Evoluzione normativa della sicurezza informatica nell’UE e in Italia | Studio Legale Tidona e Associati

Effettua la tua ricerca

More results...

Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Filter by Categories
#finsubito

Finanziamenti personali e aziendali

Prestiti immediati

 


© Tutti i diritti riservati. Vietata la ripubblicazione cartacea ed in internet senza una espressa autorizzazione scritta. È consentito il link diretto a questo documento.

Di Antonio Pezzuto, ex Dirigente della Banca d’Italia

Finanziamenti e agevolazioni

Agricoltura

 

  

1. Introduzione

L’uso delle tecnologie digitali e dell’informazione e della comunicazione (information and communication technology, ICT) nell’economia mondiale è in costante aumento. Se da un lato le nuove tecnologie comportano rilevanti benefici (ad esempio, in termini di aumento della produttività del lavoro e di allargamento della rete di comunicazione), dall’altro generano rischi per l’economia legati ad attacchi informatici: aggressioni cyber significative possono infatti produrre, oltre che perdite reputazionali, danni economici notevoli alle infrastrutture tecnologiche colpite[1] e indurre una percezione di insicurezza che, a sua volta, può minare il regolare funzionamento di quei mercati che si basano sulla disponibilità e sulla circolazione di dati digitali.

Il Rapporto Clusit 2024 segnala una crescita esponenziale del numero di incidenti informatici verificatisi a livello globale che, oltre a confermare la tendenza al rialzo osservata in passato, evidenzia un’accelerazione preoccupante del fenomeno. Secondo l’analisi, tra il 2019 e il 2024 si è registrato un aumento del 110 per cento degli attacchi nel mondo, con una media di 9 eventi al giorno, a fronte di 4,5 rilevati nel quinquennio precedente.

Data la centralità del suo ruolo nel sistema economico in generale e in quello dei pagamenti in particolare, il settore finanziario rappresenta un obiettivo preferenziale per i cybercriminali, mossi dalla prospettiva di realizzare lauti profitti o interessati, sovente per motivi ideologici, a compromettere l’ordinato funzionamento dell’economia. Gli attacchi sono condotti talvolta con metodi molto semplici, come il furto di credenziali di accesso ai conti, talaltra con metodi complessi che portano alla sottrazione di fondi o di dati su larga scala.

In uno scenario caratterizzato dal proliferare di attacchi informatici, negli ultimi anni le Istituzioni europee hanno intensificato gli sforzi per contrastare la diffusione della criminalità cyber e per innalzare il livello di resilienza delle infrastrutture tecnologiche, al fine di garantire a tutti i cittadini e le imprese di poter beneficiare appieno di servizi e strumenti digitali affidabili e attendibili.

 

2. La disciplina europea

Contributi e agevolazioni

per le imprese

 

I primi atti normativi dell’UE in materia di sicurezza informatica (cybersecurity) risalgono agli inizi degli anni Duemila e hanno riguardato principalmente il contrasto alla criminalità organizzata. Risale infatti a quel periodo la Comunicazione del 26 gennaio 2001, con la Commissione europea postula la necessità di migliorare la sicurezza delle infrastrutture dell’informazione e di combattere efficacemente la criminalità informatica.

Negli anni successivi l’attenzione delle istituzioni europee è rivolta a garantire la sicurezza delle informazioni, poiché ritenuta funzionale agli obiettivi di promozione dei valori di libertà e democrazia.

Nel 2006 la Commissione pubblica, a breve distanza l’una dall’altra, due Comunicazioni: nella prima sottolinea l’esigenza di innalzare il livello di sicurezza delle reti e delle informazioni nell’Unione, nonché di promuovere la diffusione di una cultura della cybersecurity; con la seconda Comunicazione annuncia l’intenzione di istituire un gruppo di contatto PIC (Protezione Infrastrutture Critiche) con il compito di coadiuvare gli Stati membri a individuare le infrastrutture critiche nazionali, attraverso l’analisi della loro portata e della loro gravità.

Nel 2008, con l’approvazione della Direttiva CE/2008/114, relativa alla protezione delle infrastrutture critiche, sono state introdotte misure minime tecniche e organizzative per garantire la resilienza delle infrastrutture critiche a minacce informatiche.

Nel 2010 la Commissione pubblica una Comunicazione con la quale individua le sfide più importanti cui l’UE dovrà far fronte negli anni a venire, proponendo cinque obiettivi strategici e specifici interventi per il periodo 2011-2014 che contribuiranno, nelle sue intenzioni, a rendere più sicura l’intera Unione: i) smantellare le reti criminali internazionali; prevenire il terrorismo e contrastare la radicalizzazione e il reclutamento; iii) aumentare i livelli di sicurezza per i cittadini e le imprese nello spazio cibernetico; iv) rafforzare la sicurezza attraverso la gestione delle frontiere; v) aumentare la resilienza dell’Europa alle crisi e alle calamità.

Nel 2013 la Commissione adotta una nuova Comunicazione con la quale delinea la propria strategia di sicurezza informatica, proponendo interventi specifici per rafforzare la resilienza delle infrastrutture tecnologiche agli attacchi informatici. Vengono quindi individuate cinque priorità fondamentali per poter fronteggiare le minacce provenienti dallo spazio cibernetico: i) aumentare la resilienza cibernetica; ii) ridurre drasticamente il cybercrime; iii) sviluppare una politica di difesa militare nello spazio cibernetico e le necessarie capacità operative nel quadro della Politica di sicurezza e di difesa comune; iv) sviluppare le risorse industriali e tecnologiche per la cybersicurezza; v) stabilire linee di politica internazionale riguardo all’azione degli Stati membri nello spazio cibernetico.

