Cybersicurezza e implicazioni penali

La Giustizia nell’Era Digitale: il Diritto Anticipa o Insegue?
29.11.2024 Keiron Bocconi – La Casa del Penalista | Università Bocconi

Presentazione

L’intervento è strutturato in tre punti:

  1. una breve introduzione di alcuni reati informatici, aggiornati dalla Legge 28 giugno 2024, n. 90 Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, corredata da casi pratici
  2. una disaminadelle principalidisposizioni dettate dal Decreto legislativo di recepimento della Direttiva UE NIS 2, D. Lgs. 4 settembre 2024, n. 138 Recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148
  3. una finestra della realtà concreta delle PMI in rapporto alla cybersicurezza.

Perché affrontiamo questo tema: nel 2023 gli attacchi cyber in Italia sono cresciuti del 65%, secondo i dati del Rapporto annuale Clusit (Associazione italiana per la sicurezza informatica) riportati dal Sole 24 Ore; nel luglio 2024 l’Italia è al 3° posto tra i Paesi più colpiti al mondo da ransomware, mentre mantiene il 1° posto in UE, in base alla stima ACN, l’Agenzia per la cybersicurezza nazionale.

I possibili incidenti cyber sono molteplici, tra le tecniche più diffuse i cybercriminali impiegano malware DDosS (Distributed Denial of Service), che rappresenta il 36% del totale degli incidenti del 2023, oltre a ransomware e phishing

Gli attacchi informatici sfruttano le debolezze dei sistemi di difesa delle imprese, che possono così compromettere la sicurezza complessiva di intere filiere: le normative UE e italiana hanno, pertanto, recentemente reagito con soluzioni aggiornate di prevenzione e repressione del fenomeno.

L’argomento dell’incontro odierno, quindi, è d’interesse e attuale: di alcuni aspetti abbiamo già sentito cenni e oggi li approfondiamo; altri sono novità e li esploriamo. Il contributo intende, infatti, delineare una panoramica delle problematiche penali legate alla sicurezza informatica nelle imprese, affiancando il contesto normativo domestico e sovranazionale a casi pratici e tips finali.

1.
I reati informatici novellati e introdotti dalla Legge 90/2024.

Iniziamo, quindi, col commento dei più insidiosi reati informatici novellati e introdotti dalla Legge 28 giugno 2024, n. 90, che rappresenta un complemento nazionale alla Direttiva NIS 2 e fornisce un quadro normativo più dettagliato per la gestione della cybersecurity in Italia: articola disposizioni per la prevenzione e il contrasto dei reati informatici, nonché in materia di coordinamento degli interventi in caso di attacchi a sistemi informatici o telematici e interviene, tra l’altro, su alcuni dei reati informatici configurati nel codice penale e su alcune regole del codice di procedura penale.

– art. 615 ter cp – accesso abusivo ad un sistema informatico o telematico

La fattispecie tipica non ha subito modifiche e prevede che chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo è punito con la reclusione fino a tre anni.

La fattispecie tipica non ha subito modifiche e prevede che chiunque abusivamente si introduca in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o tacita di chi ha il diritto di escluderlo è punito con la reclusione fino a tre anni.

La novella occupa i commi 2 e 3 e interessa le circostanze aggravanti con l’inasprimento sanzionatorio e la previsione di nuove condotte; in particolare, l’aumento della pena della reclusione da due a dieci anni …se il colpevole per commettere il fatto usa minaccia o violenza sulle cose o alle persone; se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento ovvero la distruzione o il danneggiamento ovvero la sottrazione anche mediante riproduzione o trasmissione o l’inaccessibilità al titolare dei dati, delle informazioni o dei programmi in esso contenuti. Qualora i fatti riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da tre a dieci anni e da quattro a dodici anni.

Caso pratico

La fattispecie riguarda il sistema telematico protetto da misure di sicurezza, ovvero un particolare sistema integrato, in cui si fondono tecnologia informatica e mezzi di telecomunicazione: i più comuni strumenti di comunicazione on line sono la e-mail e le varie modalità di comunicazione simultanea come le chat line e, principalmente, la videoconferenza o netmeeting, che consente in tempo reale lo scambio e la condivisione di documenti, immagini, suoni.

La telematica trova oggi applicazione ai più svariati campi: costituisce ad esempio la tecnologia alla base delle trasmissioni televisive satellitari, dei sistemi videotexpay tv e pay per view; anche l’home banking è governato dalla telematica, che consente di compiere da casa propria le principali operazioni bancarie on line possono.

