Nell’ultimo ventennio – soprattutto a seguito dell’aumento degli attacchi informatici nonché del forte ricorso al digitale incrementato dalla pandemia – sono stati realizzati importanti interventi normativi in materia di cybersecurity e di lotta alla criminalità informatica. Ricordiamo, ad esempio, la Convenzione di Budapest del 2001 e la Cybercrime Convention siglata dall’ONU a fine 2024 che riconosce il grave danno arrecato dai reati informatici agli Stati, alle imprese, agli individui e alla società in generale, concentrandosi sulla loro salvaguardia da reati come il terrorismo, la tratta di persone, il traffico di droga e le truffe finanziarie online.
A livello europeo, in tema di cybersecurity, occorre richiamare quantomeno la Direttiva UE 2022/2555 (nota anche come NIS 2, dall’acronimo di “Network and Information Security”), che mira ad innalzare il livello di sicurezza informatica in modo omogeneo all’interno dell’Unione Europea, il Regolamento UE 2022/2554 (conosciuto con l’acronimo DORA, “Digital Operational Resilience Act”) specificamente previsto per le istituzioni finanziarie, la Direttiva UE 2022/2557 riguardante la protezione fisica delle infrastrutture critiche (chiamata anche Direttiva CER, “Critical Entities Resilience”), il Cyber Resilience Act 2024/2847 (“CRA”) che stabilisce standard di sicurezza per i prodotti con componenti digitali.
Con uno sguardo di sintesi, l’impostazione data dalla NIS 2 – con riferimento ai soggetti erogatori di servizi essenziali (es. sanità, trasporti, energia, ecc.) e servizi importanti (come i servizi postali) – sposta la responsabilità diretta in materia di cybersecurity dal settore informatico al vertice aziendale, che deve essere non solo coinvolto ma addirittura in grado di “governare” ogni attività di prevenzione degli incidenti, partecipando a propria volta alla formazione specifica.
La NIS 2 – basata su un approccio multirischio che si estende anche alla catena di fornitura – ha introdotto altresì l’obbligo di notifica degli incidenti informatici e le sanzioni per le organizzazioni inadempienti al dettato della Direttiva e, in ambito italiano, del relativo Decreto legislativo di recepimento (n. 138/2024). A livello nazionale, si richiamano – tra gli altri – la Legge n. 133/2019 sul Perimetro di Sicurezza Nazionale Cibernetica, il Decreto-legge n. 82/2021 convertito con modificazioni dalla Legge n. 109/2021 che ha istituito l’Agenzia per la Cybersicurezza Nazionale, la Legge n. 90/2024.
In particolare, quest’ultima introduce importanti disposizioni in materia di rafforzamento della sicurezza informatica del nostro Paese e di reati informatici quali, ad esempio, le misure da adottare in caso di incidenti, l’obbligo per le Pubbliche Amministrazioni di nominare un referente per la cybersecurity ed istituire una struttura interna dedicata nonché l’inasprimento delle sanzioni con contestuali modifiche al Codice penale. A corollario, si cita, infine, il Regolamento UE 2024/1689 – primo atto legislativo mondiale in materia di intelligenza artificiale (IA) in vigore dal 1° agosto 2024 con piena attuazione dal 2 agosto 2026 – quale standard globale per promuovere una IA affidabile in Europa, a sostegno dell’innovazione e del mercato unico, che rispetti la sicurezza, i principi etici, i diritti e le libertà fondamentali delle persone.
Elemento comune delle soprarichiamate normative – alle quali si aggiunge il Regolamento UE 2016/679 sulla protezione dei dati personali (GDPR) – è la promozione della cooperazione e del coordinamento tra gli Stati e le istituzioni al fine di migliorare la sicurezza delle reti, dei sistemi informativi e la protezione dei dati. In tale quadro, l’armonizzazione tra Stati, la resilienza delle infrastrutture e la formazione di esperti costituiscono le principali priorità strategiche e geopolitiche per contrastare le nuove frontiere della criminalità. Soltanto acquisendo questa consapevolezza, infatti, riusciremo a difendere il mondo digitale, quindi il nostro presente e, ancor di più, il nostro futuro. Pronti alla sfida?
Articolo a cura di Samantha Cosentino e Davide Sardi
Gli autori possono anche essere seguiti sul canale WhatsApp “TG Cyber”, che fornisce, con un linguaggio semplice e alla portata di tutti, notizie, consigli e brevi spunti in tema di cybersecurity, protezione dei dati e utilizzo consapevole degli strumenti digitali.