Buone regole per migliorare la sicurezza collettiva
La prima regola della cyber-sicurezza è il rispetto delle norme, conviene ricordarlo. Questo riguarda gli utenti, le imprese e i vari soggetti pubblici coinvolti (autorità di regolamentazione, agenzie e forze di sicurezza) che hanno il compito, gravoso ma essenziale per il funzionamento del sistema democratico, di garantire il rispetto dei diritti, assicurando l’ordine pubblico e vigilando sulla sicurezza nazionale. È essenziale al riguardo disporre di un quadro giuridico elaborato con cura e aggiornato con tempestività. Ecco perché il cantiere normativo avviato dall’Unione europea rappresenta un’occasione straordinaria per consentire al nostro Paese di affinare al meglio il suo sistema. Il mosaico è composito: comprende il Regolamento privacy, direttamente applicabile a partire dal 25 maggio 2018, la direttiva Enforcement, da trasporre entro il 6 maggio 2018, oltre alla direttiva Nis, il cui termine di attuazione scadrà il 9 novembre 2018. Insomma, un periodo intenso quello che ci attende, nel quale potrebbe essere fin d’ora avviata (analogamente a quello che stanno facendo altri Paesi) la procedura legislativa per adottare le misure previste, che comprendono la messa a punto della governance con l’individuazione degli operatori di servizi essenziali, i ruoli e le responsabilità degli organismi pubblici e privati, compresa la cyber authority e i Csirt, ossia i gruppi di intervento per la sicurezza informatica in caso di incidente.
Per far sì che la battaglia contro i cyber-criminali sia combattuta ad armi pari potrebbe poi aggiungersi un altro elemento: la possibilità per le forze di polizia di utilizzare i cosiddetti strumenti di captazione elettronica, tema già ampiamente dibattuto nei mesi scorsi e tornato d’attualità in seguito al recente grave caso di hackeraggio scoperto a Roma dalla Polizia di Stato. Nel nostro Paese sono state finora solo le Sezioni unite della Cassazione nell’aprile 2016 ad autorizzare le forze dell’ordine a fare uso del virus Trojan per captare “conversazioni o comunicazioni tra presenti” in procedimenti “relativi a delitti di criminalità organizzata, anche terroristica” nonché “quelli comunque facenti capo a un’associazione per delinquere, con esclusione del mero concorso di persone nel reato”, indicando una strada che a questo punto potrebbe essere percorsa anche dal legislatore con uno specifico intervento normativo, così come avvenuto di recente negli Usa. In quel Paese è stato infatti modificato il codice di procedura (Rule 41) per consentire all’Fbi, a partire dal 1° dicembre 2016, di disporre di un mandato per “hackerare” a scopo investigativo un computer, ovunque questo si trovi, per fronteggiare i casi più gravi di criminalità informatica. Naturalmente, considerate le delicate implicazioni per la privacy e i diritti dei soggetti coinvolti, sarebbe necessario che un siffatto intervento normativo stabilisse rigide condizioni di ammissibilità e accurate modalità di gestione.