Cyber security: le novità della legge n. 133/2019

La legge n. 133 del 2019 è finalizzata ad assicurare, in particolare, un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, attraverso l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.

La cyber security è da tempo posta al centro degli impegni del legislatore sovranazionale.

Non è un caso, ad esempio, che a margine del G7 dei Ministri degli esteri e del G7 industria, entrambi tenutisi nel 2017 in Italia (rispettivamente a Lucca e a Torino), siano stati prodotti due documenti specificamente dedicati alla cyber security: il primo, datato 11 aprile 2017 e intitolato G7 Declaration On Responsible States Behavior In Cyberspace, contiene una sorta di impegno condiviso alla cooperazione internazionale per la realizzazione di uno spazio cibernetico aperto, accessibile, affidabile e sicuro; il secondo, datato 26 settembre 2017 e intitolato G7 Actions For Enhancing Cybersecurity For Businesses, si concentra invece sull'individuazione di una serie di procedure condivise di risk management per rafforzare la resilienza dello spazio cibernetico in cui operano le imprese private.

La sicurezza informatica, ovvero la protezione dei sistemi, delle informazioni e dei dati è stata interessata da due importanti atti dell'Unione Europea emanati nel 2016. Si tratta del regolamento 2016/679 del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (il Regolamento UE sulla Privacy) e della direttiva 2016/1148 del 6 luglio 2016 del Parlamento Europeo e del Consiglio recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, meglio nota come Direttiva NIS (Network and information security).

Il Regolamento Europeo è dedicato alla protezione dei dati personali, ovvero di quelle informazioni riguardanti una persona fisica identificata o identificabile, anche indirettamente. Gli articoli da 32 a 36 contemplano misure adeguate e adempimenti volti a fare fronte al rischio di violazione dei dati, intesa quest'ultima come la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4 n. 12).

Sebbene intitolato alla protezione ed alla circolazione dei dati personali, il Regolamento si occupa anche, se non soprattutto, del tema della sicurezza informatica. È un atto che essenzialmente disciplina la sicurezza informatica nel trattamento di dati personali. Basti qui citare l'art. 32, paragrafo 2, che menziona, tra le misure adeguate che debbono essere adottate dal titolare e dal responsabile del trattamento, la pseudo-anonimizzazione e la cifratura dei dati; la capacità di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi; la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico.

Differente è l'oggetto della Direttiva NIS che affronta per la prima volta a livello europeo, il tema della cyber security e definisce le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi.

Essa si propone la difesa delle reti e dei sistemi informativi, stante il loro ruolo vitale nella società, dal rischio di incidenti e si riferisce a particolari categorie di soggetti (gli operatori di servizi essenziali ed i fornitori di servizi digitali). L'incidente è definito dall'art. 4 come ogni evento con un reale effetto pregiudizievole per la sicurezza della rete e dei sistemi informativi, cioè tale da comprometterne la disponibilità, l'autenticità, l'integrità o la riservatezza.

Inoltre, Regolamento e Direttiva non hanno i medesimi destinatari. Gli obblighi di sicurezza del primo sono posti a carico del titolare (nel Regolamento controller) e del responsabile (nel Regolamento processor) del trattamento, mentre la Direttiva si rivolge agli operatori di servizi essenziali e ai fornitori di servizi digitali. Gli operatori di servizi essenziali - che dovranno essere identificati dagli Stati membri- sono soggetti, pubblici o privati, i quali svolgono servizi "strategici", che dipendono dalla rete e dai sistemi informativi, nei settori dell'energia, del trasporto, bancario, delle infrastrutture dei mercati finanziari, sanitario e di fornitura e distribuzione di acqua potabile. Il fornitore di servizio digitale è qualsiasi persona giuridica che fornisce un servizio digitale di mercato on line (che consente a consumatori e/o professionisti la conclusione di contratti a distanza), di motore di ricerca on line, di cloud computing.

In definitiva, Regolamento e Direttiva risultano, nella prospettiva della sicurezza informatica, complementari: il Regolamento è più limitato sotto il profilo oggettivo (riguarda solo la violazione di dati personali), ma è più ampio sotto il profilo soggettivo ( si applica a tutti i titolari e i responsabili del trattamento), mentre la Direttiva, viceversa, si applica a qualsiasi incidente alle reti ed ai sistemi, ma ha come destinatari dei relativi obblighi solo gli operatori di servizi essenziali ed i fornitori di servizi digitali.

