Infrastrutture critiche. Il giorno del cryptolocker nella rete informatica di Trenitalia/FSI, il deputato Enrico Borghi (PD) fa tesoro della proposta dell’avv. Stefano Mele ed annuncia: “Presto legge per reagire ad attacco cibernetico critico”. Ad oggi è possibile solo una “postura difensiva”.
Il ransomware che ha colpito la rete informatica di Trenitalia/Ferrovie dello Stato, quindi di un’infrastruttura critica dell’Italia, sul piano giuridico nel nostro Paese non può essere riconosciuto come minaccia alla sicurezza nazionale e il nostro Stato non può rispondere a questo o ad altri eventuali cyber attacchi che blocchino servizi e funzioni essenziali, qualora siano individuati gli attaccanti. Fondamentalmente, perché manca la definizione di ‘evento cibernetico critico’.
La proposta di legge annunciata da Borghi e PD: “Una legge per reagire a cyber attacchi ad infrastrutture critiche dell’Italia”
Così, dopo il cyber attacco ai sistemi informatici di Trenitalia/Ferrovie dello Stato, il deputato Enrico Borghi (PD), componente del Copasir, ha dichiarato all’Adnkronos che “È sempre più urgente assumere una postura differente come sistema-Paese, e non rimanere nella posizione di soggetto passivo che può limitarsi al più a difendersi”. “Come Partito Democratico”, ha annunciato, “abbiamo predisposto una proposta di legge sulla possibilità di rispondere agli attacchi cibernetici, che depositeremo nelle prossime ore”.
Riguardo alla proposta di legge, Borghi ha spiegato: “Al fine di rafforzare la posizione dell’Italia, siamo dell’idea di intervenire all’interno della normativa sul Perimento di Sicurezza Nazionale Cibernetica, al fine di classificare e ‘graduare’ in maniera differente questo genere di attacchi cibernetici – identificandoli come un ‘evento cibernetico critico’ – e di assicurare al Presidente del Consiglio dei ministri il potere di richiedere, ove ritenuto necessario, che venga attuata ogni misura proporzionata per il loro contrasto al fine di tutelare la sicurezza nazionale“.
Borghi ha fatto tesoro della proposta dell’avv. Stefano Mele lanciata nel suo intervento alla recente Conferenza internazionale CyberSec2022.
“Per evento cibernetico critico”, ha spiegato Mele, “ritengo si debba intendere un attacco informatico che blocchi l’erogazione di un servizio o funzione essenziale per gli interessi dello Stato”.
Quando il cyber attacco dovesse avvenire nei confronti di queste infrastrutture critiche dell’Italia, allora, continua Mele, “bisognerebbe che il presidente del Consiglio dei ministri avesse la possibilità di classificare questo incidente cyber come una minaccia per la sicurezza nazionale e di conseguenza poter reagire all’attacco cibernetico”. Questo è l’elemento di novità: l’Italia deve poter anche rispondere a un cyber attacco per un evento cibernetico classificato “critico”.
“L’articolo 5 del perimetro di sicurezza nazionale cibernetica”, ha sottolineato Stefano Mele, “prevede solo una postura difensiva. In Europa siamo rimasti, probabilmente, l’unico Stato ad avere, scritto nero su bianco, solo la postura difensiva”.
La proposta dell’avv. Stefano Mele
Secondo Mele, specializzato in cybersecurity law, si potrebbe aggiungere un comma 2 all’articolo 5 della normativa in materia di ‘perimento di sicurezza nazionale cibernetica: “per consentire al Presidente del Consiglio dei ministri, in presenza di un evento cibernetico critico, su deliberazione del Comitato interministeriale per la sicurezza della Repubblica, di disporre che lo stesso sia classificato come un pregiudizio per la sicurezza nazionale, disponendo anche, ove ritenuto necessario, che venga attuata ogni misura proporzionata per il suo contrasto al fine di tutelare la sicurezza nazionale”.