Protezione dello spazio cyber e notifica degli incidenti. Le criticità del Dpcm

Il DPCM sulle procedure di notifica degli incidenti che avvengono all’interno del perimetro di sicurezza cibernetica evidenzia criticità nel mancato raccordo con il codice penale ed mostra i difetti di impianto della normativa sul perimetro cibernetico. Sono urgenti modifiche per manterne l’efficacia delle norme e tutelare la sicurezza nazionale – di Andrea Monti, professore incaricato di Diritto dell’ordine e della sicurezza pubblica, università di Chieti-pescara – Originariamente pubblicato da Formiche.net

Il secondo DPCM che attua a L.133/19 sulla protezione del perimetro nazionale di sicurezza cibernetica che si occupa delle procedure di notifica degli incidenti ha avuto l’approvazione delle camere ma porta ancora con sé delle criticità giuridiche e di public policy che ne potrebbero minare l’efficacia. Non si tratta, soltanto, di tecnicalità giuridiche, ma anche del manifestarsi delle conseguenze delle scelte di impianto compiute con il decreto legge 105/19 e con la sua conversione in legge.

Le scelte di public policy nel “DPCM notifiche”

In primo luogo, per quanto riguarda gli aspetti di policy, la Presidenza del Consiglio ha escluso la Difesa dai destinatari delle notifiche di incidenti: l’articolo 3 della bozza di DPCM stabilisce infatti che l’unico a ricevere gli avvisi è lo CSIRT italiano. Questa scelta, in un contesto nel quale l’asimmetricità di un conflitto non dichiarato e a bassa intensità rende difficile distinguiere immediatamente un incidente da un atto ostile, rischia di rallentare la capacità di reazione in caso di attacchi da parte di potenze straniere.

Inoltre, il “DPCM notifiche” esclude tacitamente l’obbligo di denuncia degli incidenti all’autorità giudiziaria. Sempre l’articolo 3, ma ai commi IV, VI e VII stabilisce infatti come regola l’obbligo di comunicazione allo CSIRT “salvo che l’autorita? giudiziaria procedente abbia previamente comunicato la sussistenza di specifiche esigenze di segretezza investigativa”. In altri termini, il DPCM prevede che, oltre alla Difesa, anche l’autorità giudiziaria non sia informata “di default” degli incidenti occorsi alla infrastrutture critiche o quelle che supportano l’erogazione di servizi essenziali.

Le criticità dell’esclusione di Difesa e autorità giudiziaria dal flusso delle notifiche

Se la scelta di escludere la Difesa dal flusso delle notifiche è squisitamente politica e come tale non sindacabile giuridicamente, qualche problema si pone, invece, per la decisione relativa all’autorità giudiziaria.

Per ragioni che sarebbe troppo complesso analizzare in questa sede, ma che essenzialmente afferiscono alla scelta di non normativizzare il concetto di sicurezza nazionale, la gestione delle attività informative per la sicurezza dello Stato sono regolate in modo confuso. La scelta normativa compiuta con la legge 124/07 è stata quella di ribadire che l’autorità giudiziaria non ha giurisdizione in materia di intelligence, ma di attribuirle alcune attività specifiche in termini di autorizzazione ad accesso a data-base e intercettazioni preventive. Nello stesso tempo, però, le componenti investigative e repressive sono esclusivamente affidate alle corti che inevitabilmente eserciteranno i loro poter dopo che un fatto è stato commesso. Il risultato di questa impostazione è che, formalmente, l’autorità giudiziaria non può essere esclusa dal flusso informativo sugli incidenti che avvengono all’interno del perimetro di sicurezza cibernetica. Ma il “DPCM notifiche” raggiunge esattamente questo obiettivo.

Perché l’autorità giudiziaria non può essere esclusa dalle notifiche

Gli attacchi alle (infra)strutture interne al perimetro sono potenzialmente reati espressamente previsti dal Codice penale. Salvo, infatti, il reato di cui all’art. 1 comma XI L. 133/19 (ostruzione alle attività di collaudo e false informazioni), sia la L. 133/19 sia il D.lgs. 65/18 puniscono il mancato rispetto delle loro prescrizioni soltanto con pesantissime (e di dubbia costituzionalità) sanzioni amministrative. Di conseguenza, l’unica tutela penale in materia di infrastrutture critiche, di servizi e di funzioni essenziali è dunque lasciata ai reati informatici tipizzati nel Codice penale, le cui definizioni, peralto, non coincidono con quelle del D.lgs. 65/18 e della L. 133/19.

Inoltre, i reati in questione sono perseguibili d’ufficio, per cui basta che il pubblico ministero sia informato in qualsiasi modo per consentire l’avvio di un’indagine. Di conseguenza, dato che l’articolo 361 del Codice penale impone al pubblico ufficiale di denunciare i reati dei quali viene a conoscenza per via del suo ufficio, diventa difficile pensare, quantomeno in ambiti diversi da quelli privati, che si possa evitare di comunicare in automatico l’avvenuto incidente oltre che allo CSIRT, anche al pubblico ministero.