Ad ogni modo, Regolamento e Direttiva hanno anche importanti punti in comune.

Infatti, condividono analoghi obiettivi: prescrivono misure di sicurezza (sia informatiche, sia organizzative) a presidio di reti, sistemi e dati; si propongono di realizzare legislazioni uniformi in materia e una stretta collaborazione tra autorità nazionali; promuovono, attraverso l'innalzamento del livello di sicurezza, lo sviluppo di un mercato digitale comune.

La legge 18 novembre 2019 n. 133, in vigore dal 21 novembre scorso, ha convertito in legge con modificazioni il d.l. 105/2019, recante un complesso di disposizioni urgenti tese ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, attraverso l'istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari e specifici standard di sicurezza.

La ratio del provvedimento è nella necessità e urgenza di predisporre adeguate misure di sicurezza a fronte della realizzazione, in Italia al pari di altri Stati europei, di complessi impianti tecnologici e di telecomunicazione con infrastrutture diffuse sul territorio.

Di qui, l'esigenza di individuare organi, procedure e sicurezze, anche con riferimento alla nuova tecnologia 5G, sia sotto il profilo dell'analisi del rischio che della capacità di impedire l'interruzione delle comunicazioni.

All'art. 1 è individuato il perimetro di sicurezza nazionale cibernetica, riferendolo, in maniera analitica, alle reti, ai sistemi informativi e ai servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento e interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale.

L'inclusione nel perimetro di tali soggetti, pubblici o privati, sarà determinata con decreto del Presidente del Consiglio, su proposta del Comitato interministeriale per la sicurezza della Repubblica (CISR). I soggetti così individuati avranno l'obbligo di osservare le prescritte misure di sicurezza e di redigere, con cadenza almeno annuale, l'elenco delle reti, dei sistemi informativi e dei servizi informatici di rispettiva pertinenza, a rischio vulnerabilità, con una completa mappatura dei rischi del sistema nazionale di connettività. Con altro regolamento dovranno essere definite le modalità attraverso le quali notificare alle autorità competenti gli incidenti aventi impatto su reti, sistemi informativi e servizi informatici.

Nell'ambito della complessiva ricerca di sicurezza, è anche prevista l'elaborazione di schemi di certificazione cibernetica, avuto riguardo agli standard definiti a livello internazionale, laddove, per ragioni di sicurezza nazionale, gli schemi di certificazione esistenti non siano ritenuti adeguati alle esigenze di tutela del perimetro di sicurezza nazionale cibernetica.

Sempre ad un regolamento da emanarsi con DPCM è demandata la definizione delle procedure, delle modalità e dei termini ai quali devono attenersi i soggetti, pubblici e privati, inclusi nel perimetro di sicurezza nazionale cibernetica, che intendano procedere all'affidamento di forniture di beni, sistemi e servizi ICT (information and communication technology), destinati a essere impiegati sulle reti, sui sistemi informativi e per l'espletamento dei servizi informatici individuati nell'elenco sopra indicato.

Sono poi previste disposizioni dettate per assicurare il raccordo tra questo provvedimento e la normativa in materia di esercizio dei poteri speciali governativi sui servizi di comunicazione a banda larga basati sulla tecnologia 5G (art. 3), nonché (art. 4-bis) di modifica del d.l. 21/2012 in tema di poteri speciali del Governo sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell'energia, dei trasporti e delle comunicazioni (c.d. golden power).

In conclusione si rileva che la legge n. 133/2019 è incentrata sulla individuazione di una serie di standard operativi e organizzativi che consentano una gestione coordinata, efficiente ed integrata del processo di protezione dello spazio cibernetico nazionale.

L'attuale configurazione dell'architettura nazionale cyber, cui si è giunti dopo una serie di interventi tesi a razionalizzarne la struttura inizialmente delineata nel 2013, presenta una semplificazione delle procedure ordinarie e straordinarie di gestione delle attività, una rimodulazione degli Organi che fanno parte del sistema di protezione e una complessiva contrazione della “catena di comando” deputata alla gestione delle crisi.

