Topics

Cyber-Security

Piano nazionale per la protezione cibernetica e la sicurezza informatica
click here

 DPCM 24 gennaio 2013, “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” (G.U. 19 marzo 2013, n. 66)

A pochi giorni dall’identificazione dell’ennesima sofisticata rete di cyber spionaggio mondiale denominata “Ottobre Rosso”[1], con Decreto del Presidente del Consiglio dei Ministri del 24 gennaio 2013 l’Italia si è dotata di una strategia nazionale in materia di sicurezza informatica, avente l’obiettivo di accrescere le capacità del nostro paese di confrontarsi con le minacce provenienti dallo spazio cibernetico anche attraverso la riorganizzazione dell’architettura istituzionale del settore, considerata disorganica ed inefficiente.

Per la prima volta si è proceduto alla definizione normativa di concetti chiave del settore, quali quelli di spazio, sicurezza, minaccia, evento cibernetico e, nel contempo, di allarme e di situazione di crisi[2].

Ai sensi dell’art. 2 del decreto lo “spazio cibernetico” viene qualificato come «l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi»[3].

La “minaccia cibernetica”, invece, viene definita come «complesso delle condotte che possono essere realizzate nello spazio cibernetico o tramite esso, ovvero in danno dello stesso e dei suoi elementi costitutivi, che si sostanzia in particolare, nelle azioni di singoli individui o organizzazioni, statuali e non, pubbliche o private, finalizzate all’acquisizione e al trasferimento indebiti di dati, alla loro modifica o distruzione illegittima, ovvero a danneggiare, distruggere o ostacolare il regolare funzionamento delle reti e dei sistemi  informativi o dei loro elementi costitutivi»[4].

Il decreto delinea quindi i punti chiave dell’architettura della sicurezza cibernetica nazionale, ponendo le basi di un sistema di interventi a tre livelli:

– il livello di indirizzo politico e coordinamento strategico, affidato al Comitato interministeriale per la sicurezza (CISR);

– il livello di supporto e raccordo nei confronti di tutte le amministrazioni, la cui competenza spetta ad un organismo collegiale di coordinamento, presieduto dal Direttore generale del Dipartimento Informazioni per la Sicurezza (DIS);

– il livello di gestione operativa della crisi, per il quale è stato istituito il Nucleo per la sicurezza cibernetica, costituito in via permanente presso l’Ufficio del Consigliere militare e da questo presieduto.

Al vertice della struttura si trovano il Presidente del Consiglio ed i Ministri che vanno a formare il CISR.

Il Nucleo per la sicurezza informatica è composto invece dai rappresentanti degli organismi di Intelligence[5] (Dipartimento delle informazioni per la sicurezza DIS, Agenzie informazioni e sicurezza esterna ed interna AISE ed AISI), del Ministero dell’interno, del Ministero degli affari esteri, del Ministero della difesa, del Ministero dello sviluppo economico, del Ministero dell’economia, del Dipartimento della protezione civile e dell’Agenzia per l’Italia digitale. Esso ha la funzione di sviluppare attività di prevenzione, allertamento e approntamento, in caso di eventuali situazioni di crisi, anche attraverso una propria unità operativa permanente e costantemente attiva, nonché di svolgere le opportune azioni di risposta e ripristino rispetto a queste situazioni, provvedendo ad «attivare il Tavolo interministeriale di crisi cibernetica»[6], nell’ipotesi in cui un c.d. evento cibernetico (attacco, incidente, furto/spionaggio) assuma «dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale» o non possa «essere fronteggiato dalle singole amministrazioni competenti in via ordinaria»,

Ai sensi dell’art. 3 comma 1 lett. a), b) del DPCM 24.01.13, il Presidente del Consiglio dei Ministri ha poi adottato, con Decreto 27 gennaio 2014, il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico”, che individua gli “indirizzi strategici” da perseguire per un accrescimento delle capacità del paese di prevenire e rispondere alle sfide poste dallo spazio cibernetico, ed il relativo “Piano nazionale per la protezione cibernetica” contenente in specifico gli obiettivi da conseguire e le linee di azione da porre in essere per realizzare le indicazioni del Quadro Strategico[7].