Anche la scienza medica si serve del connubio tra informatica e telecomunicazioni – telemedicina -, per elaborare diagnosi a distanza, come teleanalisi e teleconsulto, e intervenire a distanza sul paziente intrasportabile; anche il sistema telefonico cellulare nonché della telefonia a rete fissa possiede la qualità di sistema telematico.

La previsione afferisce anche al sistema informatico, protetto da misure di sicurezza, che è uno strumento tecnologico particolarmente complesso – la cui struttura materiale consiste in un apparato elettronico detto hardware – in grado di elaborare automaticamente dati sulla base delle istruzioni di comportamento programmate dall’uomo, e contenute in uno o più software

Ad es. lo SDI – Sistema d’Indagine in uso alle Forze dell’Ordine italiane – è catalogabile come sistema informatico: in esso sono memorizzati i dati che possono essere utili per le attività investigative, quali controlli, identificazioni, segnalazioni, querele, anagrafiche e dati incrociati con altre banche dati come fisco, catasto, anagrafe.

Possono configurare il delitto in esame le recenti vicende di “dossieraggio”: il reato di dossieraggio non esiste, il termine è prettamente giornalistico; i reati astrattamente configurabili nelle vicende riportate dagli organi di stampa possono essere oltre a questo in esame anche l’art. 617 quater cp-intercettazione illecita; l’art. 617 bis cp-detenzione illecita di apparecchi per le intercettazioni; l’art. 326 cp-rivelazione ed utilizzazione del segreto d’ufficio l’art. 167-ter del Codice in materia di protezione dei dati personali-acquisizione fraudolenta di dati personali.

In concreto, le modalità di accesso abusiva al sistema informatico possono avvenire in modalità informatica, ma anche ad opera di esseri umani, in particolare, attraverso funzionari infedeli, quindi tramite corruzione, o a mezzo di minaccia o estorsione verso dipendenti e funzionari.

L’opzione virtuale avviene a mezzo di hacking tramite un virus trojan, il RAT, inserito nei server dei sistemi informatici, che consente di accedervi e gestirli da remoto.

Lato sistema telematico, inteso quale particolare sistema integrato in cui si fondono tecnologia informatica e mezzi di comunicazione, le trasmissioni televisive satellitari e pay tv ne sono un esempio.

Integra un’ipotesi sussumibile in questa fattispecie la pirateria audiovisiva. Dell’ultima operazione della Polizia Postale in collaborazione con Europol e Eurojust contro la diffusione illecita di servizi IPTV Internet Protocol Television abbiamo sentito in questi giorni notizie di stampa: un disegno criminoso, in forma associativa anche transnazionale, che adopera anche la frode informatica, ai sensi dell’art. 640 ter cp, l’intercettazione di comunicazione relativa ad un sistema telematico, ex art. 617 quater cp, la contraffazione dei marchi, di cui all’art. 473 cp, il riciclaggio, ai sensi dell’art. 648 bis cp, la riproduzione e comunicazione di contenuti audiovisivi non autorizzata, ai sensi dell’art. 171 ter Legge 633/1941 sul diritto d’autore.

È un sistema piramidale che inizia dal vertice, che carpisce il segnale televisivo, lo decodifica, lo clona e lo tramuta in dati informatici, prosegue con i distributori dei flussi dei contenuti audiovisivi piratati e continua fino ai rivenditori degli abbonamenti abusivi.

Gli utenti finali dei servizi pirata sono l’ultimo livello della piramide e nei loro confronti sono previste sanzioni amministrative: la Legge 14 luglio 2023, n. 93 ha implementato l’apparato punitivo già supportato dall’art. 174 ter della Legge sul diritto d’autore con la previsione di sanzioni sino ad euro 5.000 a carico dell’utente finale che abbia fruito abusivamente di quantità rilevanti di film, serie TV ed eventi sportivi; mentre la sanzione di euro 154 può essere applicata ai fatti meno gravi.

Talvolta gli utenti finali degli abbonamenti abusivi non si confrontano con il rischio di sicurezza, come ha spiegato il Commissario AGCOM Massimiliano Capitanio: numerosi sono i rischi legati ad attacchi informatici sui device con violazioni dei dati personali e bancari, essendo la pirateria spesso gestita da organizzazioni criminali, che hanno interesse anche nella vendita dei dati sottratti.