Il quadro normativo che si sta delineando attraverso questi rilevanti interventi del legislatore contribuisce indubbiamente a far nascere quella fondamentale cultura della sicurezza. Difatti, al fine di realizzare gli indirizzi operativi dello stesso piano nazionale della sicurezza cibernetica i fattori cruciali restano il rafforzamento della collaborazione tra settore privato, amministrazioni ed istituzioni locali, una maggiore promozione della cultura della sicurezza informatica ed il pieno supporto dello sviluppo industriale e tecnologico del Paese.

È

indispensabile, quindi, far crescere la consapevolezza per i temi dell'interesse nazionale, e della sua difesa, in tutte le declinazioni che esso assume di fronte alle sfide della globalizzazione e alle minacce transnazionali e geo-traslate che, noncuranti di delimitazioni territoriali e “cippi confinari”, arrivano dentro il “sistema Paese” mettendo a rischio la sua integrità patrimoniale e industriale, la sua competitività, la sicurezza delle sue infrastrutture e dei sistemi informativi.

Il legislatore ha previsto un articolato sistema sanzionatorio che contempla illeciti amministrativi e penali.

L'art. 1, commi da 9 a 11, della legge in commento reca un articolato sistema sanzionatorio per i casi di violazione degli obblighi previsti dalla legge stessa. Più nel dettaglio il comma 11 punisce con la pena della reclusione da uno a tre anni coloro che, allo scopo di ostacolare o condizionare l'espletamento dei procedimenti di cui al comma 2 lett. b) - procedimento di compilazione e aggiornamento degli elenchi delle reti, dei sistemi informativi e dei servizi informatici - e di cui al comma 6, lett. a) - procedimenti relativi all'affidamento di forniture di beni, sistemi e servizi ICT destinati a essere impiegati sulle reti, sui sistemi informativi - o delle attività ispettive e di vigilanza da parte della Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico, di cui al comma 6, lett. c), ovvero forniscono informazioni, dati o fatti non rispondenti al vero rilevanti per l'aggiornamento degli elenchi su ricordati o ai fini delle comunicazioni previste nei casi di affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, o per lo svolgimento delle attività ispettive e di vigilanza; omettono di comunicare i predetti dati, informazioni o elementi di fatto.

L'analisi della fattispecie penale non può prescindere dall'analisi dei “procedimenti” cui si fa riferimento nell'art. 1, comma 11, quali elementi caratterizzanti il dolo specifico.

Il delitto in parola fa ampiamente rinvio a quanto stabilito in tema di obblighi procedurali.

Al riguardo si osserva che la ricorrenza o la mancanza del dolo specifico, in caso di condotta omissiva in violazione di quanto previsto dall'art. 1, comma 6, lett. a), risulterà decisiva per determinare l'applicazione della sanzione penale di cui al comma 11 oppure quella amministrativa di cui al comma 9, lett. d) (la mancata comunicazione di cui al comma 6, lettera a), nei termini prescritti è punita con la sanzione amministrativa pecuniaria).

Tornando alla fattispecie di reato, l'art. 1, comma 11, fa innanzitutto riferimento all'art. 1, comma 2, lett. b), ovvero all'obbligo per i soggetti che rientrano nel perimetro di sicurezza di stilare e aggiornare, con frequenza almeno annuale, un elenco delle reti, dei sistemi informativi e dei servizi informatici impiegati. Tali elenchi saranno predisposti ottemperando a criteri che saranno elaborati (entro quattro mesi dalla data di entrata in vigore della legge di conversione del Decreto) dal CISR (Comitato interministeriale per la sicurezza della Repubblica), integrato con un rappresentante della Presidenza del Consiglio dei ministri e, una volta redatti, dovranno essere trasmessi alla Presidenza del Consiglio dei ministri, per quanto riguarda gli enti pubblici, e al Ministero dello sviluppo economico, per quanto riguarda gli enti privati. Di qui saranno poi inoltrati al Dipartimento delle informazioni per la sicurezza e al Ministero dell'interno, per l'esercizio delle rispettive competenze.