Muovendo dalla constatazione che la frequenza e l’impatto degli incidenti informatici sono in costante aumento e costituiscono una grave minaccia per il funzionamento del mercato interno, le Istituzioni europee approvano la Direttiva (UE) 2016/1148 (c.d. NIS, Network and Information Security), che reca misure volte ad assicurare un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. La Direttiva NIS rappresenta il primo provvedimento di carattere generale adottato in ambito europeo sul tema della sicurezza informatica e indica le azioni che dovranno essere adottate per migliorare le capacità di sicurezza dei singoli Paesi dell’UE.

Finanziamo agevolati

Contributi per le imprese

 

In breve, la Direttiva in esame prevede l’adozione di una serie di iniziative da parte degli Stati membri volte a i) migliorare la capacità di cybersecurity dei singoli paesi; ii) aumentare il livello di cooperazione strategica in ambito europeo nel prevenire minacce cibernetiche e nell’approntare efficaci misure di risposta ad attacchi informatici; iii) sviluppare una cultura della sicurezza con particolare riferimento ai settori chiave per l’economia e la società e che si basano sulle tecnologie dell’informazione e della comunicazione.

La Direttiva stabilisce, in concreto, l’obbligo per gli Stati membri di: i) adottare una strategia in materia di sicurezza informatica, che definisca obiettivi strategici e misure di sicurezza adeguate e proporzionate alla gestione dei rischi e alla prevenzione e minimizzazione dell’impatto di eventuali incidenti; ii) individuare gli operatori essenziali, ossia quei soggetti pubblici o privati che forniscono servizi essenziali per il mantenimento di attività sociali e/o economiche in determinati settori (energia, trasporti, banche, infrastrutture dei mercati finanziari, ecc.); iii) designare autorità nazionali competenti e punti di contatto unico in materia di cybersicurezza; iv) istituire gruppi di intervento per la sicurezza informatica in caso di incidente (Computer Security Incident Response Team, CSIRT), incaricati di monitorare gli incidenti occorsi in ambito nazionale, fornendo allarmi tempestivi, avvisi e annunci con l’obiettivo di diffondere informazioni su rischi ed incidenti.

L’applicazione della NIS ha avuto l’effetto di rafforzare la cybersicurezza e la capacità di risposta agli incidenti informatici, nonché il merito di introdurre il tema della sicurezza cibernetica nell’agenda politica europea e nazionale, sensibilizzando sia i governi sia il settore privato. Tuttavia, nonostante i progressi realizzati, la NIS ha mostrato una serie di limiti che ne hanno attenuato l’efficacia, tra i quali l’eccessiva frammentazione della normativa lungo i confini nazionali che ha generato diffuse vulnerabilità in alcuni Stati membri, con implicazioni negative per la sicurezza informatica dell’intera Unione.

In risposta alle crescenti minacce poste dalla digitalizzazione e dall’aumento degli attacchi informatici e al fine di eliminare le ampie divergenze nell’attuazione della Direttiva tra i Paesi membri che hanno determinato livelli disomogenei di sicurezza e vulnerabilità all’interno dell’Unione, la Commissione presenta, nel dicembre 2020, una proposta di revisione completa della NIS. L’iter legislativo si conclude con l’approvazione della Direttiva (UE) 2022/2555 (c.d. NIS 2) che costituisce il nuovo quadro di riferimento in materia.

La NIS 2 è accompagnata da altri tre atti normativi fondamentali ai fini dell’attuazione della strategia europea in materia di sicurezza e resilienza di settori essenziali: il Regolamento (UE) 2022/5554 (Digital Operational Resilience Act, DORA) relativo alla resilienza operativa digitale del settore finanziario; la Direttiva (UE) 2022/2556, che reca norme sempre sulla resilienza operativa del settore finanziario, e la Direttiva (UE) 2022/2557 (Critical Entities Resilience, CER) sulla resilienza dei soggetti critici con riferimento a rischi diversi da quelli informatici.

Rispetto alla NIS, la nuova Direttiva:

Microcredito

per le aziende

 

  • amplia il novero dei soggetti obbligati, eliminando la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi digitali (ossia quei soggetti che forniscono servizi di e-commerce, cloud compunting o motori di ricerca, a meno che non siano PMI) e introducendo quella basata su soggetti essenziali e soggetti importanti che dovranno essere identificati dagli Stati membri con criteri uniformi. In queste categorie rientrano tutti i soggetti che operano nei settori ad alta criticità (energia, trasporti, banche, infrastrutture digitali, pubblica amministrazione, ecc.) e altri settori critici (servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, ecc.);
  • esclude dal campo di applicazione i soggetti che operano nei settori della sicurezza nazionale, pubblica sicurezza o difesa, oltre che i Parlamenti e le banche centrali;
  • introduce un approccio “multirischio” nell’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi;
  • rafforza gli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e al CSIRT in base ad uno schema a più fasi con tempistiche predefinite;
  • richiede agli Stati membri di prevedere misure di vigilanza ed esecuzione nei confronti dei soggetti obbligati (audit mirati, ispezioni, ecc.), nonché nuovi obblighi di condivisione delle informazioni sulla cybersicurezza;
  • istituisce una rete europea delle organizzazioni di collegamento per le crisi informatiche (EU-Cyclone), al fine di sostenere la gestione coordinata degli incidenti informatici su larga scala;
  • definisce un sistema di vigilanza più rigoroso per la sicurezza informatica e introduce un regime sanzionatorio più severo per i soggetti inadempienti.

