Cybersecurity europea, come cambia e si rafforza con la costituzione della Joint Cyber Unit. Le 3 novità

Rispetto al passato, di cui costituisce evoluzione, il piano europeo per la cybersecurity presenta però novità importanti, precipitato delle recenti evoluzioni, regolatorie e dei mercati: ecco tre esempi.

Oggi la Commissione europea ha annunciato il piano per la costituzione di una Joint Cyber Unit (JCU), che sarà costituita nel 2022 e sarà pienamente operativa nel giugno 2023. Si tratta di un ulteriore passo di una più ampia e completa strategia europea per la cybersecurity, attuata non solo dalle istituzioni UE ma anche dall’apposita agenzia europea per la cybersecurity (ENISA), che alla JCU offrirà supporto. La Joint Cyber Unit sarà piattaforma fisica e virtuale di cooperazione, finanziata dalla Commissione.

La Joint Cyber Unit pienamente operativa nel 2023

L’azione europea sulla cybersecurity è stata tardiva (la strategia complessiva è del 2020 e l’ha adottata l’attuale Commissione, la proposta di una JCU risale al 2019); è tempo di recuperare. Lo fanno gli Stati membri, e l’Italia è un benchmark, con le norme in evoluzione sul perimetro di sicurezza cibernetica e la costituenda Agenzia nazionale. Lo fa la Commissione, con una raccomandazione, atto solo formalmente non vincolante gli Stati membri, che individua forme specifiche di coordinamento. Le quali non seguono i percorsi classici della legislazione europea, direttive (all’epoca) o regolamenti (oggi): i tempi legislativi (18-24 mesi) sono necessari per garantire il contemperamento degli interessi dell’Unione, degli Stati e dei popoli (rappresentati da Commissione, Consiglio UE e Parlamento UE, rispettivamente) ma sono poco compatibili con le necessità operative di intervento rapido. E quindi: ‘circolo regolatorio’. Dai mercati nascono le best practices che le autorità trasformano in benchmark che diventano regole. Da qui nasce l’esigenza dell’agenzia nazionale per la cybersecurity, e si giustifica il coordinamento europeo. Per il quale esistono già le norme e le competenze; esecutive appunto.

Non si tratta di inventare ma di replicare, in parte, modelli esistenti che si sono rivelati efficaci: il sistema di allarme rapido realizzato con l’agenzia europea per la sicurezza alimentare costituita a seguito di un’altra pandemia (‘mucca pazza’) ha evitato molte altre crisi, anche più pericolose. Modello che potrebbe replicarsi anche per la sanità (i poteri, la Commissione li ha). E ancora: esiste un esercito europeo, in nuce, e un coordinamento europeo di quelli nazionali. Esiste e si è sviluppata sul piano legislativo ma anche giurisprudenziale una competenza unionale e un coordinamento nelle materie della giustizia e degli affari interni. Insomma, competenze dell’Unione che vengono esercitate con ‘convinzione progressiva’, e che portano a una ‘regolazione a cooperazione rafforzata’, forma esecutiva di quella prevista dai Trattati europei che ha consentito il superamento del metodo intergovernativo.

Il piano europeo per la cybersecurity: le tre novità

Rispetto al passato, di cui costituisce evoluzione, il piano europeo per la cybersecurity presenta però novità importanti, precipitato delle recenti evoluzioni, regolatorie e dei mercati. Tre esempi, tra tutti. Il primo: la piattaforma di coordinamento delle risposte e di condivisione delle risorse è aperta a polizia anticrimine, agenzie informatiche, strutture diplomatiche, servizi militari, società di sicurezza informatica. E impone, di fatto, un coordinamento analogo anche agli Stati membri: non solo dunque tra strutture pubbliche ma anche private. Regolazione pubblica e privata come vasi comunicanti, dove la prima interviene quando la seconda non è adeguata: sussidiarietà regolatoria, applicata.

Il secondo esempio concerne il sistema di allarme rapido, che non consente solo – come nelle esperienze passate – un intervento di Stati e autorità per limitare il perimetro (del contagio, o dell’attacco) ed evitarne la propagazione, ma prevede un aiuto concreto, immediato e specifico da parte degli Stati (e delle autorità) non destinatarie degli attacchi a sostegno di chi deve combatterli. Quasi un sistema di ‘legittima difesa collettiva’ in reazione all’uso della forza (art. 51, Carta delle nazioni Unite). Il cambio di paradigma è evidente, come chiare sono le conseguenze. Entità e dislocazione delle difese sono essenziali sia per reagire nell’immediato agli attacchi, sia per prevenirli, con rapporti regolari sulle minacce, piani di emergenza, accordi di condivisione delle informazioni tra le autorità, e tra queste e le società private di sicurezza informatica.

