènecessario un giusto ed equilibratobilanciamento tra principi sacrosanti come latutela della libertà di manifestazione ecircolazione del pensiero e la tutela di altriinteressi giuridicamente rilevanti, come lariservatezza, che assumono anch’essi unrango di carattere costituzionale epotrebbero essere lesi da un eserciziosconsiderato della libertà in questione.

E’ ovvio che la soluzione vada trovatacaso per caso di fronte ad unpotenziale conflitto, cercando ditutelare l’interesse ritenutopreminente.

I contenuti creati dagli utenti e resipubblici attraverso il mezzotelematico, costituiscono unpotenziale veicolo di violazioni degliinteressi di terzi e in questo sensouna minaccia per diritti qualil’immagine, l’onore e la reputazione,nonché la riservatezza.

Come messo in risalto da alcuniinterpreti, la rete, che per suanatura tende a connettere individui,formazioni sociali e istituzioni diogni genere, pone questioni“inquietanti” in quanto risolvibili solocon nuovi approcci, soluzioni maiadottate prima e in taluni casi nonancora individuate.

In considerazione delle caratteristiche diaccesso di particolari strumenti del web2.0 ma anche di banche dati presenti inrete, legati alle tradizionali credenziali diautenticazione (user id e password)assume particolare rilevanza laproblematica della clonazione dei profili:attraverso semplici procedure, peraltroillustrate in rete, è possibile accedere alprofilo di un determinato utente e agireper conto di questo.

Le ipotesi di reato collegate a similiforme di abuso possono essere le piùvarie ma si riconducono tuttesenz’altro al furto di identità che negliultimi tempi sta preoccupandoparticolarmente l’Autorità per laprotezione dei dati personali.

Altra tipica rappresentazione del furtod’identità è il phishing che è un tipo difrode ideato proprio allo scopo di rubarel'identità di un utente. Quando vieneattuato, una persona malintenzionatacerca di appropriarsi di informazioni qualinumeri di carta di credito, password,informazioni relative ad account o altreinformazioni personali convincendol'utente a fornirgliele con falsi pretesti. Ilphishing viene generalmente attuatotramite posta indesiderata o finestre acomparsa.

Il Garante sta esaminando questoproblema del furto d’identità con vivapreoccupazione ponendo la suaattenzione in tutti quei settoriparticolarmente delicati collegati allenuove tecnologie come le manipolazionigenetiche e l’utilizzo dei sistemibiometrici nel campo della sicurezza.

Come è noto le tecnologie biometriche,consentono, mediante l'uso di specificisoftware e apparecchiature informatiche,il riconoscimento di un individuoattraverso dati fisici ricavati dall'analisidelle impronte digitali, della morfologiafacciale e dal riconoscimento palmare.

In tema di accessi informatici i sistemibiometrici rappresentano la ricerca piùavanzata nel campo della sicurezza.Alcune caratteristiche fisiche dell’utenteautorizzato all’accesso, vengonomemorizzate dal computer e confrontatecon quelle della persona che accede.

Di fronte alla rapida ascesa di talimetodologie il Garante sta assumendoun atteggiamento particolarmente rigidoin quanto spesso le finalità diidentificazione, sorveglianza, sicurezzadelle transazioni non possono giustificarequalsiasi utilizzazione del corpo umanoresa possibile dall’innovazionetecnologica.

Vanno garantiti sempre il rispetto delladignità della persona, il rispettodell’identità personale, il rispetto deiprincipi di finalità e di proporzionalità edinfine la necessaria attenzione per glieffetti cosiddetti imprevisti o indesideratie che, invece, spesso sono conseguenzedeterminate da analisi incomplete otroppo interessate delle tecnologie allequali si intende ricorrere.

Ma il phishing come si è detto inprecedenza è innanzitutto una vera epropria frode di carattere informatico e siricorda che l’art. 10 della Legge 547/93ha inserito nel corpo delle norme penaliin tema di truffa la specifica ipotesi difrode informatica.

Lo stesso non si può dire per altretipologie di furti d’identità in rete chenon vengono inquadrate in specifichefigure di reato riconosciute dal nostroordinamento e solitamente si fannorientrare nell’ambito del Capo IV delTitolo VII del Codice penale: Dei delitticontro la fede pubblica – falsitàpersonali.

Solo di recente con il DL 14 agosto 2013, n.93, convertito dalla L.15 ottobre 2013, n.119 è stata introdotta, per la prima volta, nelcodice penale, la nozione di “identitàdigitale”, prevedendo un’aggravante per ildelitto di frode informatica (art. 640 ter), “seil fatto è commesso con furto o indebitoutilizzo dell'identita' digitale in danno di unoo piu' soggetti”. Si tratta per di più diun’aggravante a effetto speciale, in quantoprevede la pena della reclusione da due a seianni e della multa da euro 600 a euro 3.000.

Nuovi Principi Generali del Regolamento Europeo

Il principio di Trasparenza

(art. 12)

o

Il principio di accountability(art. 24)

o

Il principio della privacy by design e by default

(art. 25)