Standard globali in difesa della trasformazione digitale

E qui soffermo il mio sguardo solo su una sfaccettatura, forse la più significativa, del problema. Basti pensare, per ampliare lo sguardo, al tema della controinformazione, delle fake news etc.

La complessità della problematica è d'altronde testimoniata dallo svilupparsi nel tempo di una articolata disciplina in materia che spazia oramai dal terreno dei cybercrime – e qui la Convenzione di Budapest rappresenta, come noto, il referente normativo principale – sino alla normativa eurounitaria a protezione delle infrastrutture critiche, la direttiva NIS, al Regolamento europeo sulla protezione dei dati personali.

La sfida posta al giurista è indubbiamente impegnativa: contrastare i fenomeni criminosi – e fare in modo che gli strumenti in campo siano efficaci –, ma al contempo progettare meccanismi preventivi e di cooperazione tra i diversi attori impegnati sul fronte del contrasto (pubblici e privati).

Da qui l'affermarsi della cybersecurity che rappresenta la risposta politica, economica, e normativa agli attacchi realizzati nello spazio virtuale, anche in termini di valutazione e gestione del rischio informatico.

L'importanza della cybersecurity va di pari passo al crescere del ventaglio delle minacce informatiche. I dati sono al riguardo molto preoccupanti. Essi ci dicono che oggi un numero sempre maggiore di operatori dispongono della capacità tecnica per distruggere o danneggiare infrastrutture critiche e servizi essenziali attraverso attacchi cibernetici mirati. E' sufficiente citare la vicenda del ransomware “WannaCry”, che, nel maggio 2017, ha colpito oltre 150 paesi; oppure del cyber attacco più distruttivo e costoso della storia, conosciuto con il nome di “NotPetya”, che si è diffuso rapidamente nel giugno 2017, causando danni per miliardi di dollari. Ed in questo caso peraltro i virus utilizzati non erano particolarmente elaborati né del tutto sconosciuti.

Altrettando significative sono le statistiche di recente pubblicate da Europol e dal World Economic Forum.

Il 2018 è stato l'anno peggiore di sempre in termini di evoluzione delle minacce “cyber” e dei relativi impatti, non solo dal punto di vista quantitativo ma anche e soprattutto da quello qualitativo, evidenziando una tendenza di crescita degli attacchi, della loro gravità e dei danni conseguenti, mai registrati in precedenza. Osservando la situazione dal punto di vista quantitativo, si evince invece che nel quinquennio 2014-2018 la crescita degli attacchi gravi è stata del +77,8%. Nell'arco del solo biennio 2017-2018 il numero di attacchi gravi è cresciuto del +37,7%. In base a quanto emerso da una analisi svolta dal CSIS (Center for Strategic & International Studies) è stato stimato che nel 2014 la criminalità informatica è costata al mondo tra i 345 e i 445 miliardi di dollari. In percentuale del PIL globale, la criminalità informatica è costata all'economia globale lo 0,62% del PIL nel 2014. Adottando gli stessi criteri applicati nell'analisi del 2014, il CSIS ritiene che l'intervallo sia oggi compreso tra i 445 e i 600 miliardi di dollari che in percentuale del PIL globale corrisponde allo 0,8 %. All'incremento esponenziale degli attacchi corrisponde un aumento dei costi per la sicurezza informatica.

Le statistiche più allarmanti riguardano proprio le imprese. Da uno studio condotto dal Ponemon Institute emerge che l'aumento percentuale del costo della sicurezza informatica è del 22, 7 % in più rispetto all'anno passato, con una media di 11,7 milioni di dollari all'anno sostenuti per fronteggiare i pericoli. Questi dati confermano la tesi di un vero e proprio cambiamento epocale nelle scelte di gestione dell'azienda, collocando in posizione assolutamente centrale la valutazione e la gestione dei rischi provenienti dallo spazio virtuale. Al cuore della questione non c'è solo un problema di tipo tecnologico (sub specie di misure di sicurezza) quanto piuttosto culturale, economico e di framework normativo. Bisogna organizzare i processi aziendali tenendo conto delle minacce per la sicurezza delle reti e dei sistemi di informazione e ciò non può che accadere, come testimoniato dall'esperienza più in generale della corporate criminal liability, sulla spinta di obblighi imposti agli enti. Vediamo dunque quali sono le strategie da adottare sul versante che ho appena tratteggiato, più efficaci nel contrasto al cybercrime.

Un primo piano di intervento, prendendo le mosse dall'approccio sin qui seguito, è quello repressivo.

Tre sono i fronti su cui agire (i) la creazione di una base legale comune nella definizione degli illeciti; (ii) la cooperazione tra autorità giudiziarie; (iii) il coordinamento investigativo e la mutua assistenza nelle attività d'indagine.

