La cybersecurity è stata da sempre vista come materia esclusivamente tecnica, riguardando tutto ciò che consente di proteggere i sistemi.
Tale convincimento è stato talmente diffuso al punto che il legislatore per tanto, troppo tempo, non si è preoccupato di regolamentarne l’ambito, né tanto meno di prevedere specifiche responsabilità in caso di mancata adozione di adeguate misure di protezione.
Il proliferare di reati a danno dei sistemi, con le relative conseguenze, la necessità di una protezione dei dati personali ivi contenuti e, non ultimo, le esigenze di contrasto al cyber terrorismo ed alla cyberwar, hanno oggi contribuito a rovesciare la prospettiva della cybersecurity, trasformandola in un tema a pieno titolo giuridico, anzi addirittura prioritario nell’agenda dei legislatori di tutto il mondo.
In ambito europeo il tema della sicurezza è centrale nel Regolamento (UE) 2016/679 in materia di trattamento dei dati personali ed addirittura esclusivo nella Direttiva (UE) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.
A livello nazionale solo in quest’anno sono stati promulgati diversi documenti giuridici che, anche se da angoli visuali differenti, concentrano l’attenzione sulla cybersecurity, quali tra gli altri: il Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali”(pubblicato sulla Gazzetta Ufficiale n. 87 del 13 aprile 2017); il Piano nazionale per la protezione cibernetica e la sicurezza informatica( Gazzetta ufficiale n. 125 del 31 maggio 2017), la Circolare Agid n.2/2017 sostitutiva della n.1/2017, recante misure minime di sicurezza ICT per le pubbliche amministrazioni..
La giuridicizzazione della cybersecurity comporta alcune conseguenze.
In primo luogo, impone strategie che non si preoccupino esclusivamente della protezione dei sistemi, o meglio che siano in grado di soddisfare anche le esigenze giuridiche, tenendo conto dei profili di responsabilità già previsti ed in via di previsione.
Inoltre, e conseguentemente, richiede un salto culturale da parte di tutti gli attori coinvolti, esperti di sicurezza e giuristi, nel senso che ciascuno deve riuscire a vedere al di là del proprio orizzonte, mantenendo, tuttavia, competenze ben definite. Sotto tale profilo occorre scongiurare il pericolo, non remoto, di esperti di sicurezza che si improvvisano giuristi e viceversa.
Infine, una valutazione della sicurezza come priorità non solo sulla carta, ma sul piano concreto, considerato che tutta la nostra vita, collettiva ed individuale, ruota attorno alle informazioni contenute nei sistemi, e conseguentemente, la tutela dei nostri diritti ed interessi non può più prescindere dalla protezione del “ contenitore” degli stessi.
Da tali brevi considerazioni ne discende che dalla sicurezza informatica dipende la sicurezza giuridica e viceversa.
Se, da un lato, infatti, l’adeguata protezione dei sistemi consente di contrastare possibili contestazioni giuridiche, derivanti non solo dalle normative specificatamente riferite alla cybersecurity, dall’altro, la previsioni di norme ad hoc in tale ambito, garantisce una maggiore attenzione nella predisposizione delle misure di sicurezza e nelle strategie da adottare.
Sebbene ancora molti siano i passi da fare, sia sotto il profilo culturale che giuridico, non c’è dubbio che si è intrapreso finalmente il cammino verso l’unica meta possibile ovvero quella di un adeguamento giuridico ad una realtà sempre più tecnologica e, quindi, per sua natura più veloce delle regole che la devono disciplinare.
