Il commento

Digital Crime. La cybersecurity si rafforza anche attraverso la responsabilità penale?

di Paolo Galdieri, Avvocato, Docente di Informatica giuridica, LUISS di Roma |

La previsione di specifici obblighi in capo a soggetti esattamente individuati favorirebbe sicuramente un cambio di atteggiamento in tema di cybersecurity, in quanto in caso contrario scatterebbe una responsabilità anche penale del soggetto che non ha predisposto adeguati mezzi di protezione.

La rubrica Digital Crime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale. Clicca qui per leggere tutti i contributi.

La Direttiva (UE) 2016/1148 del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, che dovrà trovare attuazione nei Paesi membri entro il 9 maggio 2018, traccia una strada, ed un traguardo da raggiungere, che devono essere ben compresi dal Legislatore prima di intervenire.

Partendo dalla considerazione che le reti, i sistemi e i servizi informativi, per il loro ruolo vitale nella società, devono essere affidabili e sicuri per le attività economiche e sociali, la Direttiva reputa necessario un approccio globale a livello di Unione, che contempli la creazione di disposizioni minime in materia di sicurezza. In quest’ottica prevede che gli Stati membri si muniscano di strumenti appropriati, designando, tra l’altro, un gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) e un’autorità nazionale competente per quanto concerne  le reti ed i  sistemi informativi.

Sempre per la Direttiva, il conseguimento dell’obiettivo dovrà essere ottenuto attraverso specifici obblighi in capo a determinati soggetti.

In particolare prevede che i soggetti pubblici e privati che operino in determinati settori (energia, trasporti, settore bancario, settore sanitario, fornitura e distribuzione di acqua potabile, infrastrutture digitali, infrastrutture dei mercati finanziari) e che saranno individuati dagli Stati membri come operatori di servizi essenziali, dovranno prendere appropriate misure per prevenire e minimizzare l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura di tali servizi essenziali, al fine di assicurare la continuità di tali servizi e notificare gli incidenti rilevanti all’autorità nazionale competente.

Prevede, altresì che anche i fornitori di servizi digitali (motori di ricerca, cloud computing e online marketplaces) dovranno conformarsi ai requisiti di sicurezza ed al regime delle notifiche previsti dalla Direttiva.

Orbene, alla luce di tali indicazioni, il Legislatore, prima di intervenire, dovrà necessariamente rendersi conto del contesto in cui opera e delle conseguenze giuridiche delle sue scelte.

Quanto al primo aspetto è agevole rilevare come nel nostro Paese, tranne minime eccezioni, non siano stati mai previsti obblighi a largo spettro in ordine alla cybersecurity. Ciò ha determinato scelte da parte del singolo, ma anche delle aziende, basate sul proprio buon senso e valutazione del momento, non essendoci dirette ripercussioni sul piano giuridico nell’ipotesi di protezioni non adeguate.

Tale impostazione si è registrata anche a seguito dell’estensione della responsabilità prevista dal D.Lgs 231/2001 ai reati informatici, visto che molte imprese  non hanno comunque predisposto il relativo modello organizzativo, che avrebbe dovuto necessariamente prevedere anche la descrizione della sicurezza informatica predisposta.

Quanto ai soggetti ed ai contenuti delle responsabilità è agevole rilevare come proprio la fotografia dell’attuale contesto, specie in ambito aziendale, imponga la previsione di obblighi specifici in capo a soggetti esattamente individuati.

Tale possibilità, offerta dalla stessa Direttiva – che se, da un lato, non indica con precisione coloro che debbano essere considerati operatori di servizi essenziali e fornitori di servizi digitali,  dall’altro, concede agli Stati membri di allargare la sfera dei soggetti e delle responsabilità- deve essere colta dal nostro legislatore tenendo presente ciò che effettivamente serve per ottenere una protezione dei sistemi in grado di garantire al massimo il singolo e la collettività.

Considerata l’attuale impostazione “leggera” da parte di molte aziende in termini di sicurezza, sarebbe auspicabile un’ estensione della responsabilità per omessa adozione delle adeguate protezioni che vada oltre i soggetti indicati nella Direttiva. Obblighi e conseguenti responsabilità devono essere concepiti in modo proporzionato al bene che si intende tutelare, e tenendo in mente quanto già normativamente disposto in materia di sicurezza per altri ambiti, ad esempio riguardo al trattamento dei dati personali, così da creare un corpo di disposizioni organico e comprensibile per i destinatari delle stesse.

Tale scelta, apparentemente drastica, determinerebbe una svolta, anche culturale, in un Paese che da sempre ha dimostrato come senza obblighi giuridici, e, tal volta anche in loro presenza, si muove in modo approssimativo e disordinato.

La previsione di specifici obblighi in capo a soggetti esattamente individuati favorirebbe sicuramente un cambio di atteggiamento in tema di cybersecurity, in quanto in caso contrario scatterebbe una responsabilità anche penale del soggetto che non ha predisposto adeguati mezzi di protezione.

Nel momento in cui fossero, come auspicato, previsti specifici obblighi giuridici miranti anche a prevenire la commissione di reati per via telematica o comunque mediante le tecnologie dell’informazione, sarebbe ravvisabile, infatti, una responsabilità di tipo omissivo sulla base di quanto previsto dall’art.40 del codice penale per il quale “ non impedire un evento, che si ha l’obbligo di giuridico di impedire, equivale a cagionarlo”.

E’ evidente che di fronte allo “spettro” dell’apertura di un procedimento penale la cyber security finirebbe per non essere più “snobbata”, divenendo, almeno per molti, quella priorità da anni come tale sbandierata a parole, ma non nella pratica quotidiana.