Il DPCM, invece, segue una logica diversa: le notifiche e le ulteriori informazioni vanno inoltrate solo allo CSIRT, e se la magistratura (eventualmente, ma non necessariamente, informata per altro canale) dovesse manifestare specifiche esigenze di segretezza, allora queste informazioni sarebbero escluse dalla notifica. È evidente che un DPCM non può (e non può essere interpretato in modo da) stabilire una deroga del genere.

Di conseguenza, e sintetizzando, gli incidenti che colpiscono strutture pubbliche dovranno in ogni caso essere oggetto di denuncia penale e tutte le informazioni (nonostante il “divieto” del DPCM) dovranno essere messe a disposizione del magistrato inquirente.

Discorso diverso, invece, per quelli che colpiscono (infra)strutture private ma comunque critiche o relative a servizi essenziali. In questo caso non si applicherebbe l’articolo 361 del Codice penale e dunque l’obbligo di denuncia sarebbe sulle spalle del pubblico ufficiale che viene a conoscenza del fatto per via della notifica di incidente. Anche questa situazione, tuttavia, non è facilmente gestibile perché, per esempio, gli appartenti al DIS sono esentati dall’obbligo in questione non essendo agenti o ufficiali di polizia giudiziaria, di pubblica sicurezza o titolari di grado militare. Sarebbe tuttavia possibile che fra gli appartenti allo CSIRT ci siano soggetti che conservano lo status di pubblico ufficiale e che, come tali, obbligati comunque alla denuncia.

Notifiche incidenti e Autorità garante per la protezione dei dati personali

Su questo processo di gestione si innesta, inoltre, il ruolo dell’Autorità garante per la protezione dei dati personali che il decreto legislativo NIS include (con qualche perplessità di sistema) fra i destinatari obbligatori delle notifiche di incidenti a danno delle infrastrutture critiche.

L’art. 2 del D.lgs. 65/18 sottopone l’attività NIS alla normativa sul trattamento dei dati personali quando nessuna norma comunitaria obbligava a compiere questa scelta e, a tutto voler concedere, la dir. 18/1148 (art. 8 comma VI) consentiva di prevedere una mera attività consultiva con l’Autorità garante per la protezione dei dati personali, da attivare whenever appropriate.

In altri termini, secondo la dir. 18/1148:

non era obbligatorio né necessario sottoporre l’attività NIS al controllo del Garante dei dati personali,
è l’Autorità NIS che decide se e quando interessare il Garante dei dati personali, il quale non ha poteri autonomi in questo senso,
l’Autorità NIS ha il potere di decidere quali informazioni condividere con il Garante dei dati personali.

Conclusioni e prospettive di riforma

Ancora una volta l’evanescenza del concetto di sicurezza nazionale mostra i propri limiti. È evidente che l’attività informativa diretta alla tutela degli interessi dello Stato ha dei tempi e delle necessità operative che mal si relazionano con attività più “ordinarie” dello Stato. È anche evidente, in termini di teoria generale, che il potere esecutivo abbia e possa avere degli ambiti operativi (temporaneamente) sottratti al controllo diretto e immediato di altri apparati dello Stato.

Avere omesso di gestire in modo esplicito queste necessità operative ha creato un sistema complesso, confuso e dunque di applicazione incerta. Sarebbe stato opportuno che con il decreto legge 105/19 (o con la legge di recepimento) questi problemi fossero stati affrontati e risolti stabilendo alcuni punti fermi come:

definire la sicurezza nazionale come la protezione e la prevenzione dal verificarsi di azioni, comportamenti o eventi interni e/o esterni che ledono e/o mettono a rischio gli interessi nazionali in campo economico, scientifico, tecnologico e politico, fatto salvo quanto di stretta competenza della difesa militare dello Stato e della tutela di ordine e sicurezza pubblica,
dichiarare di fondamentale interesse pubblico in quanto essenziale alla tutela della sicurezza nazionale il trattamento dei dati personali eseguito da soggetti pubblici e privati nell’ambito delle attività relative alla protezione delle infrastrutture critiche,
consentire l’adozione di misure di sicurezza anche preventive per finalità di tutela della sicurezza nazionale, dell’ordine pubblico e della pubblica sicurezza, anche quando consente indirettamente il controllo dei lavoratori e degli strumenti utilizzati per la prestazione lavorativa, senza consentirne l’uso a fini disciplinari,
stabilire che i dati e le informazioni relative a incidenti che riguardano infrastrutture critiche e i soggetti di cui al Decreto Leggge 105/19 convertito con L. 133/19 sono coperte dal segreto d’ufficio e non sono oggetti di comunicazione o di messa a disposizione, salvo per quanto di interesse dell’autorità giudiziaria nei casi previsti dalla legge,
prevedere che l’Autorità garante per la protezione dei dati personali sia consultata, a discrezione esclusiva dell’Autorità NIS competente, per eventuali pareri consultivi non vincolanti.

Queste indicazioni non esauriscono le necessità di ristrutturazione del sistema normativo della sicurezza nazionale, ma rappresentano senz’altro degli elementi che, ove adottati, comincerebbero a dare “corpo” e “sangue” a un’entità che, ancora oggi, ha la consistenza di un fantasma.

Possibly Related Posts: