Mai come in quest’ultimo periodo la cybersecurity è stata al centro della riflessione giuridica, nei convegni, negli scritti, ed in ultimo nelle scelte del Legislatore, sempre “leggermente” in ritardo rispetto all’evoluzione della società.
Il tema della cybersecurity, già presente nel Decreto Legislativo 196/03 (Codice della privacy), è, infatti, ancora più a fuoco oggi con l’introduzione del Regolamento europeo (Regolamento 2016/679) e delle disposizioni del Decreto legislativo 10 agosto 2018, n.101, che prevedono strategie di sicurezza a protezione dei dati personali.
Segnatamente riferita alla sicurezza informatica è la Direttiva UE 2016/1148, cui ha fatto seguito il Decreto Legislativo 18 maggio 2018, n. 65, documenti questi che sebbene prevedano obblighi solo per gli operatori di servizi essenziali e per i fornitori di servizi digitali, testimoniano in modo evidente come la cybersecurity non sia più esclusivamente un tema tecnico, ma anche giuridico.
Sicurezza informatica, invero, trattata in diversi altri documenti tra cui: il Decreto Presidente del Consiglio dei Ministri 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica”; il Piano nazionale per la protezione cibernetica e la sicurezza informatica del maggio 2017; la Circolare Agid n.2/2017 sostitutiva della n.1/2017, recante misure minime di sicurezza ICT per le pubbliche amministrazioni.
Al di là dei contenuti delle singole disposizioni, vi è oggi un quadro normativo dal quale emergono due messaggi ben precisi: la sicurezza diventa centrale in una società basata sulle tecnologie; chi detiene sistemi informatici, praticamente tutti, devono prevedere protezioni efficaci ed adeguate a contrastare gli incidenti e le minacce che provengono dal cyberspazio.
Ne consegue che ruolo centrale viene assunto dall’esperto di sicurezza informatica il quale deve rispettare le norme, prevenire danni ai sistemi ed essere in grado di intervenire nel momento in cui qualcosa di anomalo o minaccioso sta per verificarsi.
Ebbene, sembrerà strano, ma l’attività di tale soggetto, “stracarico” di responsabilità, non è in alcun modo giuridicamente regolamentata. Deve mettere in sicurezza il sistema, intervenire in tempo reale per fronteggiare la minaccia, ma in nessuna norma vi è scritto quali siano i limiti del suo agire.
Si tratta di un vuoto normativo che, se da un lato può comportare conseguenze penali per colui che sta assolvendo nel migliore dei modi il suo incarico, dall’altro può spingerlo a non intervenire tempestivamente proprio per timore di subire un processo.
Tali timori, sono invero fondati, considerato che iniziano ad essere mosse le prime contestazioni per accesso abusivo rispetto ad addetti alla sicurezza informatica, che per bloccare un attacco virale in corso penetrano nel server “attaccante”, al sol fine di rendersi conto della reale potenzialità della minaccia e con l’unico scopo di disinnescarla, fornendo alla magistratura tutti gli elementi utili ai fini dell’indagine.
A prescindere dalla possibilità di asserire in un eventuale processo che si è agito per legittima difesa, in virtù di uno specifico compito assolto “alla luce del sole” e documentato all’interno della querela, non c’è dubbio che i rischi ed i danni che l’attività posta in essere comporta sono notevoli.
A ciò si aggiunga la considerazione che, non esistendo allo stato un albo in grado di certificare le competenze tecniche in materia di cybersecurity, si aggiunge il rischio, più che concreto, che l’attività posta in essere venga giudicata su incarico del pubblico ministero o del giudice a soggetti che non hanno mai svolto questo ruolo e che hanno minore esperienza del soggetto sottoposto a giudizio.
In un Paese in cui si continuano a “ sfornare” norme in ambiti già ampiamente regolamentati, è “forse” il caso che il Legislatore intervenga tempestivamente prima che si giunga a condanne ingiuste o peggio, per paura, si metta a repentaglio la sicurezza dei sistemi e quindi quella di un intero Paese.