E veniamo così al terzo esempio della novità dell’intervento: il piano di azione comune europeo si fonda su cooperazione tra autorità nazionali ed europee, e tra autorità nazionali: cooperazione verticale e orizzontale. La prima, ampiamente sperimentata, e con successo, nella regolazione europea degli ultimi venti anni. La seconda, poco praticata, in Italia, dove i protocolli di coordinamento tra Autorità sono generali (e a volte generici) e privi di strutture e modalità applicative adeguate.

E’ auspicabile ora che la trasversalità del tema (il digitale non è più un ‘silos verticale’ ma il sostegno su cui si fondano tutti i verticali e la cybersecurity è a sua volta uno dei pilastri dell’evoluzione digitale) acceleri questo processo di coordinamento. La ‘matrice regolatoria’ non esiste più e i silos si avvicinano o si separano a seconda dell’evoluzione delle tecnologie, e nei vuoti s’inserisce il mercato, che cresce così non regolato. Progressività (e proporzionalità) degli interventi in materia di cybersicurezza e cooperazione regolatoria rafforzata dovrebbero consentire di superare la retorica del ‘too big to care’. Siamo solo ai primi passi, ma decisi.

L’autore: Fabio Bassan, professore ordinario di Diritto Internazionale all’Università Roma Tre

Professore Ordinario di Diritto Internazionale presso l’Università Roma Tre – Dipartimento di Economia Aziendale, dove insegna Diritto Internazionale dell’Economia, Diritto dell’Unione European, European Competition Law (in lingua inglese) e European Banking and Financial Law (in lingua inglese). Seeweb Promo Dal 2016 è Conciliatore presso l’ICSID, il Tribunale presso la Banca Mondiale per la soluzione delle controversie tra Stati e investitori. Fondatore e Direttore del Sovereign Wealth Funds Law Centre, centro di studi giuridici sui fondi sovrani costituito nel 2011. Relatore in convegni di rilevanza nazionale e internazionale, ha partecipato e partecipa a progetti di ricerca nazionali e internazionali. Direttore del REMEIC, Centro Studi su regole dei Mercati, Imprese e Consumatori, dedicato negli ultimi anni a studi su algortmi e smart contracts. Attualmente partecipa a un progetto PRIN su Intelligenza Artificiale. Collabora da anni con ConsumersForum, organizzando tavoli istituzionali tra l’Università di Roma Tre, le principali Associazioni dei consumatori e le Autorità indipendenti e svolgendo ricerche annuali di rilevanza nazionale sull’attività della soluzione alternativa delle controversie e delle Autorità indipendenti (le ultime: ‘Il potere delle nuove tecnologie e il ruolo delle Autorità di regolazione’ (2019); ‘Il cittadino nell’era dell’algoritmo’ (2018); ‘I consumatori nella social economy, tra big data e fake news’ (2017). E’ membro del collegio docenti del Dottorato di Ricerca in Mercati, Impresa e Consumatori presso l’Università Roma Tre. Dirige, presso la stessa Università, il Laboratorio sul Product Placement, e partecipa all’Osservatorio sul Product Placement dell’Autorità per le Comunicazioni. E’ stato Vice Direttore e poi Direttore Vicario del Dipartimento di Economia Aziendale presso l’Università Roma Tre (2013-2016), nonché coordinatore del Master in Energia e Ambiente, nel collegio docenti del Master in Globalizzazione dei mercati e tutela del consumatore, e del Master in Esperti in Finanziamenti Europei. E’ stato Visiting Professor nel 2013 presso l’Università di Barcellona e nel 2008 presso l’Università di Brasilia (UNB), nonché Visiting Scholar presso la Georgetown University nel 1996. Sempre nel 1996 ha svolto un’Internship presso la Federal Communications Commission (FCC) a Washington. Autore di monografie articoli specialistici, tra gli altri, in materia di Finanza, Fondi Sovrani, Arbitrati, Algoritmi e Smart Contracts

Related Posts

Ultime news