Sistemi doc? Colpa ko

di Paolo Galdieri, BLB Studio Legale

La cyber security per tanto, forse troppo tempo, è stata considerata materia per esperti di sicurezza informatica e non per giuristi. In mancanza di regole precise, gli stessi detentori dei sistemi informativi, incluse le imprese, si sono esclusivamente preoccupati di limitare le vulnerabilità sul piano tecnico.

Le ragioni di tale vuoto normativo sono da ricondurre al fatto che il Legislatore, pur dedicandosi, sebbene in colpevole ritardo, alla disciplina delle condotte – anche di rilevanza penale – realizzate attraverso le tecnologie dell’informazione e all’aggiornamento del codice di rito in materia di mezzi di ricerca della prova digitale, mai aveva prestato la dovuta attenzione al tema della cyber security.

Lo scenario è radicalmente mutato per effetto di recenti e significativi interventi normativi in ambito nazionale ed europeo.

Testo fondamentale è certamente rappresentato dalla Direttiva (Ue) 2016/1148, da recepirsi entro il 9 maggio prossimo e recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi, che prescrive comuni obblighi di sicurezza in capo agli operatori di servizi essenziali – soggetti pubblici o privati operanti nel settore dell’energia, dei trasporti, dei servizi bancari e sanitari, della fornitura e distribuzione di acqua potabile, delle infrastrutture digitali e dei mercati finanziari -, oltre che ai fornitori di servizi digitali – motori di ricerca, cloud computing e online marketplaces -.

Quanto alla normativa nazionale, rilevano una serie di provvedimenti tra cui: il decreto del presidente del consiglio dei ministri del 17 febbraio 2017 « recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali»; il Piano nazionale per la protezione cibernetica e la sicurezza informatica – pubblicato in Gazzetta Ufficiale n. 125 del 31 maggio 2017 -; la Circolare AgID 18 aprile 2017, n. 2/2017 – sostitutiva della n. 1/2017 – recante le «Misure minime di sicurezza Ict per le pubbliche amministrazioni».

Il tema della cyber security riveste indubbia centralità anche nell’ambito di altre normative, quantunque allo stesso non specificamente riferite. È questo il caso del Regolamento (Ue) 2016/679 in materia di trattamento dei dati personali, in vigore a partire dall’ormai prossimo 25 maggio 2018, che di fatto impone alle imprese di proteggere i sistemi all’interno dei quali i dati sono contenuti, così come del Decreto Legislativo 231/2001 che, a seguito dell’estensione agli enti della responsabilità per i reati informatici commessi da vertici e dipendenti – operata dalla legge 48/2008 – ha reso indispensabile la protezione dei sistemi ai fini dell’esonero da colpa.

In disparte ogni ulteriore considerazione sulla diversità della portata e delle finalità dei singoli provvedimenti, oltre che della platea dei soggetti destinatari di obblighi, ciò che realmente rileva è che la cyber security sia oggi assurta a vera e propria scienza giuridica, non più suscettibile di essere trattata su di un piano eminentemente tecnico, né in modo frammentario ed episodico. Ne discende che le imprese da un lato, ed il giurista dall’altro, devono necessariamente approntare strategie volte non soltanto a rispettare le prescrizioni dettate in materia, ma anche a concordare soluzioni di carattere unitario in grado di tradursi in nuove opportunità in termini di produzione ed immagine.
Fonte:
logoitalia oggi7