Il 3 ottobre 2024 l’European Union Agency for Cybersecurity (ENISA)[2] ha pubblicato il primo rapporto biennale sullo stato della sicurezza informatica nell’UE, come richiesto dall’art. 18 della NIS 2. In particolare, il report analizza lo stato attuale delle capacità di cybersicurezza a livello di Unione, nazionale e sociale, esamina i rischi, le vulnerabilità e le strategie adottate, con l’obiettivo di formulare raccomandazioni volte a eliminare le lacune individuate e a innalzare il livello di sicurezza informatica in tutta l’Unione.

A fronte di uno scenario caratterizzato da un aumento considerevole degli attacchi informatici, legato principalmente all’acuirsi delle tensioni geopolitiche ed economiche nell’Europa dell’Est e nel Medio Oriente, il rapporto ENISA suggerisce una serie di raccomandazioni politiche per potenziare la capacità degli operatori di settori critici, aumentare la consapevolezza sulla sicurezza informatica e migliorare la cyber higiene. Tra queste, rafforzare il sostegno tecnico e finanziario alle istituzioni europee, alle autorità nazionali e alle entità che rientrano nel perimetro di applicazione della NIS 2, affrontare la sicurezza della supply chain nell’UE, intensificando le valutazioni dei rischi e sviluppando un framework comune che affronti le sfide che affliggono sia il settore pubblico sia quello privato.

Come previsto dalla NIS 2, il 17 ottobre 2024 la Commissione ha adottato il Regolamento di esecuzione che contiene le prime norme di attuazione sulle misure di gestione dei rischi di sicurezza informatica e l’identificazione degli incidenti significativi per le entità che operano in settori critici per l’economia e la società. L’atto di esecuzione definisce i requisiti tecnici e metodologici per la gestione del rischio informatico nonché i criteri per stabilire quando un incidente può essere considerato significativo.

Più precisamente, il Regolamento fornisce indicazioni dettagliate sulle misure di gestione del rischio che le imprese e i fornitori di servizi digitali devono adottare per rafforzare la propria resilienza agli attacchi informatici e per minimizzare le potenziali vulnerabilità nei propri sistemi informativi e di rete. A tal fine, viene previsto che ogni entità effettui una valutazione periodica e completa dei rischi informatici e definisca parametri precisi per valutare quando un incidente cibernetico debba considerarsi “significativo” ai fini della segnalazione alle autorità competenti.

L’atto di esecuzione si applica a diverse tipologie di operatori (definiti “soggetti pertinenti”), tra cui i fornitori di servizi DNS (domain name system), i registri di nomi di primo livello, i fornitori di servizi cloud compunting, i fornitori di servizi di data center e le piattaforme di servizi di social network.

Secondo il Regolamento di esecuzione, un incidente è considerato “significativo” quando sono soddisfatti uno o più dei criteri seguenti: i) l’incidente ha causato o è in grado di procurare un danno finanziario diretto al soggetto pertinente superiore a 500 mila euro o al 5 per cento del fatturato totale annuo del soggetto pertinente, se inferiore; ii) l’esfiltrazione di segreti commerciali; iii) il decesso di una persona fisica; iv) danni considerevoli alla salute di una persona fisica.

Ai fini della valutazione dell’impatto in caso di incidente, il Regolamento stabilisce che nel calcolare il numero di utenti coinvolti nell’incidente i soggetti pertinenti devono considerare i seguenti elementi: i) il numero di clienti che hanno in essere un contratto con il soggetto pertinente che concede loro l’accesso ai sistemi informativi e di rete; e ii) il numero di persone fisiche e giuridiche associate a clienti commerciali che utilizzano i sistemi informativi e di rete.

Mutuo 100% per acquisto in asta

assistenza e consulenza per acquisto immobili in asta

 

In considerazione del fatto che i prodotti hardware e software sono sempre più soggetti ad attacchi informatici andati a segno causando costi sociali ed economici significativi, il 23 ottobre 2024 il Consiglio europeo ha approvato in via definitiva il Regolamento (UE) 2024/2847 (c. d. Cyber Resilience Act, CRA), relativo ai requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali e che modifica i Regolamenti (UE) 168/2013 e 2019/1020 e la Direttiva (UE) 2020/1828.

Il nuovo Regolamento persegue tre obiettivi principali: i) garantire che i produttori migliorino gli standard di sicurezza dei prodotti digitali fin dalla fase di progettazione e sviluppo e durante l’intero ciclo di vita; ii) costituire un quadro di sicurezza informatica coerente all’interno dell’Unione, facilitando la conformità dei prodotti hardware e software; iii) innalzare il livello di trasparenza richiedendo ai produttori di fornire agli utenti informazioni chiare e comprensibili sulle pratiche di sicurezza adottate.

Il CRA si applica ai prodotti con elementi digitali[3] messi a disposizione sul mercato la cui finalità o il cui utilizzo ragionevolmente prevedibile include una connessione dati logica o fisica diretta o indiretta a un dispositivo o a una rete. Sono previste eccezioni per i prodotti già soggetti a requisiti di cybersicurezza in virtù delle norme europee vigenti, come, ad esempio, i dispositivi medici.