Negli ultimi anni la sicurezza informatica ha assunto il ruolo di indiscussa protagonista della scena politico-istituzionale ed economica attuale, impegnando gli attori pubblici e privati in un fronte comune contro i rischi provenienti dallo spazio virtuale. Un tema sempre più sentito a livello internazionale, dove si registra ormai chiaramente la volontà degli Stati di rafforzare la cooperazione giudiziaria e investigativa per far fronte alle minacce cibernetiche.

Un chiaro esempio è dato dalle recentissime risoluzioni adottate dal First Committee of General Assembly (GA) delle Nazioni Unite in tema di cybersecurity.

Una prima risoluzione, intitolata Developments in the field of information and telecommunications in the context of international security (2017), fu proposta dalla Russia al fine di sensibilizzare gli Stati membri all'utilizzo sicuro delle nuove tecnologie. Più precisamente, la Comunità internazionale viene invitata a valutare le potenziali minacce nel campo della sicurezza delle informazioni e conseguenti possibili strategie da incrementare per affrontarle, coerentemente con la necessità di preservare il free flow of information. Sulla stessa lunghezza d'onda si colloca anche la seconda risoluzione, questa volta proposta dagli Stati Uniti dal titolo Advancing responsible State behaviour in cyberspace in the context of international security (2018) che, similmente alla proposta russa, considera i recenti sviluppi nell'applicazione di tecnologie dell'informazione e della comunicazione in termini di opportunità positiva per l'ulteriore progresso della società e quindi bene comune di tutti gli Stati. Si riconosce inoltre la necessità e l'urgenza di regolamentare lo spazio cibernetico e la cooperazione tra Autorità, per dare concretezza ad un approccio globale e cooperativo alla sicurezza delle reti e dei sistemi di informazione. Gli illeciti commessi in rete si caratterizzano per la dimensione essenzialmente transnazionale, derivante dalla aterritorialità del cyberspazio. Ciò ha condotto gli Stati e le organizzazioni internazionali a intraprendere numerose iniziative a livello locale per porre un argine al dilagare della criminalità informatica. È qui sufficiente ricordare che, sul piano sovranazionale, la lotta contro il crimine informatico si è incardinata su tre fronti: (i) la creazione di un base legale comune nella definizione degli illeciti; (ii) la cooperazione tra autorità giudiziarie; (iii) il coordinamento investigativo e la mutua assistenza nelle attività d'indagine. L'armonizzazione delle disposizioni di diritto penale sostanziale garantisce agli Stati una base giuridica comune per la lotta al cybercrime. Diversamente, i criminali informatici si gioverebbero dell'esistenza di asimmetrie e di sacche di impunità nelle legislazioni di alcuni Paesi. La creazione di canali di comunicazione tra autorità giudiziarie e agenti di polizia assicura un rapido e costante scambio di informazioni, garantisce il rispetto e l'esecuzione delle decisioni giudiziarie, contribuisce alla creazione di unit trasversali per lo svolgimento di investigazioni complesse, favorisce lo scambio di expertise tecnica.

Tra le istituzioni internazionali, quella che ha raggiunto i traguardi più significativi in quest'ambito è senza dubbio il Consiglio d'Europa, a cui si deve la elaborazione della Convenzione di Budapest sul Cybercrime.

L'obiettivo del Trattato è quello di perseguire, come questione prioritaria, una politica comune in campo penale finalizzata alla protezione della società contro la criminalità informatica, adottando una legislazione appropriata e sviluppando la cooperazione internazionale.

Proprio in questi mesi, le parti della Convenzione di Budapest sul cybercrime si stanno dedicando alla stesura di un secondo protocollo sulla cooperazione rafforzata per l'acquisizione della digital evidence. Si tratta di una iniziativa da accogliere con estremo favore, poiché l'efficienza delle investigazioni informatiche è il vero core dell'azione globale di contrasto alla criminalità informatica.

Fatte queste doverose premesse sul quadro normativo di riferimento, sento di dover porre l'accento sulla importanza della compliance aziendale in materia di cybersecurity.

Il secondo piano su cui infatti si deve intervenire è di carattere preventivo. L'esperienza maturata in altri settori – è sufficiente citare la corruzione e il riciclaggio – offre indicazioni chiare al riguardo.

La partnership pubblico-privata è diventata il volano di una nuova idea di contrasto ai fenomeni criminosi che punta anzitutto sulla compliance.