– art. 629 cp comma 2 – estorsione mediante reati informatici

Si tratta di una nuova fattispecie, introdotta dalla Legge 90: chiunque, mediante le condotte di accesso abusivo ad un sistema informatico o telematico, intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, falsificazione, alterazione o soppressione del contenuto di comunicazioni informatiche o telematiche, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di sistemi informatici o telematici e  danneggiamento di sistemi informatici o telematici di pubblica utilità ovvero con la minaccia di compierle, costringe taluno a fare o ad omettere qualche cosa, procurando a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei a dodici anni e con la multa da euro 5.000 a euro 10.000.

Rientra nell’elenco dei reati informatici che coinvolgono la responsabilità amministrativa da reato delle persone giuridiche ai sensi del D. Lgs. 8.6.2001, n. 231, con la previsione dell’applicazione all’ente della sanzione pecuniaria da trecento a ottocento quote e l’applicazione delle sanzioni interdittive per una durata non inferiore a due anni.

Caso pratico

Il delitto mira alla protezione delle sempre maggiori vittime di cyber extortion, ovvero ricatti realizzati attraverso la minaccia o l’attuazione di attacchi informatici, in particolare gli attacchi ransomware, ovverosia quelle condotte dedite a cifrare illecitamente i dati di terzi e a chiedere il pagamento di una somma per la decifratura degli stessi, bloccando o limitando le funzionidi un dispositivo finché non si paga un riscatto. Si può trattare, per esempio, di informazioni sensibili dei dipendenti di un’azienda o dei suoi clienti e di dati confidenziali che, se divulgati, potrebbero danneggiare la reputazione online. 

– art. 635 quater cp – danneggiamento di sistemi informatici o telematici

Salvo che il fatto costituisca più grave reato, chiunque, mediante le condotte di distruzione, deterioramento, cancellazione, alterazione o soppressione ovvero attraverso l’introduzione o la trasmissione di dati, informazioni o programmi, distrugge, danneggia, rende, in tutto o in parte, inservibili sistemi informatici o telematici altrui o ne ostacola gravemente il funzionamento è punito con la reclusione da due a sei anni. La pena è della reclusione da tre a otto anni: 1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita, anche abusivamente, la professione di investigatore privato, o con abuso della qualità di operatore del sistema; 2) se il colpevole per commettere il fatto usa minaccia o violenza ovvero se è palesemente armato.

Caso pratico

La fattispecie si riferisce al sabotaggio informatico, ovvero ad attacchi che interrompono il funzionamento di un servizio: con il lancio di un attacco malware l’agente può entrare nel dispositivo della p.o. e acquisirne il controllo (determinando alterazione di informazioni, dati o programmi informatici altrui, ex art. 635‐bis c.p.), mentre con il successivo attacco DDoS danneggia il sistema informatico rendendolo inutilizzabile, col sovraccarico del sito web, del server o di una risorsa di rete, tale che il sistema preso di mira rallenta o si blocca (ex art. 635-quater c.p.).

Il rischio di subire attacchi malware, ransomware e DDoS è considerevole per le imprese che utilizzano i socialnetwork per scopi lavorativi. I criminali informatici sono a conoscenza dell’ampia fiducia ripostavi e sfruttano questa vulnerabilità a proprio vantaggio: ad esempio, assumono le vesti di colleghi di lavoro della vittima, creando un account fake, rubando il nome e la foto dal profilo autentico del conoscente e fingendosi questa persona. L’impiegato seguirà le istruzioni ricevute e l’agente potrà diffondere malware (soprattutto ransomware) prima nel dispositivo del lavoratore e poi in tutta la rete aziendale, controllando i device o criptando i dati in essi conservati.

O ancora vengono in considerazione programmi virus o dati maligni introdotti nella rete, come trojan horseslogic bomb

– art. 640 cp comma 2 lett. 2-ter) – truffa aggravata dall’uso di strumenti informatici o telematici

Anche il reato di truffa è stato modificato in chiave cyber con l’introduzione della circostanza aggravante di cui al comma 2 lett. 2-ter) dell’uso di strumenti informatici o telematiciidonei a ostacolare la propria o altrui identificazione: chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549: … 2 -ter) se il fatto è commesso a distanza attraverso strumenti informatici o telematici idonei a ostacolare la propria o altrui identificazione. In questo caso la procedibilità del reato è d’ufficio.

