cybersicurezza nazionale

Banche dati sotto scudo: l’ACN ridisegna la difesa digitale dello Stato

Home Sicurezza digitale
Indirizzo copiato

L’Agenzia per la Cybersicurezza Nazionale vara le linee guida per proteggere le banche dati critiche, elevando la sicurezza cibernetica a questione strategica di interesse pubblico

Pubblicato il 29 nov 2024
Francesca Niola

Fellow – ISLC, Università degli Studi di Milano

cyber sicurezza (1)

Il 26 novembre 2024, l’Agenzia per la Cybersicurezza Nazionale ha reso pubbliche le nuove linee guida per proteggere le banche dati critiche dall’uso improprio. Questo documento ha il pregio di elevare la sicurezza cibernetica a questione costituzionale. La protezione delle infrastrutture digitali passa da una dimensione puramente operativa e strumentale a profili più profondi riguardanti la stessa tenuta democratica dello Stato.

Dietro ogni misura suggerita, dal controllo degli accessi al monitoraggio continuo, si legge l’esigenza di garantire che sovranità e libertà individuali trovino un equilibrio, anche nella dimensione del cyberspazio.

Regolazione della sicurezza cibernetica e sovranità nel cyberspazio

La regolazione della sicurezza cibernetica, come delineata nel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e nella Direttiva NIS2, si inserisce in un quadro complesso che impone una rilettura della sovranità alla luce della globalità del cyberspazio. La sovranità non è più esclusivamente legata al controllo territoriale, ma si estende a una dimensione immateriale dove le vulnerabilità digitali possono tradursi in destabilizzazioni reali. Il legislatore nazionale e quello europeo hanno tentato di rispondere a questa trasformazione con un approccio che, tuttavia, pone interrogativi tanto sul piano operativo quanto su quello assiologico.

L’approccio normativo

Da un lato, si osserva uno sforzo significativo per strutturare un sistema di protezione che coniughi misure preventive, obblighi di notifica e strumenti sanzionatori. Tuttavia, è lecito chiedersi se tali strumenti siano sufficientemente adattivi in un contesto in cui le minacce evolvono a una velocità superiore rispetto alla capacità regolativa. Dall’altro, emerge la questione del bilanciamento tra sicurezza collettiva e libertà individuali, dove la garanzia di trasparenza, proporzionalità e accountability costituisce non solo un dovere tecnico, ma un imperativo costituzionale.

Le linee guida per la protezione delle banche dati critiche

Le linee guida per la protezione delle banche dati critiche delineano una serie di obiettivi e misure che meritano un’analisi approfondita: l’intento dichiarato di rafforzare la sicurezza dei sistemi che ospitano informazioni sensibili e prevenire l’abuso delle credenziali d’accesso rivela, in controluce, una riconsiderazione del rapporto fiduciario tra Stato, cittadini e operatori economici, nella cornice della cybersicurezza come bene collettivo.

Interventi tecnici e organizzativi

Queste misure includono interventi tecnici e organizzativi, miranti a garantire una gestione sicura dei sistemi e delle applicazioni, monitorare efficacemente i dati e formare il personale coinvolto.

Il controllo degli accessi e il principio del privilegio minimo

Il controllo degli accessi prevede l’implementazione di autenticazione multifattore per aumentare la sicurezza delle identità digitali. Questo sistema si fonda sull’esigenza di garantire che solo gli utenti autorizzati possano accedere alle risorse sensibili, minimizzando il rischio di compromissioni derivanti da accessi fraudolenti. Tale misura, lungi dall’essere isolata, si innesta in una più ampia strategia di gestione delle credenziali, strutturata per assicurare che ogni utente disponga unicamente dei privilegi strettamente necessari allo svolgimento delle proprie funzioni.

Il principio del privilegio minimo, che regola questa assegnazione calibrata dei permessi, risponde a criteri di razionalità organizzativa e, al contempo, costituisce un corollario del dovere di diligenza richiesto ai responsabili della sicurezza. La concessione di accessi ampi o non giustificati rappresenterebbe non solo una violazione di tale principio, ma anche un’esposizione a rischi facilmente evitabili, configurando in alcuni casi una responsabilità diretta per omessa adozione delle misure di sicurezza necessarie.

In questa prospettiva, la revoca immediata degli accessi per il personale non più autorizzato assume un ruolo essenziale, poiché previene l’eventualità che soggetti dimissionari o trasferiti possano continuare a utilizzare credenziali non più legittimate.