Gli indirizzi identificati nel Quadro Strategico sono:

1. Miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali interessati;

2. Potenziamento delle capacità di difesa delle Infrastrutture Critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese;

3. Incentivazione della cooperazione tra istituzioni ed imprese nazionali;

4. Promozione e diffusione della cultura della sicurezza cibernetica;

5. Rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali on-line;

6. Rafforzamento della cooperazione internazionale.

Al fine di dare concreta attuazione agli indirizzi operativi del Piano Nazionale, viene dettagliata una roadmap così composta:

1. Potenziamento capacità di intelligence, di polizia e di difesa civile e militare;

2. Potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati;

3. Promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento;

4. Cooperazione internazionale ed esercitazioni;

5. Operatività del CERT nazionale, del CERT-PA e dei CERT dicasteriali;

6. Interventi legislativi e compliance con obblighi internazionali;

7. Compliance a standard e protocolli di sicurezza;

8. Supporto allo sviluppo industriale e tecnologico;

9. Comunicazione strategica;

10. Risorse;

11. Implementazione di un sistema di Information Risk Management nazionale.

Interessante notare come nel Quadro Strategico, a proposito dello “spazio cibernetico”, si affermi che esso costituisce un «dominio virtuale di importanza strategica per lo sviluppo economico, sociale e culturale delle nazioni»[8].

E’ proprio questa sua caratteristica a rendere necessaria la ricerca di un equilibrio tra esigenze di sicurezza nazionale e di ordine pubblico, da un lato, e libertà individuali, dall’altro. «Si pensi, ad esempio, come l’ininterrotto monitoraggio tecnico della funzionalità delle reti e la protezione dei dati che vi transitano siano essenziale presupposto per il pieno godimento del diritto alla privacy e dell’integrità dei sistemi oppure, sempre a titolo di esempio, come possa essere complesso ricercare il giusto equilibrio tra il diritto alla privacy e la necessaria azione di contrasto a crimini come l’uso della rete per lo scambio di materiale pedopornografico, lo spaccio di stupefacenti, l’incitamento all’odio o la pianificazione di atti di terrorismo. Reati che, oltre a ledere specifici diritti, rappresentano un attacco all’idea stessa di un dominio cibernetico libero, democratico ed aperto»[9].

Soffermando ora l’attenzione sulla definizione di “minaccia cibernetica”, introdotta nel DPCM 24.01.13 e ripresa dal Quadro Strategico, risulta evidente come il legislatore abbia accolto una nozione che travalica i confini della categoria dei “reati ciberniciti”.

Ricomprendendo «l’insieme delle condotte controindicate che possono essere realizzate nel e tramite lo spazio cibernetico ovvero in danno di quest’ultimo e dei suoi elementi costitutivi»[10], nell’alveo della minaccia cibernetica potrebbero essere ricondotti non solo i reati cibernetici in senso stretto ed in senso lato, ma anche i reati informatici, che pur non realizzandosi in o tramite la rete, hanno ad esempio come oggetto passivo i nuovi strumenti della tecnologia informatica.

La nuova nozione di spazio cibernetico e la valorizzazione delle sue tre componenti (dimensione fisica, logica e sociale) porta quindi il legislatore a discostarsi dalla comune definizione di cyber-crime, riconducendo alla stessa, forse in modo improprio, attività tradizionalmente assimilate ai fenomeni, non necessariamente cibernetici, della ben più ampia arena della cd. criminalità informatica.

La “criminalità cibernetica”, intesa quale una delle quattro macro-categorie in cui viene suddivisa la minaccia cibernetica[11], nel quadro Strategico viene genericamente identificata come «il complesso delle attività con finalità criminali». Tra le fattispecie richiamate a titolo esemplificativo compaiono la sottrazione indebita di informazioni o di creazioni e proprietà intellettuali, ovvero, per l’appunto, fattispecie informatiche solo eventualmente realizzabili in Internet.

Sembrerebbe quindi invertito la stesso rapporto intercorrente tra l’insieme “crimine informatico” e quello “cyber-crime”, risultando in tal modo il primo un sottoinsieme del secondo.

La soluzione prospettata porterebbe all’illogica rischiosa conseguenza di negare la competenza penale dell’Unione europea in materia di cyber-crime, dato che, tra le aree individuate nell’art. 83 TFUE, viene menzionata la sola «criminalità informatica»[12].

Per superare tale impasse forse sarebbe più corretto ritornare a valorizzare l’elemento della rete Intenet nel momento di identificazione dei reati cibernetici.

[1] Il 13 gennaio 2013 Kaspersky Lab, società russa leader nel settore anti-virus, ha lanciato l’allarme su un’operazione di hackeraggio di enorme portata contro le principali istituzioni pubbliche di sessantanove paesi diversi. Gli attacchi hanno colpito principalmente Russia ed altre repubbliche ex sovietiche, ma sono stati infettati anche molti computer in India, Afghanistan e in particolare in Belgio, dove hanno sede l’Unione europea e la NATO. Meno infezioni sono state registrate negli Stati Uniti, in Iran, Svizzera e Italia. Ribattezzata “Ottobre Rosso”, in onore del celebre sottomarino comandato da Sean Connery nel film del 1990, l’operazione di cyber-crime, per cinque anni, attraverso una serie di attacchi di spear phishing con email molto personalizzate per target specifici contenenti allegati malevoli sotto forma di file Microsoft Office, avrebbe permesso di collezionare una mole impressionante di dati, copiando e leggendo mail personali, sms, documenti secretati e tutto il materiale registrato all’interno dei pc infettati.

[2] Le definizioni riprendono quelle contenute nel “Glossario Intelligence” pubblicato dal Dipartimento Informazioni per la Sicurezza nel giugno 2013.

[3] Cfr. art. 2 comma 1, lett. h) DPCM 24.01.13.

[4] Cfr. art. 2 comma 1, lett. l) DPCM 24.01.13.

[5] Per comprendere il funzionamento dei diversi organi e delle autorità del Sistema di informazione per la sicurezza della Repubblica istituito in seguito al varo della legge n. 124/2007 v. sicurezzanazionale.gov.it.

[6] Cfr. art. 9 comma 3, lett. b) DPCM 24.01.13.

[7] DPCM 27 gennaio 2014, “Strategia nazionale per la sicurezza cibernetica”, pubblicato in G.U. 19 febbraio 2014, n. 41. Il Quadro Strategico ed il Piano Nazionale sono stati elaborati dal Tavolo Tecnico Cyber (TTC) che – istituito il 3 aprile 2013 in seno all’organismo collegiale permanente (c.d. CISR “tecnico”) dopo l’entrata in vigore del DPCM 24 gennaio 2013 – opera presso il Dipartimento Informazioni per la Sicurezza. Ai lavori del TTC partecipano i punti di contatto cyber dei Dicasteri CISR (Affari Esteri, Interno, Difesa, Giustizia, Economia e Finanze, Sviluppo Economico) dell’Agenzia per l’Italia Digitale e del Nucleo per la Sicurezza Cibernetica.

[8] Quadro strategico nazionale per la sicurezza dello spazio cibernetico, CAPITOLO 1: PROFILI E TENDENZE EVOLUTIVE DELLE MINACCE E DELLE VULNERABILITÀ DEI SISTEMI E DELLE RETI DI INTERESSE NAZIONALE, p. 10.

[9] Ivi, p. 11.

[10] Quadro strategico nazionale per la sicurezza dello spazio cibernetico, CAPITOLO 1, p. 11.

[11] Ivi, p. 12-13: «Tipi di minaccia A seconda degli attori e delle finalità si usa distinguere la minaccia cibernetica in quattro macro-categorie. Si parla in tal caso di

– criminalità cibernetica (cyber-crime): complesso delle attività con finalità criminali (quali, per esempio, la truffa o frode telematica, il furto d’identità, la sottrazione indebita di informazioni o di creazioni e proprietà intellettuali);

– spionaggio cibernetico (cyber-espionage): acquisizione indebita di dati/informazioni sensibili, proprietarie o classificate;

– terrorismo cibernetico (cyber-terrorism): insieme delle azioni ideologicamente motivate, volte a condizionare uno stato o un’organizzazione internazionale;

– guerra cibernetica (cyber-warfare): insieme delle attività e delle operazioni militari pianificate e condotte allo scopo di conseguire effetti nel predetto ambiente».

[12] Per un’approfondita analisi dell’impatto della competenza penale riconosciuta all’Unione europea a seguito delle modifiche apportate al TFUE dal Trattato di Lisbona, adottato nel 2007 ed entrato in vigore nel 2009, che, oltre ad aver consolidato le basi del cd. diritto penale europeo, ha abolito la divisione in “pilastri” che in precedenza contraddistingueva la struttura istituzionale europea e riconosciuto il valore giuridicamente vincolante della Carta di Nizza, v. Grasso G., Picotti L., Sicurella R. (a cura di), L’evoluzione del diritto penale nei settori di interesse europeo alla luce del Trattato di Lisbona, Milano, 2011. In modo particolare v. inoltre Picotti L., La nozione di «criminalità informatica» e la sua rilevanza per le competenze penali europee, in Rivista trimestrale di diritto penale dell’economia, n. 4/2011, p. 845 ss.

The governance of cybersecurity (2015)

Adams, Samantha; Brokx, Marlou; Dalla Corte, Lorenzo; Savic, Masa; Kala, Kaspar; Koops, Bert Jaap; Leenes, Ronald; Schellekens, Maurice; E Silva, Karine; Skorvánek, Ivan

click here

×