In Europa gli attori economici operanti nei settori nevralgici dell'economia sono ormai tenuti ad implementare modelli organizzativi e gestionali per far fronte ai rischi provenienti dal cyberspazio. È chiaro come il raggiungimento dell'obiettivo-sicurezza rappresenti un primario interesse per le stesse imprese tenute all'adempimento. In uno spazio virtuale dinamico e in continua evoluzione l'autoresponsabilizzazione degli attori economici, la valutazione continua dei rischi e la compliance sono gli strumenti più flessibili ed efficaci.

Il 2016 è stato un anno fondamentale per la sicurezza informatica. In attuazione del c.d. mercato unico digitale (digital single market) il legislatore europeo ha adottato due provvedimenti che riguardano molto da vicino questa materia.

Il Regolamento Generale sulla Protezione dei dati personali (2016/679/UE, GDPR) guarda l'information security dalla prospettiva del dato personale; la Direttiva sulla sicurezza delle reti e dei sistemi di informazione (2016/1146/UE, NIS) disciplina la cybersecurity a livello nazionale (obbligando gli Stati membri ad adottare una strategia nazionale in materia di sicurezza della rete e dei sistemi informativi e stabilendo obblighi di sicurezza e di notifica per gli operatori di servizi essenziali e per i fornitori di servizi digitali). Tale direttiva rappresenta il trait-d'union della regolazione pubblica nel settore della sicurezza informatica, essendo rivolta tanto agli operatori pubblici quanto a quelli privati. Ambedue le normative valorizzano un approccio flessibile al tema della sicurezza, imponendo l'adozione di strategie interne di assessment e di governance del rischio.

A chiusura di questo mio intervento vorrei dedicare qualche breve riflessione finale sulle sfide che impegneranno il legislatore nel prossimo futuro, concentrandomi in particolare sulle misure da adottare sul fronte internazionale.

Il rafforzamento della cooperazione internazionale in materia di contrasto al cybercrime è, a mio modo di vedere, il traguardo più importante. La caratteristica principale del cyberspazio – che qualcuno metaforicamente, paragona a un wild west – è proprio la aterritorialità. Come si potrebbe pensare di sconfiggere il crimine informatico se esistono nel mondo luoghi (spesso Stati tecnologicamente arretrati o politicamente deboli) dai quali i criminali informatici possono agire in modo indisturbato? Che senso avrebbe chiudere le frontiere alla collaborazione tra autorità giudiziarie in un contesto in cui ciascuno Stato potrebbe, in qualsiasi momento, aver bisogno dell'altro per l'acquisizione della prova digitale e per l'individuazione degli autori di un attacco?

D'altronde un fenomeno per sua natura transazionale non potrebbe essere affrontato, se non attraverso una presa d'atto globale.

Una seconda sfida è nel superamento delle barriere tra settore pubblico e settore privato. In questa direzione si sta muovendo il Consiglio d'Europa con l'istituzione di numerosi tavoli d'intesa con i service provider e con le imprese che erogano servizi di accesso alla rete. L'importanza di una partnership pubblico-privato è del resto condivisa dagli Stati firmatari della Convenzione di Budapest nella stesura del secondo protocollo alla Convenzione a cui ho fatto cenno.

Per quel che riguarda, infine, l'armonizzazione a livello sovranazionale la realizzazione di un “mercato unico digitale” rende auspicabile la creazione di uno standard di certificazione cybersecurity comune a tutti gli Stati, secondo una formula già sperimentata in altri settori. A tal riguardo, gli Stati dovrebbero concordare sulla importanza delle certificazioni di sicurezza e della definizione degli standard minimi di cybersecurity: in questa direzione si stanno muovendo le Istituzioni dell'Unione Europea. Quello della certificazione è – a mio avviso – un sentiero da esplorare a livello internazionale, che permetterebbe una rapida assimilazione nel contesto aziendale degli standard di sicurezza informatica, non diversamente da quanto avvenuto, ad esempio, per l'etichettatura dei prodotti, per l'offerta al pubblico di determinati servizi o per la produzione di alcuni beni di consumo.

Guardando infine al fronte nazionale, si dovrebbero prevedere incentivi per le imprese che dimostrino di aver implementato uno standard elevato di sicurezza. Non mi riferisco soltanto agli incentivi di natura fiscale ed economica – come contributi, emolumenti, aiuti di Stato, detrazioni d'imposta che, per alcuni settori, esistono già – ma anche misure d tipo tecnico-giuridico: riti premiali, esimenti di responsabilità o riduzione delle sanzioni per coloro che abbiamo dimostrato di aver rimediato con prontezza alla carenza organizzativa. In conclusione, tutto lo strumentario di un giurista moderno, attento alla evoluzione tecnologica, può e deve essere utilizzato per realizzare un obiettivo finale: governare la tecnologia e non essere governati.