Caso pratico

La fattispecie può essere ravvisabile nel social engineering, tecnica che sfrutta debolezza e ingenuità delle persone: si tratta segnatamente di attacco cyber basato sullo studio del comportamento degli individui col fine di manipolarli e carpire informazioni confidenziali. Il procedimento si basa sulla psicologia umana e sfrutta la fiducia, la mancanza di conoscenza e, in generale, le vulnerabilità degli interlocutori per ottenere dati confidenziali, quali password, informazioni su conti correnti, informazioni finanziarie, estorcere denaro o persino rubarne l’identità.

Il phishing è forse il metodo più noto e riconoscibile tra le diverse modalità di social engineering: sfrutta la posta elettronica per rubare dati personali delle vittime che, spinte dalla curiosità o tratte in inganno dal mittente dell’e-mail, cliccano su un link malevolo dove inseriscono le proprie credenziali o scaricano un allegato infetto. I mittenti fingono di essere organizzazioni conosciute, come banche o servizi utilizzati effettivamente dall’utente, che contattano ed ingannano con l’artificio di aver riscontrato problemi, che richiedono l’inserimento delle loro informazioni personali. Può avvenire anche con siti web che richiedono l’accesso previa registrazione e può avere diverse manifestazioni, a seconda del mezzo di comunicazione utilizzato, come il smishing – phishing via SMS – e il vishingphishing vocale.

Coordinamento investigativo

Tra le norme del codice di procedura penale oggetto di intervento, annotiamo il coordinamento investigativo tra ACN, il procuratore nazionale antimafia e antiterrorismo ed il pubblico ministero e ACN.

Nei casi in cui l’Agenzia ha notizia di un attacco ai danni di uno dei sistemi informatici o telematici utilizzato dallo Stato o da altro ente pubblico o da impresa esercente servizi pubblici o di pubblica necessità e in ogni caso quando risulti interessato taluno dei soggetti critici e importanti di cui alla Direttiva NIS ne informa senza ritardo il procuratore nazionale antimafia e antiterrorismo.

Il pubblico ministero dà tempestiva informazione all’Agenzia quando acquisisce la notizia dei delitti informatici aggiornati o introdotti dalla Legge 90/2024 nei casi ove questi delitti abbiano interesse pubblico. Assicura, altresì, il raccordo informativo con l’organo del Ministero dell’interno per la sicurezza e per la regolarità dei servizi di telecomunicazione.

Il pubblico ministero quando procede ad accertamenti tecnici irripetibili in relazione ai medesimi delitti ne informa senza ritardo l’agenzia che può assistere al conferimento dell’incarico e partecipare agli accertamenti.

Esaminato il panorama dei principali incidenti cyber, passiamo al contrasto che Europa e Italia hanno implementato:

2.
Il recepimento della Direttiva NIS 2

La direttiva NIS 2

La Direttiva NIS 2 (Direttiva UE 2022/2555) delinea i requisiti di cybersicurezza per le organizzazioni che operano nell’Unione Europea al fine di garantire un livello elevato e comune di protezione tra gli Stati membri.

NIS è l’acronimo di Network and Information Security.

Il 1° ottobre 2024 è stato pubblicato il decreto legislativo 4 settembre 2024, n. 138, che recepisce in Italia la Direttiva NIS 2. A decorrere dal 18 ottobre 2024, si applicano le nuove regole e vengono abrogate quelle della Direttiva NIS 1 (Direttiva UE 2016/1148).

Obiettivo della direttiva

L’obiettivo della direttiva è obbligare le aziende più importanti a misure di sicurezza preventive in campo cybersecurity nell’interesse loro e della collettività, poiché il danno è a cascata.

Ambito di applicazione

Nell’ambito del decreto di recepimento rientrano soggetti pubblici e privati.

Rispetto alla Direttiva NIS 1, che prevedeva una distinzione tra operatori di servizi essenziali (OSE) e fornitori di servizi digitali (FSD), l’ambito di applicazione soggettivo è stato esteso a nuove categorie di riferimento, definite soggetti essenziali e soggetti importanti, in ragione della rilevanza del servizio offerto.

Riguarda la medio-grande impresa, mentre le micro e piccole imprese, salvo eccezioni, sono fuori ambito.

