Il convegno del Centro Studi Difesa e Sicurezza (Cestudis) tenutosi a Roma giovedì scorso ha fatto emergere alcuni interessanti spunti in tema di cybersecurity nazionale. L’incontro moderato dal Generale Ramponi, già direttore del Sismi, si è svolto su tre fondamentali direttrici legate tutte al prossimo recepimento della NIS Directive: i profili giuridici, il punto di vista della aziende e il pensiero politico.
È stato davvero apprezzabile vedere come magistrati, avvocati, CEO di aziende di cyber security e politici di primo piano nel panorama nazionale abbiano accettato un confronto aperto su temi che solo alcuni fa non erano sicuramente nella priorità delle agende di alcuni dei partecipanti soprattutto sul fronte politico. Questo significa che ci troviamo in un contesto storico sicuramente decisivo dove le scelte strategiche che andremo a compiere nei prossimi anni nel settore digitale andranno ad incidere inevitabilmente sulla sicurezza fisica di tutti i cittadini.
Il nodo essenziale, tanto per cambiare, è la ricerca delle risorse necessarie per far fronte ai necessari investimenti per reprimere e contenere la minaccia del cybercrime in costante crescita come evidenziato dal recente Rapporto Clusit. Le risposte politiche sono state unanimi nel riconoscere la necessità di investimenti, ma sono state differenti le soluzioni proposte per reperire i fondi. Da un lato il Ministro Andrea Orlando ha proposto, o meglio, riproposto l’applicazione di “una web tax di scopo a carico di chi utilizza la Rete per finalità economiche”, necessaria a garantire la sicurezza sulla Rete”. Dall’altro l’On. Angelo Tofalo ha suggerito un processo di defiscalizzazione nel caso di investimenti in security.
Sono due soluzioni valide che impongono, tuttavia, una riflessione strategica sul metodo che vogliamo darci per risolvere questo problema: riteniamo davvero che l’introduzione di una nuova tassa sul web che, negli ultimi anni, ha vissuto, a livello legislativo, alterne fortune, possa, una volta approvata, venire interamente destinata al settore della cybersecurity? È così scontato che una diversa incentivazione fiscale per chi investe in sicurezza informatica possa consentire immediatamente un cambio di approccio da parte delle realtà imprenditoriali che oggi vivono nella totale assenza di consapevolezza (o awareness per dirla all’inglese) del rischio cyber? Non sono domande retoriche, ma per dare un’adeguata risposta è necessario interrogarci su quali sono le priorità di intervento.
In primo luogo, la Direttiva NIS impone un necessario sforzo di cooperazione tra i vari Stati Membri e, a livello nazionale, tra i soggetti pubblici e quelli privati. La PPP (Public Private Partnership) è un obiettivo che deve essere realizzato in concreto e non deve rimanere solo all’interno dei numerosi progetti Europei che sono stati realizzati e verranno realizzati nei prossimi anni in tema di sicurezza informatica. Il cybercrime è per antonomasia un reato transnazionale e solo attraverso il continuo scambio di informazioni tra i vari Stati è possibile reprimerlo.
In secondo luogo, il Regolamento Europeo della Privacy ha stabilito che tutti i soggetti privati dovranno dimostrare di avere adottato misure giuridiche, organizzative, tecniche, per la protezione dei dati personali, che saranno ben diverse da quelle previste dal disciplinare tecnico dell’attuale Codice della Privacy. Per raggiungere tali obiettivi, le società devono comprendere che il dato digitale è il principale asset da proteggere per tutelare il patrimonio aziendale e devono accettare sacrifici soprattutto in termini di operatività e “usability” oltre che di costi.
In terzo luogo, un aspetto comune sia alla Direttiva NIS che al Regolamento Europeo della privacy è quello dell’obbligatorietà della notifica del “data breach”. Osservava correttamente l’Avv. Stefano Mele che la denuncia di un attacco è il presupposto essenziale per poterlo combattere. Oggi, solo pochi hanno il coraggio di denunciare un “data breach”, ma domani con l’entrata in vigore del Regolamento non sarà più così. Dobbiamo farci trovare preparati a recepire tali dati per poterli utilizzare efficacemente. Ad esempio, ci siamo posti il problema di creare un format che consenta un domani di poter condividere queste informazioni attraverso una piattaforma unica Europea?
Questi obiettivi impongono certamente degli investimenti, ma anche un cambio di paradigma culturale che fino ad ora in Italia non si è visto. Non è mia prerogativa avere un atteggiamento giustizialista (faccio l’avvocato proprio per evitarlo), ma potenziare l’enforcement sanzionatorio con riferimento alla violazione delle misure minime di sicurezza soprattutto nella prospettiva dell’entrata in vigore a maggio 2018 del Regolamento Europeo della Privacy potrebbe consentire di aumentare le entrate nelle casse dello Stato da riutilizzare per investimenti in cybersecurity e soprattutto sensibilizzare i vari player del settore privato.
Infatti, come ha osservato il Dottor Gabrielli, Vice Questore del CNAIPIC, il fattore umano gioca un ruolo fondamentale nella cybersecurity e da lì bisogna partire per tutelare i nostri dati personali.
Da ultimo, l’On. D’Ambruoso, il Dott. Russo e il Dott. Corasaniti hanno, invece, caldeggiato un intervento tempestivo volto all’approvazione del DDL sui “Captatori informatici”, ossia quei malware (trojan horse) in grado di infettare il device degli indagati al fine di poter monitorare da remoto qualsiasi attività che l’utente effettui su tale device (chat, mail, conversazioni Skype o registrazioni ambientali).
Sicuramente, è giunto il momento di dotare la polizia giudiziaria di strumenti più efficaci per il contrasto al cybercrime, ma questo processo di cambiamento deve essere fatto garantendo la privacy dei cittadini e, soprattutto, implementando un rigido controllo statale delle società private che producono e commercializzano tali software che a tutti gli effetti devono essere considerate delle “cyber-armi”.