Affinché i prodotti digitali connessi immessi sul mercato europeo siano progettati e fabbricati in modo sicuro, Il Regolamento li classifica in “importanti”[4] e “critici”[5] introducendo specifici requisiti sulla base della loro classificazione: i) requisiti di sicurezza: i produttori devono progettare prodotti sicuri fin dalla fase di progettazione (security by design) e devono mantenere tali standard per tutto il loro ciclo di vita; ii) gestione delle vulnerabilità: i produttori hanno l’obbligo di monitorare, identificare e risolvere eventuali vulnerabilità, fornendo aggiornamenti di sicurezza tempestivi per proteggere i dispositivi dalle minacce emergenti; iii) requisiti di trasparenza: i produttori devono fornire agli utenti informazioni chiare e dettagliate sulle pratiche di sicurezza adottate; iv) dichiarazione di conformità: i fabbricanti devono attestare il rispetto dei requisiti essenziali di cybersicurezza applicabili; v) notifica di incidenti: in caso di attacco o vulnerabilità grave, i produttori sono tenuti a informare tempestivamente le autorità competenti.

Il CRA si applicherà dall’11 dicembre 2027, fatta eccezione per l’art. 14 (Obblighi di segnalazione delle vulnerabilità del prodotto digitale da parte dei fabbricanti) che si applica dall’11 settembre 2026 e il Capo IV (articoli 35-51 sulla notifica degli organismi di valutazione della conformità) che trova applicazione dall’11 giugno 2026.

 

3. La disciplina nazionale

Carta di credito con fido

Procedura celere

 

Anche in Italia le prime iniziative in materia di cybersecurity sono incentrate sul contrasto alla diffusione di crimini informatici. Nel corso degli anni Novanta vengono infatti approvati due atti legislativi: la legge 547/1993 che introduce nel Codice penale la fattispecie di reato informatico e la legge 269/1998 che affida alla Polizia postale e delle comunicazioni il compito di contrastare i reati della specie.

Nel 2002 l’attenzione della “politica” si rivolge anche alla protezione delle informazioni raccolte nei database delle pubbliche amministrazioni. Con la direttiva del Presidente del Consiglio dei ministri del 16 gennaio di quell’anno si stabilisce infatti che le informazioni gestite dai sistemi informativi pubblici costituiscono “una risorsa di valore strategico per il governo del Paese” che deve essere efficacemente protetta e tutelata. La direttiva raccomanda pertanto a tutte le pubbliche amministrazioni di effettuare un’autovalutazione del livello di sicurezza informatica dei sistemi informativi utilizzati e di intraprendere le più opportune azioni per posizionarsi su una prestabilita “base minima di sicurezza”.

Negli anni successivi vengono adottati altri due importanti provvedimenti: il DL 144/2005, convertito nella legge 155/2005, che ha rafforzato le competenze in materia cibernetica del sistema di intelligence, e il DM del Ministero dell’Interno del 9.1.2008, in attuazione del richiamato decreto legge, con cui sono censite le infrastrutture informatizzate critiche di interesse nazionale.

Nel 2013 il Governo Monti, anche sulla base di analoghe iniziative intraprese a livello europeo e internazionale, emana il DPCM del 24 gennaio 2013 che definisce le competenze di settore tra i diversi attori istituzionali, delineando la governance nazionale in materia di cybersicurezza. Nello specifico, il decreto individua nella Presidenza del Consiglio dei ministri il vertice dell’architettura nazionale in materia di sicurezza cibernetica e istituisce due CERT (Computer Emergency Response Team), uno nazionale all’interno del Ministero dell’Interno e uno della pubblica amministrazione all’interno dell’Agenzia per l’Italia digitale.

Nello scorcio dell’anno sono approvati il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e il “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. Nell’insieme questi documenti individuano, per la prima volta in modo organico, i compiti affidati a ciascuna componente istituzionale e gli strumenti e le procedure da seguire ai fini della riduzione delle vulnerabilità, della prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato della funzionalità delle strutture e dei sistemi in caso di crisi.

Nel 2017 il Governo Gentiloni emana il DPCM del 17 febbraio 2017 che razionalizza l’architettura istituzionale di sicurezza cibernetica, riconducendo direttamente ogni responsabilità in materia alla Presidenza del Consiglio dei ministri. Nel nuovo assetto strategico al Presidente del Consiglio viene affidata l’alta direzione e la responsabilità generale della politica dell’informazione per la sicurezza. Egli inoltre impartisce le direttive ed emana le disposizioni necessarie per l’organizzazione e il funzionamento del sistema di cybersecurity.

La Direttiva NIS è stata recepita nell’ordinamento italiano dal d.lgs. 65/2018, il quale prevede: i) l’adozione di misure tecnico-organizzative per ridurre il rischio e limitare l’impatto di incidenti informatici; ii) l’obbligo di notifica di incidenti con impatto rilevante sulla fornitura dei servizi; iii) la designazione delle autorità nazionali e del punto di contatto unico; iv) l’istituzione del CSIRT italiano presso la Presidenza del Consiglio dei ministri, con compiti di natura tecnica nella prevenzione e risposta ad incidenti informatici svolti in cooperazione con altri CSIRT europei.

Microcredito

per le aziende

 

Al decreto di recepimento è seguito il DL 105/2019, convertito nella legge 133/2019, che ha formalmente istituito, tra le altre cose, il Perimetro di sicurezza nazionale cibernetica, con la finalità precipua di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati con sede nel territorio nazionale.

Successivamente, con il decreto legge 82/2021, convertito con modificazioni nella legge 109/2021, si è proceduto alla ridefinizione dell’architettura nazionale di cybersicurezza e all’istituzione dell’Agenzia per la cybersicurezza nazionale (ACN).

Al vertice del sistema di sicurezza pemane il Presidente del Consiglio dei ministri, al quale è attribuita in via esclusiva l’alta direzione e la responsabilità generale delle politiche per la cybersicurezza, nonché l’adozione della relativa strategia nazionale, sentito il Comitato interministeriale per la cybersicurezza (cfr. Appendice). Previa deliberazione del Consiglio dei ministri, egli nomina e revoca il direttore generale e il vice direttore generale dell’ACN e può delegare all’Autorità delegata per il sistema di informazione e per la sicurezza della Repubblica le funzioni che non siano a lui demandate in via esclusiva.