Il decreto di recepimento, oltre alle categorie individuate dalla Direttiva UE, include anche le Pubbliche Amministrazioni fino a livello locale, quali i comuni con popolazione superiore a 100.000 abitanti ed enti di pubblico interesse, come il trasporto pubblico locale.

Si applica ai soggetti (di cui agli allegati I e II,) che occupano più di 50 persone e realizzano un fatturato annuo o un totale di bilancio annuo superiori a 10 milioni di euro: settori ad alta criticità – Allegato I: energia, trasporti, settore bancario /infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC, pubblica amministrazione, spazio; altri settori critici – Allegato II: servizi postali e di corriere, gestione rifiuti, sostanze chimiche, alimenti, dispositivi medici, prodotti elettronici e ottici, apparecchiature elettriche, apparecchiature e macchinari n.c.a, autoveicoli, rimorchi e semirimorchi, altri mezzi di trasporto, fornitori servizi digitali (mercati e motori di ricerca online, social network, registrazione di nomi a dominio), ricerca.

Il decreto si applica altresì indipendentemente dalle dimensioni ai seguenti soggetti: soggetti critici nell’ambito delle categorie di soggetti che operano nei settori e sottosettori di energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, salute, acqua potabile, acque reflue, infrastrutture digitali, enti della P.A., spazio, produzione-trasformazione-distribuzione di alimenti, acque irrigue; fornitori di reti pubbliche di comunicazione elettronica o di servizi di comunicazione elettronica accessibili al pubblico; prestatori di servizi fiduciari; gestori di registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio; fornitori di servizi di registrazione dei nomi di dominio.

Il decreto si applica altresì indipendentemente dalle dimensioni alle P.A. ricomprese nelle categorie elencate nell’allegato III: amministrazioni centrali, regionali, locali e di altro tipo. Le amministrazioni centrali sono: gli organi costituzionali e di rilievo costituzionale; la Presidenza del consiglio dei ministri e i ministeri; le agenzie fiscali; le autorità amministrative indipendenti; le amministrazioni regionali sono: le regioni e le province autonome; le amministrazioni locali sono: le città metropolitane; i comuni con popolazione superiore a 100.000 abitanti; i comuni capoluoghi di regione; le aziende sanitarie locali. Ulteriori soggetti pubblici interessati sono gli enti di regolazione dell’attività economica; gli enti produttori di servizi economici; gli enti a struttura associativa; gli enti produttori di servizi assistenziali, ricreativi e culturali; gli enti e le Istituzioni di ricerca; gli istituti zooprofilattici sperimentali.

Il decreto si applica altresì indipendentemente dalle dimensioni ai soggetti delle tipologie di cui all’allegato IV: soggetti che forniscono servizi di trasporto pubblico locale, istituti di istruzione che svolgono attività di ricerca, soggetti che svolgono attività di interesse culturale, società in house, società partecipate e società a controllo pubblico.

Soggetti essenziali e soggetti importanti

Tra i soggetti essenziali sono inclusi i soggetti di cui all’allegato I nell’ambito delle grandi imprese; inoltre, indipendentemente dalle loro dimensioni, i soggetti identificati come soggetti critici; i fornitori di reti pubbliche di comunicazione elettronica e i fornitori di servizi di comunicazione elettronica accessibili al pubblico che si considerano medie imprese; indipendentemente dalle loro dimensioni, i prestatori di servizi fiduciari qualificati e i gestori di registri dei nomi di dominio di primo livello, nonché i prestatori di servizi di sistema dei nomi di dominio; indipendentemente dalle loro dimensioni, le pubbliche amministrazioni centrali di cui all’allegato III. Sono considerati soggetti importanti i soggetti rientranti nell’ambito di applicazione NIS 2 non qualificati come essenziali.

Registrazione dei soggetti

I soggetti si registrano sulla piattaforma digitale dedicata sul sito ACN, fornendo le informazioni d’identificazione dell’organizzazione; il portale sarà accessibile dal 1° dicembre 2024:

  1. entro il 17 gennaio 2025 si registrano i fornitori di servizi di sistema dei nomi di dominio, c.d. domain name system-DNS

La Direttiva presta massima attenzione a questa categoria: il sistema DNS di Internet funziona in modo analogo a una rubrica telefonica, perché gestisce la mappatura tra nomi e numeri. I server DNS traducono le richieste di nomi in indirizzi IP, controllando a quale server si connetterà un utente finale nel momento in cui digiterà un nome di dominio nel suo browser web. Secondo la Direttiva sostenere e preservare un sistema dei nomi di dominio affidabile, resiliente e sicuro sono fattori chiave per mantenere l’integrità di internet e sono essenziali per il suo funzionamento costante e stabile, da cui dipendono l’economia e la società digitali.

