C’ è voluto tanto, forse troppo tempo, ma alla fine si è compreso che le cyber minacce, cyber crime e cyber war, si contrastano efficacemente solo attraverso un’adeguata politica di cyber security. In realtà che la sicurezza fosse il primo deterrente ed arma contro gli attacchi nel cyber space si era compreso ancor prima che si pensasse a norme di diritto sostanziale e processuale in materia di criminalità informatica.
Si riteneva, tuttavia, che tale problema fosse tipicamente tecnico e che, quindi, le soluzioni dovessero essere prese singolarmente dalle imprese e dai loro esperti. Oggi, seppur in ritardo, si è capito che la sicurezza è una questione che riguarda anche il diritto, nel senso che la stessa deve essere regolamentata con specifici obblighi a carico di determinati soggetti, condizione imprescindibile per una politica della sicurezza globale, unitaria e quindi efficace.
In passato si è potuto notare come previsioni specifiche in materia di cyber security, limitate a determinati ambiti, trattamento dati personali, o finalizzate a scongiurare responsabilità giuridiche per reati informatici commessi dai vertici e dipendenti dell’azienda, in virtù dell’estensione della responsabilità ex 231/2001, non ha prodotto gli effetti sperati. La maggior parte delle imprese ha continuato a ragionare in modo individuale, adottando interventi non sempre decisivi, ma soprattutto non pensati all’interno di una strategia globale.
Oggi si regista un cambio di rotta, frutto di una riflessione almeno decennale, che trova il suo più importante punto fermo nella Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, “Direttiva NIS”.
Tale documento ha due meriti.
Il primo è quello di ritenere che la cyber security necessiti di un approccio globale, che contempli la creazione di disposizioni minime in materia di pianificazione, scambio di informazioni, cooperazione e obblighi comuni di sicurezza per gli operatori di servizi essenziali e i fornitori di servizi digitali.
Il secondo, e forse più importante, è che le norme devono individuare i soggetti e le responsabilità poste a loro carico a seguito di inadempimenti o di violazioni alle prescrizioni.
Se è vero, infatti, che le cyber minacce si contrastano in prima battuta con adeguati sistemi di protezione, è altrettanto pacifico che la predisposizione di tali cautele da parte di tutti può essere garantita solo attraverso un sistema di regole uniformi, con tanto di sanzioni in caso di mancato rispetto delle prescrizioni.
L’importanza di una strategia globale della sicurezza in materia di cyber war è sottolineata tanto in documenti internazionali ( Manuale di Tallin 2.0, Documento G7 siglato a Taormina) che nazionali (Decreto del Presidente del Consiglio dei Ministri del 17 febbraio 2017 “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” e Piano nazionale per la protezione cibernetica e la sicurezza informatica) .
Quanto alla previsione di specifici obblighi, in ossequio alla Direttiva Nis, si è in attesa di un quadro normativo nazionale che possa realizzare veramente la svolta auspicata. Affinché l’obiettivo venga realmente centrato occorrono regole chiare e responsabilità giuridiche ben definite, tali da non essere viste dalle imprese come un fastidio, ma, finalmente come un opportunità.
Solo così si potrà virare verso un politica della sicurezza unitaria e globale che non lasci più “al buon cuore” del singolo gli interventi in materia di cyber security, consentendo di sfruttare al massimo le potenzialità del digitale, spesso sbandierate, ma non sempre sfruttate a dovere.
