Sono davvero molteplici e impegnative le sfide che l’“impresa 4.0”, nell’economia globalizzata e a fronte del moderno sviluppo digitale, è chiamata ad affrontare: non può, infatti, limitarsi a svolgere il ruolo di fruitore passivo delle norme giuridiche, essendo coinvolta in prima persona nella prevenzione, nell’emersione, nel contenimento degli effetti di attacchi cyber.
Un operatore economico chiamato, dunque, alla predisposizione di misure adeguate al livello di rischio concreto posto dallo svolgimento delle relative attività, ed a rendere possibile e agevolare l’esercizio delle funzioni pubbliche di controllo e accertamento degli illeciti.
I numeri della cybercriminalità
Del resto, come vedremo, il tema del rapporto tra cyber security e attività d’impresa è sempre più significativo e questa relazione, tra sicurezza cibernetica e organizzazione d’impresa, è oggi centrale, andando di pari passo lo sviluppo delle tecnologie digitali e il loro impiego non solo per finalità di crescita e sviluppo economico, bensì anche criminali. Al tempo stesso, proprio l’utilizzo ormai essenziale degli strumenti informatici nella gestione delle attività imprenditoriali rende gli attori del mercato particolarmente vulnerabili ed esposti ad attacchi cyber, come testimoniato dai dati elaborati anche a livello internazionale.
Ed invero, secondo quanto stimato nell’ambito dello IOCTA (Internet Organized Crime Threat Assessment) – predisposto annualmente dallo European Cyber Center (EC3), il quale opera all’interno di Europol – solo nel 2017 gli attacchi WannaCry e Notpetya, consistenti nella diffusione di un ransomware, hanno colpito 300.000 utenti nel mondo, in oltre 150 Paesi, con danni economici intorno ai 4 miliardi di dollari.
Analoga tendenza è individuata dal World Economic Forum che, nel suo Global Risk Report del 2019, ha classificato gli attacchi informatici tra i primi cinque rischi a livello globale.
La stretta connessione tra sicurezza informatica e protezione dei dati personali
Sono dati, quelli a cui ho appena fatto riferimento, di per sé indicativi dell’esigenza di un approccio efficace, innovativo ed integrato al problema del contrasto della criminalità cibernetica, fondato sul coinvolgimento attivo delle imprese e sulla proficua collaborazione tra i settori pubblico e privato; un approccio bene espresso attraverso l’iniziativa odierna.
Non è difatti più possibile fare a meno di un’integrazione di competenze – tecnico-scientifiche, giuridiche, economiche – tale da assicurare lo sviluppo di adeguati sistemi di sicurezza informatica, anche a tutela della riservatezza dei dati dei soggetti a vario titolo coinvolti, e della predisposizione di meccanismi di prevenzione, contenimento, gestione del rischio di attacchi cyber.
Si tratta, peraltro, di una tendenza che ha cominciato a svilupparsi nell’ultimo ventennio, e che ha visto la delineazione in ambito aziendale di nuovi sistemi di controlli di sicurezza, favorita dalla condivisione di buone pratiche.
Dal punto di vista del giurista – ed in particolare del penalista – l’attenzione si concentra quindi sull’individuazione di efficaci modalità di tutela nei confronti di attività illecite idonee a mettere a repentaglio la riservatezza delle informazioni conservate dagli attori economici e a cagionare a questi ultimi consistenti danni patrimoniali. Sicurezza informatica e protezione dei dati personali sono, invero, profili strettamente connessi, essendo il cybercrime frequentemente preordinato a carpire informazioni riservate, al fine di farne un uso illecito.
L’esigenza di una regolamentazione uniforme e sovranazionale
L’esigenza di una regolamentazione uniforme della materia in ambito sovranazionale è posta a fondamento dell’adozione di atti normativi nell’ambito dell’Unione europea, e in particolare della cosiddetta Direttiva NIS – Direttiva (UE) 2016/1148 – tesa a definire le misure necessarie a conseguire un elevato livello di sicurezza delle reti e dei sistemi informativi – e del GDPR – Regolamento UE 2016/679 – relativo alla protezione del trattamento e della libera circolazione dei dati personali. Come è noto, il nostro Paese ha provveduto all’adeguamento dell’assetto normativo vigente alle disposizioni così adottate, rispettivamente mediante il d.lgs. 18 maggio 2018, n. 65, e il d.lgs. 10 agosto 2018, n. 101.
Entrambe le sfere di disciplina considerate attribuiscono ai soggetti privati, operanti sul mercato, un ruolo centrale nella lotta agli attacchi informatici e nella protezione della riservatezza dei dati personali dagli stessi trattati. Si pensi, a quest’ultimo proposito, all’imponente mole di informazioni di dipendenti, agenti, soci, fornitori, di cui le società sono in possesso, e rispetto a cui esse assumono il ruolo di responsabili o titolari del trattamento.
Nuovi obblighi di organizzazione e controllo per le imprese
Con impostazione analoga a quella sperimentata per il contrasto ad altre forme di criminalità, quali il riciclaggio o la corruzione, alla predisposizione di nuove fattispecie di reato, o alla modifica di quelle già esistenti, si unisce – può dirsi in via preponderante – l’imposizione alle imprese di nuovi obblighi di organizzazione e controllo, nonché di notifica alle autorità competenti.
Tali previsioni si propongono quindi di operare una responsabilizzazione e sensibilizzazione dei soggetti privati interessati, favorendo la diffusione di una cultura della cyber security in grado di sviluppare sinergie virtuose con le funzioni proprie dei pubblici poteri, e di implementare un’efficace circolazione delle informazioni. Il tutto, naturalmente, nella prospettiva del raggiungimento di un livello di contenimento e gestione del rischio che possa ritenersi accettabile in un contesto di economia globalizzata, caratterizzata dalle implicazioni dello sviluppo tecnologico a cui ho già fatto riferimento.
In questa direzione vanno in primo luogo le norme di attuazione della Direttiva NIS, applicabile agli operatori di servizi essenziali e ai fornitori di servizi digitali. Si segnala, tuttavia, la mancata inclusione tra questi ultimi delle “piccole” e “micro” imprese, quale definite dalla normativa europea.
I fornitori di tali servizi sono chiamati a predisporre misure tecniche e organizzative idonee non solo a prevenire, bensì anche a gestire il rischio di attacchi cyber, minimizzandone altresì le conseguenze.
Circolazione informativa, scambio e sviluppo di best practice
Nel medesimo senso, un rilievo centrale assume il sistema di notifica della violazione predisposto dalle disposizioni in considerazione, e che prevede la comunicazione tempestiva dell’incidente avente un impatto rilevante sulla continuità e sulla fornitura del servizio.
È significativo, sul punto, che la notifica stessa sia diretta non solo alle autorità pubbliche competenti in ambito NIS, bensì anche al CSIRT (Computer Security Incident Response Team), costituito in Italia presso la Presidenza del Consiglio dei Ministri. La logica di partnership pubblico-privato, che ho richiamato, si coglie efficacemente nelle competenze proprie di tale organismo, coinvolto non solo nella predisposizione di procedure di prevenzione e controllo del rischio, ma altresì in un sistema di scambio informativo con gli operatori economici. Ed invero, a fronte della notifica da parte di questi ultimi dell’attacco di cui essi siano stati vittime, il CSIRT sarà chiamato a fornire informazioni per la migliore gestione dell’incidente cibernetico.
La consapevolezza della rilevanza di questo meccanismo di rapida trasmissione di notizie, e di immediato intervento garantito dal ruolo che in prima battuta il fornitore del servizio è chiamato a svolgere in caso di incidente, si esprime anche nella possibilità della segnalazione al CSIRT da un soggetto diverso rispetto ai destinatari della normativa, qualora l’aggressione abbia un impatto rilevante sulla qualità e sulla continuità dei servizi dallo stesso erogati.
La prospettiva di circolazione informativa, di scambio e sviluppo di best practice è valorizzata dalla normativa a cui ho fatto riferimento altresì in ambito sovranazionale, secondo quanto richiesto dal rilievo ormai transfrontaliero delle attività economiche e al contempo della diffusione e del trattamento dei dati, nonché della stessa criminalità informatica. In questa direzione vanno specialmente la previsione dell’informativa diretta dal CSIRT nazionale agli altri Stati membri che siano eventualmente stati vittime dell’attacco, nonché la configurazione di una rete di organismi dei diversi Paesi appartenenti all’Unione europea, nel cui ambito realizzare una proficua forma di cooperazione nell’esercizio delle rispettive competenze. Si pensi peraltro, in Italia, alle attribuzioni del Dipartimento Informazioni per la Sicurezza, quale punto di contatto unico NIS, in termini di agevolazione di efficaci contatti tra le autorità pubbliche competenti, il Gruppo di cooperazione presso la Commissione europea e la rete CSIRT dell’Unione.
Le tutele per i dati trattati oltre i confini Ue
Ancora, l’attribuzione alle imprese di obblighi in primo luogo organizzativi, in termini di prevenzione e contenimento del rischio cyber, si coglie nella normativa in materia di dati personali di cui al GDPR, anche quando il trattamento dei dati avvenga oltre i confini dell’Unione europea, purché il titolare o il responsabile del trattamento stesso siano stabiliti all’interno dell’Unione, ancora a testimonianza della dimensione ormai globale assunta dal fenomeno.