Provvedono entro la medesima data anche i gestori di registri dei nomi di dominio di primo livello, i fornitori di servizi di registrazione dei nomi di dominio, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, nonché di mercati online, di motori di ricerca online e di piattaforme di servizi di social network che rientrano nell’ambito di applicazione del presente decreto.

  1. dal 1° gennaio al 28 febbraio si registrano i soggetti essenziali e i soggetti importanti

A seguito della registrazione, nel mese di aprile 2025, i soggetti che si sono registrati riceveranno una comunicazione per confermare, o meno, il loro inserimento nell’elenco dei soggetti NIS.

Autorità nazionale competente

ACN, l’Agenzia per la cybersicurezza nazionale è l’Autorità nazionale competente che sovrintende l’implementazione del decreto attuativo NIS2, predispone i provvedimenti necessari allo scopo, svolge le attività di regolamentazione, anche adottando linee guida, raccomandazioni e orientamenti, individua i soggetti essenziali e i soggetti importanti, partecipa al Gruppo di cooperazione NIS e alle iniziative UE relative all’attuazione della NIS2, definisce gli obblighi relativi alla registrazione dei soggetti essenziali e dei soggetti importanti.

Gruppo nazionale di risposta agli incidenti di sicurezza informatica.

Il CSIRT Italia, il Computer Security Incident Response Team Italia, è l’organo preposto alle funzioni di gestione degli incidenti di sicurezza informatica.

Compliance legale per il CDA aziendale

La governance NIS 2 prevede che gli organi di amministrazione e gli organi direttivi dei soggetti essenziali e dei soggetti importanti effettuino l’implementazione delle misure di gestione dei rischi per la sicurezza informatica e sovrintendano alla loro attuazione; procedano alla propria formazione attiva e promuovano la formazione per i dipendenti; siano responsabili delle violazioni per inadempimento.

Obblighi di gestione dei rischi per la sicurezza informatica

In particolare, i soggetti essenziali e i soggetti importanti adottano misure tecniche, operative e organizzative adeguate e proporzionate alla gestione dei rischi posti alla sicurezza dei sistemi informativi e di rete nonché per prevenire o ridurre al minimo l’impatto degli incidenti per i destinatari. Tali misure assicurano un livello di sicurezza dei sistemi informativi e di rete adeguato ai rischi esistenti; sono proporzionate al grado di esposizione a rischi del soggetto, alle dimensioni del soggetto nonché alla loro gravità.

Le misure sono basate su un approccio multi-rischio, volto a proteggere i sistemi informativi e di rete nonché il loro ambiente fisico da incidenti, e comprendono, tra l’altro, i seguenti elementi: politiche di analisi dei rischi e di sicurezza dei sistemi informativi e di rete; gestione degli incidenti, ivi incluse le procedure e gli strumenti per l’esecuzione delle notifiche; continuità operativa, ivi inclusa la gestione di backup, il ripristino in caso di disastro, ove applicabile, e gestione delle crisi; sicurezza della catena di approvvigionamento, ivi compresi gli aspetti relativi alla sicurezza riguardanti i rapporti tra ciascun soggetto e i suoi diretti fornitori o fornitori di servizi; politiche e procedure relative all’uso della crittografia e, ove opportuno, della cifratura; uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette, e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, ove opportuno.

Obblighi di segnalazione

I soggetti essenziali e i soggetti importanti notificano, senza ingiustificato ritardo, al CSIRT Italia ogni incidente che ha un impatto significativo sulla fornitura dei loro servizi.

Un incidente è considerato significativo se: a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli.