In secondo luogo, il riferimento è all'art. 1, comma 6, lett. a), che disciplina i casi in cui i soggetti rientranti nel perimetro debbano procedere all'affidamento a terzi di forniture di beni, sistemi e servizi ICT che saranno poi impiegati sulle reti, sui sistemi informativi e nell'ambito dei servizi informatici rilevanti ai fini del Decreto. In questi casi, secondo le modalità individuate da un regolamento che verrà adottato entro sei mesi dalla data di entrata in vigore della legge di conversione, nell'ambito del quale saranno individuate anche talune deroghe, è stabilito un obbligo di comunicazione preventiva al Centro di valutazione e certificazione nazionale (CVCN, da poco istituito presso il Ministero per lo sviluppo economico). Il CVCN, sulla base di una valutazione del rischio, anche in relazione all'ambito di impego e in un'ottica di gradualità, potrà entro trenta giorni imporre condizioni e test hardware e software.

In questi casi, i bandi o i contratti dovranno contenere delle condizioni che subordinino l'affidamento all'esito dei test oppure alle condizioni dettate. Condizioni particolari sono infine dettate nel caso in cui la fornitura abbia ad oggetto beni, sistemi e servizi ICT da utilizzarsi sui sistemi informatici del Ministero della difesa.

È richiamato, infine, l'art. 1, comma 6, lett. c), che disciplina i poteri di ispezione e di verifica della Presidenza del Consiglio dei ministri e del Ministero dello sviluppo economico (rispettivamente, per gli enti pubblici e privati), in relazione a quanto previsto dal comma 2, lett. b), dal comma 3 (che regola la gestione degli “incidenti” che hanno impatto su reti, sistemi informativi e informatici rilevanti e l'individuazione dei livelli di sicurezza da adottare nella gestione degli ICT) e dal comma 6, lett. a). Anche in questo caso, un regolamento che verrà adottato entro sei mesi dalla data di entrata in vigore della legge di conversione stabilirà più puntualmente modalità e procedure.

L'ostacolo (compreso anche il mero condizionamento) all'espletamento di questi procedimenti rappresenta il fine ultimo che deve guidare le intenzioni del soggetto attivo. Si è ad oggi in una condizione di pressoché totale incertezza, dovendo attendere che la normativa secondaria detti modalità e termini di tali procedure, fornendo gli elementi di fatto necessari per valutare la presenza del dolo specifico.

Indipendentemente dall'utilizzo del pronome chiunque, si deve opinare di essere in presenza di un reato proprio: solamente i soggetti che operano all'interno degli enti ricompresi nel perimetro sono destinatari degli obblighi individuati dalla legge e pertanto possono realizzarne le violazioni. Anche in questo caso si dovrà attendere l'intervento della fonte normativa secondaria che individuerà puntualmente tali enti e i soggetti responsabili al loro interno.

Relativamente al fatto tipico, la condotta può consistere in un facere o in un non facere: è infatti rilevante sia la condotta di colui che fornisce informazioni, dati o elementi di fatto non rispondenti al vero sia quella di chi non operi le dovute comunicazioni entro i termini prescritti (che, anche in questo caso, saranno individuate sulla base della legislazione delegata).

Al riguardo non può non manifestarsi qualche dubbio sotto il profilo della tecnica normativa, atteso che l'elencazione descrittiva informazioni, dati o elementi di fatto altro non è che una formula assai ridondante, ben potendo la locuzione elementi di fatto ricomprendere quanto la precede (si pensi alla formula sintetica fatti materiali adottata all'art. 2621 c.c.).

Con riguardo alla non rispondenza al vero (in riferimento a dati ad alto contenuto tecnico), può tornare utile quanto statuito dal giudice della nomofilachia, operati i dovuti distinguo, in tema di falso c.d. valutativo (Cass. pen., Sez. Unite, 31 marzo 2016, n. 22474: il reato di false comunicazioni sociali, previsto dall'art. 2621 cod. civ., nel testo modificato dalla legge 27 maggio 2015, n. 69, è configurabile in relazione alla esposizione in bilancio di enunciati valutativi, se l'agente, in presenza di criteri di valutazione normativamente fissati o di criteri tecnici generalmente accettati, se ne discosti consapevolmente e senza fornire adeguata informazione giustificativa, in modo concretamente idoneo ad indurre in errore i destinatari delle comunicazioni).