Presso la Presidenza del Consiglio dei ministri, è istituito il Comitato interministeriale per la cybersicurezza, con funzioni di consulenza, proposta e vigilanza in materia di politiche di cybersicurezza. Il Comitato è presieduto dal Presidente del Consiglio dei ministri ed è composto dall’Autorità delegata, ove istituita, e da dieci ministri. Tra i poteri del Comitato rileva quello di proporre al Presidente del Consiglio dei ministri gli indirizzi generali da perseguire nel quadro delle politiche di cybersicurezza e promuovere l’adozione delle iniziative necessarie a favorire l’efficace collaborazione, a livello nazionale e internazionale, tra i soggetti istituzionali e gli operatori privati interessati, la condivisione delle informazioni, l’adozione di best practices e di misure per lo sviluppo industriale, tecnologico e scientifico.

L’ACN è un organismo deputato alla tutela degli interessi nazionali nel campo della cybersicurezza. Ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria. Opera a supporto del Presidente del Consiglio dei ministri e dell’Autorità delegata, ove istituita.

L’Agenzia è l’Autorità nazionale per la cybersicurezza e, in quanto tale, assicura il coordinamento tra i soggetti pubblici coinvolti nella cybersicurezza a livello nazionale. Svolge una molteplicità di funzioni per la tutela degli interessi nazionali nello spazio cibernetico, tra cui la predisposizione della strategia nazionale di cybersicurezza.

Le attività svolte dall’Agenzia – portate a conoscenza del Parlamento attraverso la pubblicazione di una relazione annuale – sono soggette a specifico controllo da parte del Comitato parlamentare per la sicurezza della Repubblica (COPASIR).

Presso l’Agenzia è istituito, in via permanente, il Nucleo per la cybersicurezza, che è costituito da rappresentanti di varie istituzioni governative. Il Nucleo supporta il Presidente del Consiglio nella prevenzione, nella gestione delle crisi e nell’attivazione delle procedure di allertamento. Inoltre, il Nucleo si avvale del Computer Security Incident Response Team (CSRIT Italia), la cui azione è volta alla prevenzione, al monitoraggio, al rilevamento, all’analisi e alla risposta ad attacchi informatici, nonché del Centro di Valutazione e Certificazione e del Centro Nazionale di Coordinamento. Il primo si occupa di verificare la sicurezza e l’assenza di vulnerabilità in beni, sistemi e servizi ICT in uso nelle infrastrutture da cui dipendono le funzioni e i servizi essenziali del Paese; il secondo ha la responsabilità di monitorare costantemente il panorama delle minacce.

Gli ultimi dati disponibili mostrano che, a fronte di un numero di segnalazioni sostanzialmente invariato rispetto al 2022, nel 2023 sono aumentati di circa il 30 per cento il numero di eventi cyber e più che raddoppiati gli incidenti. Inoltre, nel 2023 sono stati 3.302 i soggetti italiani colpiti da eventi informatici, a fronte dei 1.150 del 2002. La crescita del fenomeno è riconducibile all’aumento della capacità di monitoraggio dell’ACN, che permette ora di individuare, oltre agli asset a rischio, anche quelli potenzialmente vulnerabili[6].

Nel corso del 2023 l’ACN ha trattato 1.411 eventi cyber (+29 per cento rispetto al 2022), dei quali 303 sono stati classificati come incidenti. Le tipologie più diffuse di tali eventi risultano essere i DDoS (Distributed Denial of Service)[7], i malware[8] e i phishing[9]. I settori di attività più colpiti sono le telecomunicazioni (con 216 eventi cyber), la pubblica amministrazione centrale (con 2011) e quella locale (con 140)

L’acuirsi delle tensioni geopolitiche, legate al perdurare della guerra tra Russia e Ucraina e al mutamento degli equilibri in Medio Oriente a seguito degli attentati del gruppo terroristico Hamas in danno di Israele, ha determinato un aumento significativo di eventi e incidenti cibernetici nel nostro Paese. Nel periodo maggio-novembre 2024 sono stati infatti individuati 1.193 eventi cyber, con impatto più rilevante sui settori della pubblica amministrazione locale e centrale e dell’università e ricerca[10].

La NIS 2 ha trovato attuazione in Italia con il d.lgs. 138/2024 che, nell’abrogare il d.lgs. 65/2018, stabilisce misure volte a garantire un livello elevato di sicurezza informatica in ambito nazionale. Il nuovo decreto, che si suddivide in 6 Capi e 44 articoli ed è corredato di quattro allegati, riproduce sostanzialmente la struttura della Direttiva NIS 2, alla luce dei principi e dei criteri introdotti dall’art. 3 della legge 15/2024 (legge di delegazione europea 2022-2023).

Le principali innovazioni introdotte dal decreto riguardano il rafforzamento del controllo e della vigilanza in materia di sicurezza informatica e la previsione di sanzioni amministrative elevate in caso di violazione delle disposizioni di legge.

Più in dettaglio, il decreto di recepimento attribuisce all’ACN, in quanto Autorità nazionale competente in ambito NIS, i compiti: 1) di monitoraggio, analisi e supporto che consistono, tra gli altri, nel richiedere ai soggetti essenziali e ai soggetti importanti una rendicontazione, anche periodica, dello stato di attuazione degli obblighi previsti dallo statuto, nonché le informazioni necessarie per lo svolgimento delle proprie funzioni istituzionali, dichiarando la finalità della richiesta, e l’esecuzione, periodica o mirata, di audit sulla sicurezza, in particolare in caso di incidente significativo o di violazione del decreto;  e 2) di vigilanza, da svolgere attraverso verifiche documentali, ispezioni in loco o a distanza e richieste di accesso a dati e informazioni.

