CyberSecurity

CyberSecurity

Onorevoli Colleghi! - L’evoluzione, tanto quantitativa quanto qualitativa, dei servizi pubblici e privati che sfruttano sistemi informatici ha subito un’accelerazione maggiore negli ultimi anni rispetto al decennio precedente. La maggior parte dei servizi è nata da un lato con lo scopo di migliorare l’efficienza interna delle amministrazioni, dall’altro proporre nuovi strumenti per una comunicazione diretta con i cittadini. Il progetto “Normattiva” rappresenta un perfetto esempio di strumento funzionale per le Istituzioni coinvolte nel processo legislativo e strumento di controllo diretto a disposizione del cittadino.

Alla luce dell’aumento significativo delle minacce e degli incidenti informatici che hanno colpito null’ultimo anno il Paese, l’esigenza di un testo che affronti il tema della sicurezza informatica appare oggi più che mai importante, Secondo il Rapporto CLUSIT 2016 la maggior parte degli attacchi informatici condotti in Italia nell’ultimo anno sono stati ai danni di Pubbliche Amministrazioni o a servizi ad esse direttamente collegati. Ulteriore importante richiamo viene dal CIS dell’Università La Sapienza, che con il Security Report 2015 ha delineato un quadro sullo stato dell’arte della sicurezza informatica del Paese, richiamando l’attenzione su un sostanziale disequilibrio tra l’altissima efficacia degli attacchi informatici condotti ed i limitati strumenti – in particolare normativi, economici ed organizzativi, più che tecnologici - a disposizione degli attaccanti.

L’interesse per le tematiche della sicurezza informatica in ambito internazionale è oggetto di attenzioni dalla comunità internazionale già dalla fine degli anni Novanta. In particolare nel 1999 lo United States Naval War College organizzò la prima conferenza legale per affrontare il tema. Tuttavia, in seguito agli eventi del 11 settembre 2001, le operazioni contro le forme di terrorismo transnazionale polarizzarono l’attenzione, questo fino alle campagne di attacchi informatici subiti dall’Estonia nel 2007 e dalla Georgia nel 2008. Proprio in seguito a questi eventi, numerosi Paesi, in particolare gli alleati NATO e più in generale quelli dotati di infrastrutture e servizi pubblici legati alle reti informatiche, hanno affrontato la materia della sicurezza, andando a definire ed adottare individualmente delle strategie. Primi esempi ne sono stati gli Stati Uniti (con la “Strategy for Operating in Cyberspace” del 2011), il Regno Unito (con “The UK Cyber Security Strategy”), la Federazione Russa (“Conceptual Views Regarding the Activities of the Armed Forces of the Russian Federation in Information Space”). Nel 2012 presso il NATO Cooperative Cyber Defense Center of Excellence (CCDCOE) ha operato il Gruppo Internazionale di Esperti che ha prodotto il “Tallin Manual on the international law applicable to cyber warfare”, unico elemento di riferimento di dottrina in materia di principi di diritto internazionale. L’Italia ha efficacemente affrontato il tema nel 2013 con l’adozione del DPCM 24 gennaio 2013 ed i successivi “Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico” e “Piano Nazionale per la protezione cibernetica e la sicurezza informatica”, che delineano operativamente e tecnicamente gli attori e le funzioni del comparto della sicurezza nazionale. Tuttavia nell’ordinamento nazionale si avverte la mancanza di un riferimento chiaro di ciò che viene definito come “attacco informatico” e soprattutto di una discriminazione tra l’importanza che rivestono per la vita del Paese i servizi offerti dalle Pubbliche Amministrazioni rispetto a quelli esclusivamente privati.

Pertanto l’obiettivo della proposta è duplice: garantire ai servizi informatici delle Pubbliche Amministrazioni un riconoscimento che li distingui, ai fini della vita del Paese, da qualsiasi altro servizio di natura privata, così che tale riconoscimento possa essere il riferimento normativo su cui basare, in caso di attacco, adeguate misure di risposta nei confronti del soggetto implicato. Obiettivo secondario, ma inevitabilmente correlato, è l’offrire una definizione certa, giuridicamente e tecnicamente rilevante, di attacco informatico, che sia al tempo stesso in linea con i moderni principi del diritto internazionale ed adatta alle esigenze nazionali.