Sono peraltro connotate da disvalore penale le sole condotte che abbiano a riferimento elementi di fatto rilevanti ai fini dei procedimenti sopra descritti (la cui ripetizione nella norma risulta anch'essa una mera ridondanza, in quanto già il dolo specifico assume una funzione delimitativa nell'economia della fattispecie).

Una delimitazione da accogliere positivamente in quanto costringe a un minimum di lesività al di sotto del quale non sia possibile ravvisare il reato.

Si noti inoltre che, con riferimento ai procedimenti nell'ambito dei quali la condotta deve aver luogo, se un'analogia può individuarsi tra quanto previsto dai commi 2, lett. b), e 6, lett. a), dell'art. 1, che comportano, come visto, obblighi sostanzialmente informativi, il rimando al comma 6, lett. c), porta a considerare invece il comportamento che l'ente deve tenere durante le ispezioni e le verifiche espletate dalle autorità competenti.

A quest'ultimo riguardo, un condizionamento o un ostacolo potrebbe derivare da condotte diverse da quelle che abbiano ad oggetto la trasmissione di informazioni, tuttavia allo stato non penalmente rilevanti e nemmeno sanzionabili in via amministrativa (si pensi, ad esempio, all'occultamento di documenti; cfr. art. 2638 c.c.).

Come è possibile vedere, la tutela offerta dalla fattispecie è assai anticipata: si può parlare di reato di pericolo, in cui già il mero fornire o non fornire informazioni attenti al bene giuridico. E di pericolo astratto, in particolare, non essendo necessaria una verifica della portata lesiva in concreto della condotta.

Risulta molto difficile, sia per il carattere inedito della fattispecie sia riflettendo sulla casistica in cui potrebbe trovare applicazione, individuare il bene giuridico tutelato.

Si potrebbe pensare ad un'oggettività giuridica istituzionale e intermedia. Ponendo mente ad alcune fattispecie simili (come l'art. 2638 c.c.), non sembra azzardato individuare nell'efficacia dei controlli, della vigilanza e dell'intervento da parte delle autorità preposte il bene giuridico immediatamente tutelato dalla norma.

Il reato, d'accordo con l'oggetto della tutela e con la ratio che lo sottende, è procedibile d'ufficio.

Infine, all'ente privato, responsabile ai sensi del decreto legislativo 8 giugno 2001, n. 231, che reca la disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, si applica la sanzione pecuniaria fino a quattrocento quote.

Si tratta di illeciti penali che costituiscono presupposto della responsabilità amministrativa degli enti, opportunamente ricondotti, in sede di conversione del decreto, all'interno del d.lgs. n. 231/2001, all'art. 24-bis.

Il comma 9 disciplina una serie di illeciti amministrativi. Le sanzioni amministrative pecuniarie irrogate sono scaglionate in relazione alla gravità della condotta.

La norma commento delinea diversi reati propri, a dolo specifico, sostanziantisi in falsità ideologiche rilevanti ai fini della predetta disciplina extrapenale cui è accessoria, ed in un reato di omissione propria, tutti ascrivibili solo ai soggetti – pubblici e privati – aventi sede nel territorio nazionale, che siano inclusi nel “perimetro di sicurezza nazionale cibernetica” quale definito e disciplinato da detta nuova normativa.

Non vi è dubbio che in attesa dell'adozione dei decreti attuativi si è al cospetto di una fattispecie per lo più ambigua, trattandosi di vera e propria fattispecie penale in bianco, in cui le norme extrapenali si dovranno rinvenire in fonti normative secondarie. Circostanza quest'ultima che non può che dar luogo a qualche perplessità alla luce del principio di legalità stabilito dall'art. 25, comma 2, Cost. e dall'art. 7 Convenzione E.D.U., quantomeno con riguardo al ruolo rivestito nel reato in parola da tali norme, ovvero di condizionamento ad ogni livello (individuazione del soggetto attivo, delimitazione del fatto tipico e degli elementi caratterizzanti il dolo specifico) dell'ambito di applicazione della fattispecie.

V. Sassi, Sicurezza cibernetica e responsabilità ex D.Lgs. 231/2001: la nuova fattispecie del D.L. 105/2019, in quotidianogiuridico.it; L. Picotti- R. M. Vadalà, Sicurezza cibernetica: una nuova fattispecie delittuosa a più condotte con estensione della responsabilità degli enti, in sistemapenale.it.