L’imperversare della pandemia ha rappresentato un terreno fertile per il proliferare delle falle nella sicurezza dei sistemi informatici italiani: l’inadeguatezza degli strumenti con cui, specialmente gli enti pubblici, proteggono software e dati sensibili dei cittadini è emersa in tutta la sua fragilità – solo a titolo di esempio – il 1 aprile scorso quando, in piena emergenza coronavirus, proprio nel giorno del “click day” di autonomi e partite IVA per richiedere il bonus dei 600 euro stanziato dal governo, una falla nel server ha mandato in tilt il sito dell’INPS, rendendo liberamente accessibili i dati personali di migliaia di contribuenti.
Al di là del fatto che si sia trattato o meno di un attacco hacker, la causa del problema è da individuare a monte nell’arretratezza culturale, prima ancora che tecnologica, del nostro Paese in relazione a tutto ciò che interessa la sicurezza dei dati. Il concetto è stato ben espresso dall’allora Garante Privacy, Antonello Soro, che nell’immediatezza dei fatti così commentava l’episodio: “Quella della mancanza di sicurezza delle banche dati e dei siti delle amministrazioni pubbliche è una questione che si ripropone costantemente, segno di una ancora insufficiente cultura della protezione dati nel nostro Paese”.
In questo contesto si inserisce l’entrata in vigore, lo scorso 5 novembre, del DPCM 30 luglio 2020, n. 132. Si tratta del primo dei quattro DPCM di regolamentazione del c.d. Perimetro di Sicurezza Nazionale Cibernetica, già istituito con D.L. 21 settembre 2019, n. 105, seguendo le indicazioni già previste dalla Direttiva 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, meglio nota come Direttiva NIS sulla cybersecurity. Scopo dei provvedimenti è rafforzare la sicurezza delle reti e dei sistemi informativi delle Amministrazioni pubbliche, degli enti e di tutti gli operatori pubblici e privati aventi sede sul territorio nazionale che svolgono funzioni o servizi definiti “essenziali” per il Paese e la cui interruzione o compromissione potrebbe arrecare un pregiudizio per la sicurezza nazionale.
Si tratta di soggetti – che dovranno essere individuati dai Ministeri, nell’ambito delle rispettive competenze, secondo parametri ben definiti all’art. 2 del DPCM ed inseriti in una lista secretata adottata e periodicamente aggiornata dalla Presidenza del Consiglio dei Ministri – ai quali l’ordinamento attribuisce compiti strumentali e necessari per il mantenimento di attività civili, sociali ed economiche fondamentali per gli interessi dello Stato, con priorità per i settori interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro.
Il Decreto obbliga quindi tali soggetti a censire e aggiornare con cadenza almeno annuale le proprie infrastrutture di servizio, con l’indicazione delle reti, dei sistemi informativi e dei servizi informatici che li compongono e descrivendo dettagliatamente anche l’architettura e la componentistica tecnica. Il DPCM, sul punto, precisa che ai fini dell’analisi del rischio è obbligatoria l’indicazione soltanto di quei beni ICT che, in caso di incidente, potrebbero comportare l’interruzione totale della funzione essenziale o una compromissione con effetti irreversibili sotto il profilo della integrità o della riservatezza dei dati e delle informazioni.
Dunque, qualora uno questi dovesse rimanere vittima di un cyber attacco o comunque di un incidente di sicurezza sarà obbligato ad informare, in un lasso temporale di massimo 6 ore, lo CSIRT (Computer Security Incident Response Team), il gruppo di esperti istituito presso il Dipartimento delle Informazioni per la Sicurezza della Presidenza del Consiglio dei Ministri (DIS), pena l’applicazione di importanti sanzioni pecuniarie. La comunicazione consentirà, in caso di grave violazione, l’attivazione del Nucleo per la sicurezza cibernetica, il cui compito sarà quello di proporre al Presidente del Consiglio una possibile risposta all’attacco e coordinare il ripristino del servizio.
La necessità di effettuare un’analisi di rischio in sede di individuazione dei beni ICT da comunicare alle Autorità, valutando le conseguenze che un eventuale incidente sull’infrastruttura potrebbe comportare in termine di riduzione dell’operatività del sistema o di compromissione della integrità o riservatezza dei dati trattati, lega a doppio filo la cybersecurity con la normativa in materia di protezione dei dati personali, contenuta nel Regolamento (UE) 679/2016, meglio noto come “GDPR”.