L'articolo 1 definisce l’ambito di applicazione del testo proposto. In particolare, considerati i numerosi termini presenti nella normativa italiana che fanno riferimento a vario titolo a “sistemi informatici”, “sistemi telematici”, “comunicazioni telematiche”, “documento informatico”, “spazio cibernetico” (solo per citarne una piccola parte), si è ritenuto opportuno affrontare il tema dell’ambito tecnico di applicazione della norma proposta con un approccio che fosse incentrato principalmente sul concetto giuridico di “comunicazione” piuttosto che avventurarsi in definizioni giuridiche di strumenti tecnologici. L’unico riferimento, necessario, consiste nell’espressione “strumenti telematici”, riportato così come definito nella stessa norma del 2000 a riferimento.

L'articolo 2 intende riconoscere e di conseguenza recepire nell’ordinamento nazionale uno dei principi cardine del diritto internazionale applicati alle “Cyber Operations”, così come affrontato nel testo “Tallin Manual”. Il testo rappresenta il primo punto di riferimento per la dottrina del diritto internazionale e sebbene non rappresenti un vincolo di alcun genere, è da osservare come sia stato fonte per gli interventi normativi in materia di numerosi Paesi dell’Alleanza atlantica. 

L'articolo 3, richiamando la definizione di attacco informatico indicata nell’articolo precedente, intende disciplinare il principio dell’autodifesa nei confronti di eventuali soggetti statuali attori dell’azione di attacco informatico. In aggiunta a ciò, è intendimento della norma permettere, come risposta ad un comprovato attacco informatico, una risposta i cui effetti non siano esclusivamente vincolati alla dimensione virtuale circoscritta nello spazio cibernetico. In particolare, con il comma 1, si introduce de facto un riconoscimento dei servizi di comunicazione istituzionale delle pubbliche amministrazioni quali estensioni della territorialità nazionale all’interno dello spazio cibernetico, questo avviene in quanto, come già previsto per la territorialità fisica, in caso di aggressione si riconosce il principio dell’autodifesa. Con il comma 2, alla luce dei principi del diritto internazionale, la norma si pone l’obiettivo di non limitare un’eventuale risposta ad aggressione subita attraverso attacco informatico al solo ricorrere a strumenti circoscritti allo spazio cibernetico.

 

Art. 1 – Ambito di applicazione

 La presente legge si applica all’attività di informazione e comunicazione istituzionale delle pubbliche amministrazioni, così come definite dall’art. 1 della legge 7 giugno 2000, n 150, effettuata tramite strumenti telematici e finalizzata a:

a)      illustrare e favorire la conoscenza delle disposizioni normative, al fine di facilitarne l'applicazione;

b)      illustrare le attività delle istituzioni e il loro funzionamento;

c)      favorire l'accesso ai servizi pubblici, promuovendone la conoscenza;

d)      promuovere conoscenze allargate e approfondite su temi di rilevante interesse pubblico e sociale;

e)      favorire la conoscenza dell'avvio e del percorso dei procedimenti amministrativi;

f)       promuovere l'immagine delle amministrazioni, nonché quella dell'Italia, in Europa e nel mondo, conferendo conoscenza e visibilità ad eventi d'importanza locale, regionale, nazionale ed internazionale.



Art 2 – Attacco informatico

Ai fini della presente legge, si intende per attacco informatico qualsiasi operazione realizzata per mezzo di strumenti telematici, sia essa di natura offensiva o difensiva, che sia ragionevolmente riconducibile ad effetti diretti di ferimenti o morte di persone, danneggiamenti o distruzione di oggetti materiali ed alterazione arbitraria di informazioni e oggetti immateriali.

 

Art. 3 – Azioni di difesa

In presenza di un attacco informatico, così come definito nell’art. 2, finalizzato o idoneo a interrompere, esfiltrare, disturbare o alterare l’attività di informazione e comunicazione istituzionale delle pubbliche amministrazioni, così come definita nell’art. 1 e ragionevolmente riconducibile ad un soggetto di natura statuale, si riconosce il principio di autodifesa ai sensi dei principi del diritto internazionale.

L’Italia riconosce l’applicazione del principio di autodifesa di cui al precedente comma 1, anche attraverso strumenti i cui effetti non siano circoscritti al solo spazio cibernetico.

Sono fatte salve le disposizioni di natura penale applicabili agli autori dell’attacco informatico ed ai soggetti comunque coinvolti nel medesimo.

Share: