Sono state ufficialmente rese note il primo dicembre 2020 dal Consiglio dell’Unione Europea le indicazioni sulla crittografia, a seguito della proposta di risoluzione che era apparsa a fine novembre per la regolamentazione della violazione della crittografia End-to-end, tecnologia di sicurezza informatica di protezione dei dati, per consentire alle forze dell’ordine di eseguire intercettazioni legalmente autorizzate.
Ciò che emerge con forza dalla pubblicazione – quasi in risposta a una preoccupazione generalizzata e di fondo riguardo una possibile violazione della privacy – è l’intento del Consiglio di mantenere sempre intatto un equilibrio tra interessi pubblici e diritti fondamentali.
Se da un lato bisogna preservare la privacy di ogni tipo di comunicazione, dall’altro infatti è necessario che le indagini e le operazioni ad esse legate riescano a entrare nel mondo del digitale in maniera legittima e gli Stati Membri hanno un ruolo molto importante per far sì che questo equilibrio non venga stravolto.
Il Consiglio ha affermato di essere “determinato a bilanciare attentamente gli interessi nel proteggere la privacy, i diritti fondamentali e la sicurezza delle comunicazioni attraverso la crittografia”, ma allo stesso tempo sostiene l’accesso legale per scopi di giustizia penale.
Le indicazioni del Consiglio
Vediamo i punti esposti dal Presidente nell’allegato che è stato pubblicato e che tiene conto dei commenti scritti dalle delegazioni dopo il COSI del 19 novembre 2020.
Già nei primi punti viene ribadito fermamente che la crittografia continuerà ad essere sostenuta, essendo fondamentale per la sicurezza del mondo digitalizzato e dei diritti fondamentali, pertanto va promossa e sviluppata.
I sempre più frequenti attacchi cyber e i tanti strumenti creati dai criminali per commetterli ci mettono davanti ogni giorno al grande abuso che si fa delle nuove tecnologie e alla necessità crescente di combatterli per la salvaguardia della privacy delle comunicazioni e dei dati dei cittadini, in quell’equilibrio di cui abbiamo già parlato sopra.
Pertanto, le autorità competenti nel campo della sicurezza devono poter avere accesso in maniera legale e autorizzata ai dati necessari alla lotta al crimine e al terrorismo, attraverso ambiti fisici e digitali. A tale scopo verranno vagliate diverse opzioni e possibilità che rappresentino il giusto compromesso di legalità, sicurezza e equilibrio, unendo l’impegno di Stati membri, Commissione Europea e tutte le altre istituzioni e agenzie dell’Unione europea.
L’azione europea verso la crittografia dovrà essere coordinata e consistente per far sì che la protezione dei dati dei singoli cittadini non sia di ostacolo alla lotta al terrorismo, agli abusi sessuali e al crimine in generale, e viceversa.
Ovviamente il Consiglio ribadisce, come si legge nell’allegato, la volontà di proseguire nel proficuo scambio con realtà internazionali, come università, industrie e società civile, soprattutto con i fondatori dell’International Statement: End-to-End Encryption and Public Safety, ossia UK, USA, Australia, Nuova Zelanda, Canada, India e Giappone. Questo per avere un dialogo costante sul tema con i partner strategici.
Stati membri, industria tecnologica, società civile e università devono mettere insieme le forze per la crittografia e in particolare l’Innovation Hub dell’Unione Europea all’Europol, insieme al gruppo di ricerca e sviluppo nazionale, devono guidare la cooperazione all’interno dell’industria tecnologica, tra università e stakeholder degli Stati Membri. Tra questi ultimi, anche i provider di servizi del web e le piattaforme social, in modo da poter mettere in campo le loro competenze tecnologiche al livello successivo. L’avanzamento della tecnologia del sistema crittografico deve andare di pari passo con la ricerca di soluzioni per contrastare intrusioni e violazioni cybercriminali sempre più all’avanguardia.
Crittografia, necessaria una formazione di alto profilo
In questo quadro generale, non deve mancare una formazione di alto livello per gli operatori che si occupano di crittografia per elevare l’expertise, tale da contrastare l’ambiente criminale. Saranno quindi impiegate a questo scopo agenzie all’interno degli Stati membri che conoscano la materia dal punto di vista tecnologico e abilitati enti qualificati europei e/o degli Stati Membri a programmi di formazione standardizzati.
Saranno chiamati per la standardizzazione tecnica dei processi Istituti degli Stati membri, come: l’Internet Engineering Task Force (IETF), l’ITU Telecommunication Standardization Sector (ITU-T), l’European Telecommunications Standards Institute (ETSI), il 3rd Generation Partnership Project (3GPP).