Security-by-design e modello zero-trust

Per quanto riguarda lo sviluppo dei sistemi, le linee guida richiedono l’applicazione dei principi di security-by-design, ovvero integrare la sicurezza sin dalle fasi iniziali della progettazione, e del modello zero-trust, che non considera mai sicuri i dispositivi o le connessioni, a meno che non vengano continuamente verificati. Security-by-design richiede che la sicurezza sia integrata fin dalla fase di progettazione, non considerata come un’aggiunta successiva. Pertanto, ogni sistema deve essere progettato tenendo conto delle potenziali vulnerabilità e prevedendo misure adeguate per mitigare i rischi. Ciò comporta l’obbligo dei responsabili a inserire la sicurezza come requisito essenziale nella costruzione e gestione di sistemi informativi critici.

Di converso, il modello zero-trust si fonda sull’assunto che nessun utente, sistema o connessione possa essere considerato intrinsecamente sicuro. Ogni accesso deve essere verificato in tempo reale, indipendentemente dalla sua origine, tanto da affermare la necessità di segmentare le reti, il monitoraggio continuo e l’adozione di rigorosi sistemi di autenticazione.

Principi chiave delle Linee guida ACN

Da qui conseguono due principi cardine che le Linee guida in oggetto inquadrano come il reale perimetro della disciplina cyber: la separazione degli ambienti di sviluppo e la minimizzazione della superficie d’attacco.

La separazione degli ambienti di sviluppo

Per la prima “colpisce” direttamente la creazione del codice, senza accesso ai dati reali. Il test indicato dalle Linee simula l’ambiente operativo reale, consentendo di identificare e correggere eventuali vulnerabilità prima del rilascio in produzione, dove il sistema diventa effettivamente operativo. Secondo l’ACN, la segregazione ridurrebbe il rischio di trasferire errori o vulnerabilità tra gli ambienti.

La minimizzazione della superficie d’attacco

Dall’altro lato, la minimizzazione della superficie d’attacco richiede di limitare le risorse esposte a potenziali attacchi. Ciò include la disattivazione di funzionalità non necessarie, la rimozione di software obsoleti e il controllo rigoroso delle configurazioni di rete. Ridurre la superficie d’attacco aumenta la resilienza del sistema.

Protezione dei flussi di rete e crittografia

La protezione dei flussi di rete enfatizza l’uso di protocolli di cifratura per garantire la sicurezza dei dati in transito. Ciò include la protezione contro intercettazioni o manipolazioni durante lo scambio di informazioni tra sistemi.

Le linee guida suggeriscono l’impiego di tecnologie aggiornate e protocolli sicuri come il TLS (Transport Layer Security). L’obbligo di adottare tali protocolli crittografici avanzati discende direttamente dall’articolo 32 del GDPR, il quale impone ai titolari del trattamento di garantire un livello di sicurezza adeguato al rischio, includendo la cifratura quale misura tecnica esplicita. In questa prospettiva, la protezione dei dati in transito non è una mera scelta tecnica, bensì un dovere giuridico derivante dal principio di accountability: i soggetti responsabili del trattamento devono dimostrare di aver implementato misure proporzionate per prevenire accessi non autorizzati o manipolazioni dei dati trasmessi.

Monitoraggio continuo dei flussi di rete

Il monitoraggio continuo dei flussi di rete, previsto dalle linee guida, si allinea con il dovere di prevenzione che caratterizza le normative sulla sicurezza cibernetica, come il Perimetro di Sicurezza Nazionale Cibernetica e la Direttiva NIS2. Questi strumenti normativi sottolineano l’importanza di verificare costantemente la sicurezza delle comunicazioni, non solo per proteggere il dato in sé, ma anche per assicurare la continuità operativa delle infrastrutture critiche da cui dipendono servizi essenziali per la collettività. Tale obbligo, che può essere letto in combinazione con il principio di minimizzazione del rischio, impone ai gestori di infrastrutture strategiche di adottare configurazioni protocollari aggiornate e di resistere alle tecniche di attacco emergenti. L’omissione o l’inadeguatezza di tali misure potrebbe configurare una responsabilità per negligenza, soprattutto in caso di danno causato da attacchi prevenibili.

La protezione dell’integrità dei flussi di rete, garantita dalla crittografia, si colloca altresì nel quadro costituzionale, che tutela il diritto alla segretezza delle comunicazioni (articolo 15 Costituzione). Ogni vulnerabilità nella trasmissione dei dati potrebbe essere considerata una violazione indiretta di questo diritto fondamentale, con rilevanza non solo sul piano amministrativo, ma anche sotto il profilo penale, laddove emergano condotte di omissione dolosa o colposa da parte degli operatori responsabili.

Analisi e conservazione dei log

Infine, l’analisi dei log e la loro conservazione rientrano nei criteri di trasparenza e tracciabilità, che sono cardini del moderno diritto della sicurezza cibernetica. Le linee guida, richiedendo che i log siano conservati in modo sicuro e analizzati per rilevare anomalie, non solo si conformano alle best practices tecniche, ma rispondono a un’esigenza giuridica di accountability e di capacità reattiva. La mancanza di tali misure potrebbe costituire una violazione del dovere di diligenza professionale e, in taluni casi, un’infrazione diretta delle normative sulla sicurezza dei dati. In definitiva, la protezione dei dati in transito non si riduce a un’operazione tecnica: è una traduzione concreta e operativa di obblighi giuridici complessi, radicati nei principi di tutela della privacy, sicurezza delle comunicazioni e difesa degli interessi collettivi.

