“La cybersecurity è un tema che si inserisce in una regolamentazione più ampia che riguarda la società digitale. In questo panel affrontiamo il tema della gestione delle vulnerabilità. Abbiamo un problema di over regulation a livello europeo?” Ha chiesto il moderatore del panel Antonio Iannuzzi dell’Università degli Studi Roma Tre.
“Dobbiamo avere una piena coscienza dell’importanza della cybersicurezza sotto diversi profili, da quelli tecnici a quelli normativi, ovviamente, ed è quantomeno importante per alzare i livelli di resilienza del paese.
Assistiamo a livello europeo a un’attenta attività di normazione sotto diversi aspetti che riguardano la cybersicurezza. Nel mondo digitale è necessaria la regolazione, perché si tratta di processi da poter regolare e controllare e soprattutto ormai non si può più immaginare di digitalizzare un Paese se non attraverso un concetto di sicurezza che deve partire dalla sicurezza by design, by default.
A livello nazionale, l’Agenzia per la cybersicurezza nazionale ha anche un compito specifico, quello di mantenere aggiornato il quadro normativo, anche attraverso un meccanismo di espressione di pareri obbligatori, ma non vincolanti, sulla normazione. Non solo, anche di fare in modo che i meccanismi sia del ricevimento sia dell’adeguamento possano assicurare una effettiva armonizzazione tra i diversi quadri regolatori. Pensiamo a livello nazionale alla NIS2 che ci consente un’armonizzazione rispetto alla normativa nazionale più stringente che abbiamo, che è quella sul perimetro di sicurezza nazionale cibernetica.
Dobbiamo occuparci di divulgazione coordinata delle vulnerabilità. Perché è la normativa che ce lo impone, con un’esigenza specifica. Tutti i software e tutti gli hardware presentano alla fine delle vulnerabilità che possono essere errori di progettazione o errori di configurazione, che poi è quello che gli attacanti sfruttano”, ha detto Gianluca Ignagni, Capo di Gabinetto, Agenzia per la Cybersicurezza Nazionale.
“Io non credo che dovremmo criminalizzare, quindi rendere penalmente rilevanti, ‘tutte’ le condotte di intrusione nei sistemi, perché sono atti criminali in toto, come dice anche la NIS2, che li cataloga come atti malevoli. Da giurista dovrei dire il contrario, ma ho capito che in realtà il sistema cyber regge ed è performante se viene hackerato, attraverso l’hackeraggio etico.
Un sistema tu lo tieni e lo misuri se lo sfidi. Ma se fai questo e poi sei penalmente perseguibile in base a tutti i nuovi reati che sono stati definiti nel tempo e allora dobbiamo fare delle scelte e prendere delle decisioni chiare sul percorso che vogliamo fare in questo settore.
Perché criminalizzare il ragazzo che si vuole misurare nella ricerca di vulnerabilità, senza arrivare fino in fondo, cioè senza creare danni o incidenti? Il sistema va sfidato per tenerlo su. Serve una scelta equilibrata, che non porti all’esasperazione della cybersecurity.
Un altro problema da considerare è una mancanza che è insita nella NIS2, cioè la regolamentazione dell’attività dei privati, non delle istituzioni. Pensando a determinate categorie di ricercatori e studiosi, forse dobbiamo cominciare ad attenzionare i privati e in qualche maniera, in casi specifici, alleggerire la responsabilità penale. La Francia con la sua agenzia nazionale di sicurezza prevede la possibilità di attività di hacker etico, quindi il ricercatori che sfida il sistema, senza arrivare fino in ondo, quindi senza creare danni. È un sistema giuridico diverso, ma io credo si debba anche qui iniziare a ragionare in questi termini”, ha affermato Donatella Curtotti, Membro dell’Osservatorio dell’Unione Camere Penali Italiane su “Scienza, Processo e Intelligenza artificiale”.
“Verso i nostri dati c’è un interesse criminale altissimo. L’accesso ai nostri sistemi informatici è il target più significativo dell’attività cybercriminale, anche di carattere mafioso e di organizzazioni terroristiche. Attività legate all’acquisizione di informazioni sensibili. Su questo siamo ormai tutti abbastanza consapevoli. Oggi le informazioni sono uno strumento di potere, nel contesto non solo Nazionale, ma internazionale, quindi la tenuta delle strutture informatiche è una delle priorità per la sicurezza del Paese.
Una materia complessa su cui siamo molto in ritardo, sotto il profilo tecnologico e di sicurezza dei sistemi, solo nell’ultimo anno e mezzo l’Italia ha effettuato un significativo incremento di investimenti in questo settore, con l’autorità al centro del sistema di contrato, assieme all’intelligence e l’Acn, ma abbiamo bisogno di far crescere consapevolezza e cultura della cybersicurezza. Di fatto siamo ancora uno dei Paesi che subisce il maggior numero di attacchi a livello mondiale”, ha sottolineato Antonio Ardituro, Cons. Sostituto Procuratore Nazionale Antimafia e Antiterrorismo.
Andrea Casu, Commissione Trasporti, Poste e Telecomunicazioni, Camera dei Deputati, ha concluso il panel affermando che: “Siamo in ritardo in termini di cultura della cybersicurezza. La questione è cruciale, perché è un tema di competenze, formazione ed educazione. Ci ricordiamo della fragilità del nostro sistema informatico solo quando i giornali parlano di grandi attacchi hacker. Il nostro paese deve rendersi più competitivo in termini di competenze, c’è in margine enorme su questo terreno.
Altro grande tema è legato al come scrivere norme che garantiscano anche la legittima difesa in ambito cibernetico, perché da questo punto di vista il rischio che noi abbiamo, l’abbiamo visto anche nei confronti di alcune forme di difesa attiva, è che alla fine noi scriviamo norme che rischiano di complicare fortemente la vita a chi prova a difendersi. Perché a volte in una dimensione cybersecurity difendere vuol dire contrattaccare. Noi abbiamo le nostre istituzioni sotto attacco ormai da tanti giorni, ma rispondere in maniera attiva potrebbe voler dire addirittura violare dei sistemi di altri paesi e quindi aprire anche dei potenziali conflitti.
Alla fine il rischio è che noi scriviamo norme e aumentiamo le sanzioni, ma con queste sanzioni rischiamo di non colpire chi ci attacca, ma paradossalmente chi subisce gli attacchi”.