Gli effetti che deriveranno dalle diverse strutture normative verranno revisionati per poter sviluppare una struttura normativa consistente che abbia le competenze necessarie a svolgere tutti i compiti. L’Unione Europea può influenzare il suo singolo mercato per assicurare che i produttori di device e i provider di servizi creino tecnologie adeguate ai bisogni degli Stati Membri e della crittografia.
L’allegato si conclude con l’invito per la Commissione di informare regolarmente sugli aggiornamenti della Risoluzione del Consiglio sulla crittografia.
Revisione della direttiva NIS
Il 15 dicembre prossimo verrà presentata la revisione esecutiva della Direttiva NIS dai Vicepresidenti di Commissione, Margrethe Vestager e Margaritis Schinas. Questo permetterà di adeguare una volta per tutte le leggi comunitarie con quelle degli Stati membri e nazionali. Abbiamo bisogno di regole sulla sicurezza cibernetica per le infrastrutture “critiche”. Bisogna garantire un alto livello di sicurezza delle reti, delle informazioni e della privacy.
Quindi la Direttiva Nis attuata nel nostro Paese attraverso il D.lgs 18 maggio 2018, n. 65 e consolidata con il Dpcm 313/2020 e nel disciplinare del “Perimetro nazionale di sicurezza cibernetica”, dovrà evolversi soprattutto nella compenetrazione tra Operatori di servizi essenziali (OSE) e i Fornitori di servizi digitali (FSD), facendo sì che non si confondano temi centrali anche della nostra vita.
Infatti, sembra che la UE abbia ormai ben chiaro che “il tema della sicurezza dei sistemi di cui si occupano queste norme non va confuso con gli obblighi in materia di privacy. La privacy mira in via “mediata” a proteggere la sicurezza dei sistemi quando si operano trattamenti di dati personali. La Direttiva Nis e le norme nazionali mirano invece a tutelare in via diretta la sicurezza e resilienza dei sistemi e ciò a prescindere che il trattamento riguardi o meno dati personali. Le due normative collimano ma il perno delle norme in materia di sicurezza cibernetica è stabilire un insieme di regole di condotta, monitoraggio, comunicazione e controllo”[1]
La sicurezza a partire dall’intero ciclo di vita del prodotto
In questo contesto, secondo quanto riferisce Euractiv, la Presidenza tedesca del Consiglio dell’Unione Europea, all’interno del Council Horizontal Working Party a tema cyber, ha affermato lo scorso 6 novembre che la sicurezza informatica e la privacy “dovrebbero essere garantite anche durante l’intero ciclo di vita di un prodotto e lungo la sua filiera” ed è per questo motivo che sta insistendo per nuovi standard di sicurezza informatica per i device. Come recita il documento che è stato diffuso tra gli altri paesi della UE, l’uso sempre maggiore dei dispositivi tecnologici connessi ad internet fa inevitabilmente emergere nuovi rischi per la gestione delle informazioni, privacy e cybersecurity, per cui sono proprio questi ultimi due aspetti che devono diventare requisiti essenziali nell’innovazione del prodotto e nei processi produttivi e di sviluppo, inclusa la fase di progettazione, quella che chiamiamo Security by Design, seguendo tutto il ciclo di vita del prodotto, anche nella stessa filiera.
La Presidenza tedesca dell’UE ha parlato di una “legislazione orizzontale a lungo termine per indirizzare tutti gli aspetti della sicurezza ICT dei dispositivi connessi, come disponibilità, integrità e riservatezza”, citando anche il Cybersecurity Act dell’UE adottato nel 2019, che includeva una previsione sull’istitituzione di una struttura di certificazione cybersecurity.
Lo scenario che abbiamo vissuto e stiamo ancora vivendo a causa della situazione sanitaria d’emergenza dovuta al Covid-19 ha incrementato inevitabilmente l’utilizzo di smartphone e dispositivi cyber, in particolare a causa del distanziamento sociale e la diffusione dello smart working.
Da un report recentemente pubblicato dall’agenzia di cybersicurezza europea ENISA è emerso che la resilienza della cybersecurity è stata portata al limite delle sue capacità come risultato della crisi sanitaria pubblica in corso: infatti, se lavorando da casa gli specialisti di cybersecurity hanno dovuto adattare soluzioni di difesa esistenti a un nuovo paradigma infrastrutturale, cercando di limitare l’esposizione ai vari nuovi attacchi, che prevedevano i dispositivi dei lavoratori come punti di accesso, allo stesso tempo è stato necessario implementare le soluzioni basate sui componenti già finora testati e ritenuti validi, come l’accesso remoto attraverso l’Internet pubblico, servizi cloud, servizi di streaming video non sicuri e dispositivi mobili e app.
- https://www.wired.it/internet/regole/2020/12/02/cybersecurity-perimetro-nazionale-direttiva-nis-obblighi/?refresh_ce= ↑