Qualora, infatti, uno dei sistemi ICT in uso ad operatori che svolgono servizi essenziali avesse ad oggetto dati personali, agli obblighi (e alle sanzioni) previste dal DPCM si aggiungerebbero quelli stabiliti dalla vigente normativa in materia di protezione dei dati personali, con la conseguenza che, ove dovesse verificarsi un incidente di sicurezza, il relativo operatore potrebbe essere tenuto a notificare il fatto, oltre che al CSIRT, anche al Garante Privacy.
Mettendo a confronto le due normative, emerge infatti ictu oculi la sovrapponibilità pressoché totale della definizione di “incidente” in materia di cybersecurity, e quella di “data breach” ai sensi della normativa privacy: il DCPM n. 132/2020, all’art. 1, lettera h) definisce “incidente” ogni “evento di natura accidentale o intenzionale che determina il malfunzionamento, l’interruzione, anche parziali, ovvero l’utilizzo improprio delle reti, dei sistemi informativi o dei servizi informatici”; analogamente, l’art. 4, comma 1, n. 12 del GDPR stabilisce che per “violazione di dati personali” si intende “quella “violazione di sicurezza che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.
Nonostante l’equivalenza delle definizioni e l’inevitabile sovrapponibilità dei due temi, le relative discipline presentano differenze sostanziali.
Quanto alla normativa privacy, le regole di comportamento del Titolare del trattamento in caso di data breach sono disciplinate dagli artt. 33 e 34 del GDPR. In particolare, l’art. 33 pone in capo al Titolare del trattamento l’obbligo di notificare la violazione di dati personali al Garante senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, fornendo tutte le informazioni previste al paragrafo 3 della citata disposizione ed indicate nel Provvedimento del Garante del 30 luglio 2019 sulla notifica delle violazioni dei dati personali. Tuttavia – precisa la norma – l’obbligo di notifica viene meno qualora lo stesso Titolare ritenga “improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”. Il Regolamento, quindi, in aderenza al principio di accountability, non codifica ex ante i casi in cui procedere alla suddetta notifica, ma onera il Titolare ad effettuare una valutazione sul probabile impatto del data breach sui rischi e le libertà dell’interessato.
Ecco, allora, una prima fondamentale differenza con il regime normativo della cybersecurity: laddove la normativa privacy demanda al Titolare la valutazione in merito alle violazioni di dati personali da notificare, perché potenzialmente produttivi di effetti avversi significativi sugli individui, e quella sull’adeguatezza delle misure di sicurezza tecniche e organizzative da applicare ai dati oggetto di violazione, l’obbligo di comunicazione al CSIRT sottrae al gestore ogni valutazione discrezionale sui possibili effetti pregiudizievoli per la sicurezza nazionale ed è presidiato da sanzioni amministrative che scattano automaticamente al verificarsi delle condizioni previste. Competente per l’irrogazione di tali sanzioni sarà la Presidenza del Consiglio dei Ministri ovvero il Ministero dello Sviluppo economico a seconda che gli operatori inclusi nel perimetro di sicurezza nazionale siano Amministrazioni o comunque soggetti pubblici (inclusi i gestori di posta elettronica certificata) oppure privati nazionali privati. In ogni caso, anche in caso di contestuale violazione di dati personali, l’obbligo di notifica al CSIRT prescinde dall’integrazione o meno dei presupposti per la notifica del data breach.
Ciò chiarito, tornando al Perimetro di Sicurezza Nazionale, il progetto parrebbe che si stia sviluppando secondo quanto stabilito dal cronoprogramma, nonostante i ritardi dovuti all’emergenza sanitaria in atto. Alcune stime ipotizzano che per la prossima primavera il sistema possa essere instaurato nella sua completezza e quindi operare efficacemente. Gli effetti, ovviamente, potranno essere valutati solo a lungo termine, ma non può nascondersi un certo scetticismo dovuto non solo alla mancanza di alcuni dei decreti attuativi, ma soprattutto alla attuale disorganizzazione delle Pubbliche Amministrazioni interessate, che oltre a dover essere dotate del personale competente, difficilmente riusciranno a colmare il gap in tempi così ristretti.
Margherita Rampolla
Elena Massignani
