Tutti sanno e nessuno osa, almeno a parole, metterlo in dubbio che la prima forma di contrasto alla cyber criminalità sia la predisposizione di adeguate misure dei protezione. Posto che anche i sistemi più sicuri possono essere violati, è innegabile, infatti, che maggiori sono gli standard di sicurezza, minori i rischi di attacchi.
Benché questa sia la convinzione generale, quotidianamente apprendiamo di accessi abusivi telematici a danni di singoli e aziende, ed al contempo non si registra alcuna reazione da parte del legislatore.
Quest’ultimo, in particolare, proteso ad intervenire continuamente sul codice penale, raramente si è interessato al problema della cyber security, forse ritenendola tema da tecnici e non giuridico.
Quanto agli utenti persevera un atteggiamento “fatalista” per cui, piuttosto che proteggersi adeguatamente, ci si muove nel convincimento che se prima o poi accade qualcosa nel proprio sistema vuol dire che non c’era modo per impedirlo, sarebbe comunque successo.
Entrambe le impostazioni, oltre ad essere ovviamente sbagliate, contribuiscono, e non poco, al fiorire della criminalità informatica che, in questi ultimi anni, ha raggiunto massima espansione, provocando danni, non solo di natura economica, tanto ai singoli che all’intera collettività. A ciò si aggiunga che l’interconnessione dei sistemi, e quindi il fatto che la vulnerabilità di uno può essere utilizzata per colpire anche il titolare del sistema adeguatamente protetto, ha fatto alzare lo stato di allerta anche rispetto al cyber terrorismo ed alla cyber war.
Il sonno del legislatore in tale ambito ha fortunatamente di recente subito un “disturbo” dall’Unione Europea che, con la Direttiva (UE) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, ha finalmente focalizzato l’attenzione sulla protezione dei sistemi, chiedendo agli Stati membri di prevedere specifici obblighi.
Si tratta di una vera e propria svolta per almeno due ragioni.
In primo luogo, perché si chiarisce una volta per tutte che la sicurezza, come tutto ciò che dipende dai comportamenti umani, non può essere relegata a questione di carattere tecnico, dovendo necessariamente essere regolamentata e, quindi, inquadrata all’interno di una cornice giuridica.
Inoltre, perché per la prima volta si afferma chiaramente che la tutela dei sistemi, da cui dipende la tutela dei nostri diritti e libertà, non può più essere lasciata al buon senso, spesso mancato, dovendo essere imposta attraverso precisi obblighi in capo a determinati soggetti.
Affinché tali indicazioni vengano recepite nella giusta misura occorre che il legislatore, proprio partendo dalla genericità dei contenuti della Direttiva in ordine ad i soggetti, operatori di servizi essenziali e i fornitori di servizi digitali, e le loro responsabilità, estenda al massimo l’ambito di intervento, in modo da prevedere specifici obblighi anche rispetto alle aziende.
Se è vero, infatti, che l’estensione dell’ambito di applicazione della 231 ai reati informatici non ha sortito l’effetto sperato, perche molte aziende sono ancora sprovviste di adeguati modelli organizzativi, è altrettanto vero che la previsione di obblighi specifici in materia di sicurezza renderebbe non più rinviabile la messa in regola in tale delicato ambito. Le aziende, infatti, sarebbero costrette ad elevare il loro standard di protezione anche per evitare di incorrere in una responsabilità penale ex art. 40 c.p. .
Pur consapevoli che un intervento legislativo di questo genere verrebbe percepito inizialmente come un “fastidio”, è facile immaginare che nel lungo periodo da tali obblighi giuridici possano derivare vantaggi non solo per la collettività, ma per le stesse imprese, in termini di produttività e competitività.