L’Agenzia può inoltre adottare misure di esecuzione nei confronti di tali soggetti, misure che si traducono: 1) nel richiedere, dichiarandone la finalità, di fornire dati e informazioni che dimostrino l’attuazione di politiche di sicurezza informatica (ad esempio, audit sulla sicurezza e relativi elementi di prova); 2) nell’intimare di: i) eseguire periodicamente audit sulla sicurezza e scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, non discriminatori, equi e trasparenti; ii) dare attuazione alle raccomandazioni fornite in seguito a un audit sulla sicurezza; 3) comunicare senza indugio ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; 4) attuare le istruzioni impartite o di rimuovere le carenze individuate nell’adempimento degli obblighi imposti dal decreto o alle conseguenze derivanti da violazioni dello stesso; 5) dare notizia al pubblico degli incidenti occorsi.

Competente ad irrogare le sanzioni amministrative è l’ACN. Nel determinarne la misura, l’Agenzia deve tenere anche conto sia degli esiti delle attività di monitoraggio, analisi e supporto sia delle risultanze emerse dalle ispezioni e dalle verifiche.

Il decreto prevede un sistema sanzionatorio basato sulla sospensione temporanea delle attività in caso di inadempienza ad ottemperare alle diffide dell’Agenzia. La sospensione può essere inflitta sia a persone giuridiche sia a persone fisiche (dirigenti e rappresentanti legali)[11]. La sospensione non viene applicata nei confronti delle pubbliche amministrazioni e dei soggetti partecipati o sottoposti a controllo pubblico, né nei confronti dei dipendenti pubblici.

Le sanzioni pecuniarie variano da un minimo di 10 mila euro ad un massimo di 10 milioni di euro e per i soggetti diversi dalle pubbliche amministrazioni da un minimo dello 0,07 per cento ed un massimo del 2 per cento del fatturato annuo globale. In caso di reiterazione non specifica la sanzione prevista per la violazione è aumentata fino al triplo, mente in caso di reiterazione specifica la sanzione è aumentata fino al doppio.

Completa il quadro normativo di riferimento la legge 90/2024 che reca disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici. Più in dettaglio, il provvedimento di legge:

  • introduce un obbligo di segnalazione di alcune tipologie di incidenti che hanno un impatto su reti, sistemi informativi e sistemi informatici in uso presso le pubbliche amministrazioni;
  • stabilisce che i soggetti inclusi nel Perimetro di sicurezza nazionale cibernetica provvedano con tempestività alla segnalazione degli incidenti occorsi a reti, sistemi informativi e sistemi informatici che si trovano al di fuori del perimetro;
  • prevede che i dati relativi a incidenti informatici siano raccolti dall’ACN;
  • rafforza le misure di sicurezza dei dati attraverso l’uso della crittografia, istituendo il Centro nazionale di crittografia presso l’Agenzia, e si attribuisce alle strutture competenti il compito di verificare che i programmi e le applicazioni informatiche rispettino le linee guida adottate dall’Agenzia e dall’Autorità garante per la protezione dei dati personali;
  • apporta modifiche al codice penale per rafforzare le previsioni in materia di prevenzione e contrasto dei reati informatici prevedendo pene più severe o ulteriori circostanze aggravanti rispetto alle fattispecie di reati informatici previste a legislazione vigente e introducendo nuove fattispecie delittuose;
  • estende il termine ordinario di conclusione delle indagini preliminari laddove i reati informatici siano commessi in danno di sistemi informatici o telematici di interesse militare o comunque di interesse pubblico;
  • estende la disciplina delle intercettazioni prevista per i fatti di criminalità organizzata ai reati informatici rimessi al coordinamento del procuratore nazionale antimafia e antiterrorismo.

 

4. Conclusioni

Di fronte al dilagare degli attacchi cibernetici, condotti con metodi sempre più sofisticati e insidiosi, a partire dai primi anni duemila sono stati varati in ambito europeo numerosi provvedimenti legislativi, con l’obiettivo primario di contrastare la diffusione di crimini informatici e rafforzare la resilienza operativa digitale. I risultati finora raggiunti sul fronte della lotta al cybercrime non possono ritenersi, tuttavia, del tutto soddisfacenti. Per realizzare progressi significativi sarebbe necessario, oltre che urgente, avviare iniziative di ampio respiro che coinvolgano soggetti privati, organizzazioni internazionali e singoli Stati.

In questa direzione sembra muoversi l’iniziativa delle Nazioni Unite che l’8 agosto 2024 hanno approvato la Convenzione sul cybercrime. Oltre a fornire una cornice definitoria comune in materia di cybersecurity, la Convenzione mira a rafforzare le misure tese a prevenire e combattere il crimine informatico, snellire i meccanismi relativi alla cooperazione giudiziaria tra gli Stati, accrescere le risorse nazionali a difesa delle infrastrutture critiche, promuovere attività formative volte a creare le competenze necessarie alla prevenzione e al contrasto dei reati informatici.