Torna il riferimento, anche in tale ambito, al necessario apprestamento da parte dei destinatari della normativa di adeguate misure di natura organizzativa e tecnica a tutela dell’integrità e della riservatezza dei dati. La normativa si incentra in proposito sulle nozioni di privacy by design e privacy by default, intendendosi con tali concetti essenzialmente la progettazione delle attività secondo modalità tali da assicurare l’osservanza di principi e garanzie a protezione della privacy, nonché il contenimento del trattamento stesso a quanto necessario al conseguimento delle finalità perseguite.
Il Regolamento valorizza inoltre particolarmente la predisposizione da parte dello stesso settore privato di buone pratiche e di linee guida, prevedendo che la conformità del trattamento alla normativa vigente possa essere fornita mediante l’adesione a codici di condotta elaborati dalle associazioni di categoria, oltre che attraverso il conseguimento di certificazioni in materia di protezione dei dati.
La funzione del Data Protection Officer
Alla luce delle disposizioni appena considerate, gli attori economici sono chiamati ad operare forme autonome di valutazione del rischio in concreto e di predisposizione di accorgimenti organizzativi estesi a tutte le fasi dei processi di gestione delle informazioni riservate, oltre che, eventualmente, di valutazione della reale efficacia delle misure adottate. A tanto si unisce la predisposizione di un organo di controllo ulteriore rispetto ai molti già operanti in ambito societario, e rappresentato dal Data Protection Officer, chiamato tra l’altro a svolgere un’importante funzione di sensibilizzazione dei soggetti direttamente coinvolti nell’esercizio delle attività a rischio, mediante l’opera di formazione del personale, e inoltre di contatto e di scambio con l’autorità di controllo.
A tale riguardo, si può inoltre fare riferimento alla forma di cooperazione costituita dal meccanismo di consultazione preventiva del Garante per la protezione dei dati personali, previsto nell’ipotesi in cui si ritenga che il trattamento implichi rischi elevati in termini di tutela delle informazioni riservate, e che si aggiunge all’obbligo di notifica dell’eventuale violazione all’autorità di controllo.
Non sfugge la parziale analogia con le soluzioni sperimentate in altri settori dell’ordinamento, come la disciplina della responsabilità “da reato” degli enti, nel cui ambito sono state sperimentati modelli fondati sull’autonoma predisposizione da parte delle persone giuridiche di regole in senso ampio cautelari e sull’esercizio di efficaci controlli interni, nonché sulla valorizzazione di prassi virtuose e di atti di soft law, provenienti dalle associazioni di categoria.
Tali sintetici riferimenti rendono evidente come, nello scenario giuridico ed economico attuale, che in misura crescente deve confrontarsi con l’evoluzione scientifica e tecnologica, le imprese siano titolari di obblighi di natura complessa e pervasiva, essendo coinvolte direttamente nella prevenzione delle nuove forme di criminalità e nella protezione degli interessi esposti a pericolo.
Accesso alla digital evidence: l’importanza della cooperazione
Si tratta di un ruolo che arriva ad esprimersi, secondo le più recenti direttrici della cooperazione internazionale in materia penale, nell’ambito delle attività di indagine e di ricerca della prova, in particolare quando si tratti di accedere alla digital evidence.
Ed invero, forme di cooperazione diretta tra autorità pubblica dello Stato procedente e service provider stabilito in altro Paese, finora inedite, sono contemplate in proposte normative recenti elaborate nell’ambito dell’Unione europea e del Consiglio d’Europa. Penso, specificamente, alle recenti proposte di Regolamento e di Direttiva della Commissione europea in materia di ordini europei di produzione e di conservazione di dati digitali, diretti al soggetto straniero – o meglio al suo rappresentante designato all’interno dell’Unione – il quale presti un servizio che abbia quale componente la conservazione di dati in forma elettronica. Tali provvedimenti sarebbero destinati ad essere eseguiti in assenza di intermediazione dell’autorità pubblica del Paese di riferimento, coerentemente con le esigenze di speditezza ed efficacia delle indagini informatiche.
Una disciplina analoga è quella oggetto della proposta di un secondo protocollo addizionale alla Convenzione di Budapest sulla criminalità informatica del 2001. Questo si propone l’estensione in ambito transfrontaliero di forme di collaborazione diretta del privato prestatore di servizi già previste entro i confini della giurisdizione dello Stato procedente, come testimoniato dall’art. 254-bis del codice di procedura italiano in materia di sequestro probatorio.
Si tratta di strumenti di cooperazione che riflettono le nuove esigenze legate alla ricerca e all’acquisizione di elementi di prova di per sé volatili e “dematerializzati”, e che necessitano di essere assicurati e protetti in tempi rapidi.
È in conclusione auspicabile che le imprese – e, in futuro, anche le realtà di minori dimensioni, considerata la loro centralità nel tessuto produttivo di Paesi come il nostro – si mostrino realmente attori di primo piano nel contrasto alla criminalità informatica, attraverso l’applicazione sinergica di competenze e discipline diverse, essenziale nella prospettiva di fronteggiare fenomeni complessi quale è il cybercrime.