Arminizzazione di norme nazionali e Ue

L’adozione del Perimetro di Sicurezza Nazionale Cibernetica (PSNC) e la recezione della Direttiva NIS2 delineano quindi un quadro normativo complesso all’interno del quale si inscrivono le Linee guida dell’ACN. Il PSNC, istituito con il Decreto-Legge 21 settembre 2019, n. 105, mira a proteggere le infrastrutture critiche nazionali attraverso misure specifiche per i soggetti inclusi nel perimetro. La Direttiva NIS2, invece, estende l’ambito di applicazione a un numero maggiore di settori e introduce requisiti più stringenti per gli operatori di servizi essenziali e fornitori di servizi digitali.

Questa sovrapposizione normativa impone una riflessione sulla necessità di armonizzare le disposizioni nazionali con quelle europee, evitando duplicazioni o conflitti normativi. In particolare, è fondamentale garantire che gli obblighi imposti ai soggetti inclusi nel PSNC siano coerenti con quelli previsti dalla Direttiva NIS2, al fine di assicurare un livello uniforme di sicurezza cibernetica e facilitare la conformità da parte degli operatori.

Il ruolo delle Autorità competenti

Un ulteriore elemento di complessità riguarda il ruolo delle autorità competenti. L’Agenzia per la Cybersicurezza Nazionale (ACN) svolge un ruolo centrale nell’attuazione del PSNC, fungendo da autorità di riferimento per la sicurezza cibernetica in Italia. Tuttavia, la Direttiva NIS2 richiede agli Stati membri di designare o istituire una o più autorità competenti per la supervisione dell’applicazione delle misure previste. È quindi essenziale definire chiaramente le competenze e le responsabilità delle diverse autorità coinvolte, evitando sovrapposizioni e garantendo un coordinamento efficace.

L‘interazione tra il PSNC e la Direttiva NIS2

Infine, l’interazione tra il PSNC e la Direttiva NIS2 apre questioni relative alla protezione dei dati personali e alla tutela della privacy. Entrambi i quadri normativi impongono obblighi di notifica degli incidenti e di condivisione delle informazioni, che devono essere bilanciati con il rispetto delle normative sulla protezione dei dati, come il Regolamento (UE) 2016/679 (GDPR). È pertanto necessario assicurare che le misure adottate per la sicurezza cibernetica non compromettano i diritti fondamentali dei cittadini, garantendo un equilibrio tra sicurezza e libertà individuali.

Gestione del rischio e interesse collettivo

La gestione del rischio non è un obbligo astratto, bensì un esercizio concreto di responsabilità. Gli operatori devono identificare e mitigare le minacce non solo a tutela della propria attività, ma anche in nome di un interesse collettivo. È qui che emerge la tensione tra gli imperativi pubblici e le dinamiche aziendali: l’implementazione di sistemi di sicurezza avanzati richiede risorse significative e una competenza tecnica spesso non alla portata delle piccole imprese. Nonostante ciò, la sicurezza informatica non può essere relegata al rango di voce di bilancio sacrificabile, poiché essa condiziona direttamente la continuità del sistema economico e sociale.

L’obbligo di notificare gli incidenti con impatto significativo

Altrettanto rilevante è l’obbligo di notificare gli incidenti con impatto significativo. Questo adempimento non è neutro, ma porta con sé delicate implicazioni per la trasparenza e la reputazione dell’operatore, sollevando il dilemma tra l’esigenza di tempestività e il timore di ripercussioni economiche o reputazionali. Inoltre, la notifica si traduce in una cooperazione necessaria con le autorità pubbliche, in una logica di sistema che, pur essendo centrale nella normativa, rimane spesso difficilmente realizzabile per carenze organizzative o frammentazione istituzionale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

N
Francesca Niola
Fellow – ISLC, Università degli Studi di Milano
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • innovazione

    L'avanzata dell'IA generativa nel settore bancario e assicurativo italiano: a che punto siamo

    21 Mag 2024

    di Paolo La Torre

    Condividi

  • innovazione

    L’avvento dell’AI nel marketing: le tendenze che cambiano tutto

    08 Apr 2024

    di Federico Giannini

    Condividi

  • Dossieraggi

    Banche dati violate: bene le misure ACN ma il problema è nelle PA

    29 Nov 2024

    di Claudio Telmon

    Condividi

Prossimo

L'avanzata dell'IA generativa nel settore bancario e assicurativo italiano: a che punto siamo

Articolo 1 di 4