 

Appendice: La strategia nazionale di cybersicurezza 2022-2026

L’ACN, tra i suoi compiti, ha anche quello di predisporre la Strategia nazionale di cybersicurezza, che viene poi adottata dal Presidente del Consiglio. La Strategia nazionale di cybersicurezza 2022-2026[12], adottata il 17 maggio 2022, muove da una triplice considerazione: la cybersicurezza non deve essere percepita come un costo, ma come un investimento e un fattore abilitante per lo sviluppo dell’economia e dell’industria nazionale, al fine di accrescere le competitività: la transizione al digitale è un elemento fondamentale nelle società contemporanee; tale processo ha determinato la comparsa di nuovi rischi che nel tempo sono divenuti più complessi con l’avanzare dell’evoluzione tecnologica e delle tecniche di attacco.

L’Agenzia ha individuato tre categorie di rischi sistemici da dover gestire:

  • gli attacchi cyber dovuti a cybercriminali, attivisti o a campagne statuali coordinate che sfruttano errori per sottrarre dati o arrecare danni ai sistemi;
  • le tecnologie ICT sviluppate e prodotte da grandi realtà aziendali, che sono controllate o, comunque, influenzate nel loro operato dai governi in cui hanno sede, con conseguenti possibili ingerenze nella catena degli approvvigionamenti;
  • la diffusione di fake news, deepfake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini di un Paese.

Alla luce di questi rischi, la Strategia mira ad affrontare una pluralità di sfide che vanno dal rafforzamento della resilienza nella transizione digitale della Pubblica Amministrazione (PA) e del tessuto produttivo al conseguimento dell’autonomia strategica nel settore digitale, all’anticipazione della minaccia cyber, alla gestione di crisi cibernetiche, al contrasto della disinformazione online.

Per affrontare le richiamate sfide è previsto il ricorso a varie e diversificate fonti di finanziamento. Tra queste:

  • fondi nazionali: quota percentuale (1,2%) degli investimenti nazionali lordi su base annuale per il finanziamento di progetti specifici che garantiscano l’autonomia tecnologica in ambito digitale e il miglioramento dei livelli di cybersicurezza dei sistemi informativi nazionali;
  • finanziamenti provenienti dai programmi Orizzonte Europa (bilancio totale 2021-2027: 95,51 miliardi di euro) ed Europa Digitale (bilancio totale 2021-2027: 7,59 miliardi di euro);
  • PNRR, nell’ambito della Missione 1 “Digitalizzazione, Innovazione, Competitività, Cultura e Turismo” sono incluse le attività di transizione digitale della PA, quali il progetto del Cloud Nazionale e la digitalizzazione dei processi e servizi per i cittadini, la cui realizzazione produrrà il potenziamento della capacità di resilienza delle infrastrutture e dei servizi digitali del Paese.

La Strategia individua tre obiettivi fondamentali: protezione, risposta e sviluppo.

La protezione degli asset strategici nazionali viene perseguita attraverso un approccio sistemico, orientato alla gestione e mitigazione del rischio, costituito sia da un quadro normativo sia da misure, strumenti e controlli che possono abilitare una transizione digitale resiliente del Paese.

Per poter garantire un efficace e duraturo livello di protezione, si indicano sette azioni di intervento:

  • il potenziamento delle capacità del Centro di Valutazione e Certificazione Nazionale e dei Centri di Valutazione, nonché l’integrazione con una rete di Laboratori Accreditati di Prova, che permetterà di sviluppare capacità nazionali di valutazione delle vulnerabilità di tecnologie avanzate a servizio degli asset più critici del Paese;
  • la definizione e il mantenimento di un quadro giuridico nazionale aggiornato e coerente in materia di cybersicurezza, che tenga conto degli orientamenti e degli sviluppi in ambito europeo e internazionale;
  • la conoscenza approfondita del quadro della minaccia cibernetica e il possesso di adeguati strumenti tecnici, competenze specialistiche e capacità operative in capo agli attori a vario titolo coinvolti, finalizzato all’aumento delle capacità nazionali di difesa, resilienza, contrasto al crimine informatico e cyber intelligence;
  • il potenziamento del livello di maturità delle capacità cyber della PA, assicurando una trasformazione digitale sicura e resiliente;
  • lo sviluppo di capacità di protezione per le infrastrutture nazionali;
  • la promozione dell’uso della crittografia come strumento di cybersicurezza;
  • l’implementazione di un’azione di coordinamento nazionale per prevenire e contrastare la disinformazione online.

La risposta alle minacce, agli eventi cyber e agli incidenti, attraverso l’impiego di elevate capacità nazionali di monitoraggio, rilevamento, analisi e attivazione di processi che coinvolgano tutti gli attori facenti parte dell’ecosistema di cybersicurezza nazionale, richiede azioni mirate riguardo alla gestione delle crisi cibernetiche, all’integrazione degli attuali servizi cyber nazionali in nuovi ambiti, all’organizzazione di periodiche esercitazioni di sicurezza cibernetica e resilienza alla definizione del posizionamento e della procedura nazionale in materia di attribuzione di attività cibernetiche ostili, nonché al rafforzamento delle capacità di deterrenza in ambito cibernetico.

Numerosi sono gli strumenti e le iniziative intraprese negli ultimi anni per supportare lo sviluppo delle capacità del sistema nazionale di ricerca, la trasformazione digitale e l’innovazione tecnologica. Per accrescere ulteriormente tale impegno, sono previsti interventi volti a:

  • rafforzare il ruolo del Centro di Coordinamento Nazionale (CNC) che, in stretto raccordo con il Centro Europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca (ECCC), è chiamato a supportare lo sviluppo e il potenziamento dell’autonomia strategico-tecnologico e digitale dell’UE e dell’Italia;
  • promuovere lo sviluppo di tecnologia nazionale ed europea, in modo da ridurre la dipendenza da tecnologie extra-UE;
  • realizzare un “parco nazionale della cybersicurezza” che, mettendo a sistema competenze e risorse provenienti dalla PA, dall’industria e dal mondo accademico, fornisca le infrastrutture tecnologiche necessarie allo svolgimento di attività di ricerca e sviluppo nell’ambito della cybersicurezza e delle tecnologie digitali;
  • introdurre nuovi meccanismi e soluzioni incentivanti per continuare a supportare lo sviluppo industriale, tecnologico e della ricerca;
  • dare un continuo impulso all’innovazione tecnologica e alla digitalizzazione della PA e del tessuto produttivo del Paese.

