Il contrasto alla cyber criminalità, da un punto di vista normativo, è stato pensato, nell’Unione europea ed in Italia, tenendo conto fondamentalmente di due fattori. In primo luogo si è compreso che le nuove realtà criminali imponevano un aggiornamento del diritto sostanziale e, quindi, un ammodernamento dei codici penali. Successivamente, e con un certo ritardo, è maturata l’idea che per consentire alle nuove norme di sortire gli effetti voluti fosse necessario “mettere mani” al codice di procedura penale, così da prevedere esplicitamente efficaci mezzi di ricerca della prova.
Grande assente di questa riflessione giuridica è stata, invece, la cybersecurity, che, pur considerata la prima arma di contrasto alla criminalità informatica, è stata per troppo tempo considerata problema di carattere tecnico e non giuridico.
Tale impostazione si è rivelata errata per almeno due ragioni.
La prima è che in assenza di regole precise in tema di sicurezza si è lasciata alla spontaneità e “buon cuore “ del singolo il compito di decidere se, e come, proteggersi.
La seconda è che l’esperienza insegna come l’assenza di obblighi e di individuazione di specifiche responsabilità, di regola, non invoglia “al fare”, se non di fronte all’insorgere di particolari accadimenti.
La Direttiva (UE) 2016/1148 , nota come “Direttiva NIS”, offre, oggi, una grande opportunità per invertire la rotta, ma solo a patto che il Legislatore sappia comprendere dove e come “mettere le mani”.
Il documento europeo afferma sostanzialmente due incontrovertibili verità ovvero che l’interconnessione globale fa si che la vulnerabilità di un sistema ricade sugli altri e che per evitare ciò occorra prevedere specifici obblighi giuridici in materia di cybersecurity. Nell’affermare ciò, tuttavia, non specifica esattamente i contenuti dei suddetti obblighi, né identifica in modo chiaro i soggetti su cui ricadrebbero, limitandosi ad indicarli come operatori di servizi essenziali e fornitori di servizi digitali.
Orbene a fronte di tali indicazioni e, tenendo conto delle parti della direttiva dal contenuto inespresso, il Legislatore dovrà essere in grado di prevedere disposizioni chiare e, soprattutto, calibrate.
Partendo dall’idea, corretta, che occorre garantire una sicurezza minima, servono norme in grado di rivolgersi a qualunque tipo di sistema la cui vulnerabilità mette in pericolo gli altri, e, quindi, non solo quelli di interesse direttamente pubblico.
Serve poi che gli obblighi vengano concepiti in modo da essere comprensibili per i destinatari e proporzionati all’interesse che si intende proteggere. E’evidente, infatti, che la prescrizione di obblighi “smisurati” verrebbe percepita come ingiusta, se non inutile, e , quindi, nella maggior parte dei casi, i disattesa.
Infine, aspetto questo da non trascurare, occorre pensare ad una legislazione sulla cybersecurity in armonia con la normativa previgente, ad esempio quella dettata in materia di trattamento del dato personale, in modo che i destinatari degli obblighi di sicurezza possano adottare strategie unitarie in grado, con un “colpo solo”, di soddisfare quanto indicato in tutte le disposizioni, già esistenti ed in corso di emanazione.
Solo un intervento razionale del Legislatore potrà contribuire a migliorare la cybersecurity nel nostro paese e porla come primo baluardo alla lotta alla criminalità informatica. In caso contrario ci troveremo, ancora una volta, di fronte ad una lodevole dichiarazione di intenti, ma con nessun riflesso positivo sulla realtà che si intende disciplinare.