Per la realizzazione degli obiettivi sopra descritti, la Strategia attribuisce grande rilevanza a una serie di fattori abilitanti: la formazione, la promozione della cultura della sicurezza cibernetica e la cooperazione.

Le iniziative formative in ambito cyber mirano stimolare la creazione di una solida forza lavoro nazionale, dotata delle capacità e delle competenze necessarie per poter essere applicate a beneficio degli operatori pubblici e privati. Ciò può avvenire con diverse modalità, tra cui la familiarizzazione degli studenti con le nuove tecnologie informatiche, il costante aggiornamento della didattica e della preparazione del corpo docente e la creazione di fondi per la formazione specialistica e l’aggiornamento professionale nei settori pubblico e privato.

La promozione della cultura cibernetica, al fine di aumentare la consapevolezza dei settori pubblico e privato e della società civile sui rischi e le minacce cyber, può avvenire mediante una triplice azione: i) la previsione di un programma capillare di educazione finanziaria a beneficio della collettività; ii) una forte sensibilizzazione delle risorse per promuovere una cyber hygiene interna, per accrescere la percezione delle esigenze di sicurezza dell’organizzazione e delle minacce a cui è esposta e per attuare interventi preventivi più efficaci; iii) l’adozione di strumenti di autovalutazione basati su cyber index.

Il rafforzamento della cooperazione sia sul fronte nazionale (a livello governativo, nel rapporto pubblico-privato, pubblico-pubblico, con accademia e ricerca, con l’obiettivo di creare maggiori sinergie tra le PA e l’industria, sia in ambito internazionale, partecipando in modo proattivo alle iniziative europee e internazionali, nonché promuovendo collaborazioni bilaterali.

 

Note:

[1] Nel 2017 la diffusione dei due virus informatici Wanna Cry e NotPetya ha causato danni a imprese istituzioni pubbliche valutabili in centinaia di milioni di dollari. Tra il 2016 e il 2017 attacchi informatici a istituzioni finanziarie hanno determinato la sottrazione di ingenti somme di denaro, coinvolgendo alcune banche centrali, tra cui quella del Bangladesh.

[2] L’ENISA opera dal 2004 come centro di expertise sulla sicurezza cibernetica, allo scopo di svilupparne la cultura e la conoscenza per un corretto funzionamento del mercato interno.

[3] Ai sensi dell’art. 3 del Regolamento, il prodotto con elementi digitali è qualsiasi prodotto software o hardware e le relative soluzioni di elaborazione dati da remoto, compresi i componenti software o hardware immesso sul mercato separatamente.

[4] Sono dispositivi che richiedono livelli di sicurezza adeguati a fronte delle loro funzionalità, ma che non rappresentano un rischio serio per la sicurezza.

[5] Sono dispositivi ad alto rischio, soggetti a verifiche di sicurezza e a certificazioni obbligatorie. Necessitano di controlli rigorosi per prevenire attacchi informatici che potrebbero compromettere infrastrutture tecniche sensibili o dati aziendali.

[6] ACN, Relazione per il 2023.

[7] Con l’acronimo DDoS si indica un attacco proveniente da un gran numero di dispositivi che mira a compromettere la disponibilità di un sistema mediante esaurimento delle sue risorse di rete, elaborazione o memoria

[8] Con il termine malware si indica un qualsiasi software o firmware destinato ad eseguire un processo non autorizzato che ha un impatto negativo sulla riservatezza, integrità o disponibilità di un sistema.

[9] Con il termine phishing si indica una tecnica impiegata per cercare di acquisire informazioni riservate di persone o organizzazioni, attraverso una sollecitazione proditoria della vittima attuata e-mail, sito web o social media.

[10] ACN, Operational Summary, Novembre 2024.

[11] Per questi ultimi la sanzione comporta l’incapacità di svolgere funzioni dirigenziali presso il soggetto interessato.

[12] Il documento strategico è corredato del Piano di implementazione, che contiene, per ciascun degli obiettivi enunciati nella Strategia (protezione, risposta e sviluppo), 82 misure di sicurezza da porre in essere per il loro conseguimento, suddivise per aree tematiche, per ognuna delle quali è indicato il novero dei soggetti responsabili per la loro attuazione (ACN, Ministeri, operatori privati, associazioni di categoria, ecc.).

Rivista di Diritto Bancario Tidona – www.tidona.com – Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.
Le informazioni contenute in questo sito web e nella rivista “Magistra Banca e Finanza” sono fornite solo a scopo informativo e non possono essere ritenute sostitutive di una consulenza legale. Nessun destinatario del contenuto di questo sito, cliente o visitatore, dovrebbe agire o astenersi dall’agire sulla base di qualsiasi contenuto incluso in questo sito senza richiedere una appropriata consulenza legale professionale, da un avvocato autorizzato, con studio dei fatti e delle circostanze del proprio specifico caso legale.



Source link

***** l’articolo pubblicato è ritenuto affidabile e di qualità*****

Visita il sito e gli articoli pubblicati cliccando sul seguente link

Source link