I soggetti interessati trasmettono al CSIRT Italia: a) senza ingiustificato ritardo, e comunque entro 24 ore da quando sono venuti a conoscenza dell’incidente significativo, una pre-notifica che, ove possibile, indichi se l’incidente significativo possa ritenersi il risultato di atti illegittimi o malevoli o può avere un impatto transfrontaliero; b) senza ingiustificato ritardo, e comunque entro 72 ore da quando sono venuti a conoscenza dell’incidente significativo, una notifica dell’incidente che, ove possibile, aggiorni le informazioni di cui alla lettera a) e indichi una valutazione iniziale dell’incidente significativo, comprensiva della sua gravità e del suo impatto, nonché, ove disponibili, gli indicatori di compromissione; una relazione finale entro un mese dalla trasmissione della notifica dell’incidente, che comprenda: 1) una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto; 2) il tipo di minaccia o la causa originale che ha probabilmente innescato l’incidente; 3) le misure di attenuazione adottate e in corso; 4) ove noto, l’impatto transfrontaliero dell’incidente; senza ingiustificato ritardo e ove possibile entro 24 ore dal ricevimento della pre-notifica, il CSIRT Italia fornisce una risposta al soggetto notificante, comprensiva di un riscontro iniziale sull’incidente significativo e, su richiesta del soggetto, orientamenti o consulenza sull’attuazione di possibili misure tecniche di mitigazione.

Attività di vigilanza ed esecuzione dell’Autorità nazionale competente

L’Autorità nazionale competente NIS monitora e valuta il rispetto da parte dei soggetti essenziali e dei soggetti importanti degli obblighi, svolgendo attività di vigilanza attraverso il monitoraggio, l’analisi e il supporto ai soggetti essenziali e ai soggetti importanti; nonché svolgendo attività di verifica ed ispezioni, anche con l’adozione di misure di esecuzione el’irrogazione di sanzioni amministrative pecuniarie e accessorie.

Gli audit sulla sicurezza

Nell’ambito dell’attività di vigilanza sono previsti audit sulla sicurezza periodici e mirati, svolti da organismi indipendenti e si basano su valutazioni del rischio effettuate dall’Autorità nazionale competente NIS o dal soggetto sottoposto ad audit o su altre informazioni disponibili in relazione ai rischi.

Monitoraggio, analisi e supporto

L’autorità nazionale competente NIS può, tra l’altro, monitorare l’attuazione degli obblighi, implementando, altresì, interventi di supporto per i soggetti medesimi; richiedere ai soggetti una rendicontazione, anche periodica, ivi incluse autovalutazioni e piani di implementazione, dello stato di attuazione degli obblighi; richiedere ai soggetti l’esecuzione di audit sulla sicurezza, in particolare in caso di incidente significativo o di violazione del decreto; richiedere ai soggetti l’esecuzione di scansioni di sicurezza; emanare raccomandazioni e avvertimenti.

Verifiche, ispezioni e accesso ai dati

L’Autorità nazionale competente NIS ha poteri di sottoposizione dei soggetti a verifiche della documentazione e delle informazioni, trasmesse all’Autorità nazionale competente NIS;ispezioni in loco e a distanza, compresi controlli casuali; richieste di accesso a dati, documenti e altre informazioni necessari allo svolgimento dei propri poteri.

Misure di esecuzione: richieste

Nell’ambito delle attività di esecuzione, l’Autorità nazionale competente NIS può richiedere ai soggetti di fornire i dati che dimostrino l’attuazione di politiche di sicurezza informatica, quali i risultati di audit sulla sicurezza e i relativi elementi di prova, nonché le informazioni necessarie per lo svolgimento dei propri compiti istituzionali.

Intimazione

L’Autorità nazionale competente NIS ha poteri di intimazione: tra l’altro, può intimare ai soggetti essenziali di eseguire, su base periodica o mirata, audit sulla sicurezza, in particolare in caso di incidente significativo o di violazione del presente decreto da parte del soggetto; di eseguire scansioni di sicurezza basate su criteri di valutazione dei rischi obiettivi, se necessario in cooperazione con la medesima Autorità; di attuare le raccomandazioni fornite in seguito ad un audit sulla sicurezza; di porre termine al comportamento che viola il decreto e di astenersi dal ripeterlo; di attuare le istruzioni vincolanti impartite dalla medesima Autorità o di porre rimedio alle carenze individuate nell’adempimento degli obblighi o alle conseguenze che derivano da violazioni; di comunicare senza ingiustificato ritardo ai destinatari dei loro servizi gli incidenti significativi che possono ripercuotersi negativamente sulla fornitura di tali servizi; di comunicare senza ingiustificato ritardo ai destinatari dei loro servizi che sono potenzialmente interessati da una minaccia informatica significativa, qualsiasi misura o azione correttiva che tali destinatari possono adottare in risposta a tale minaccia, nonché, se opportuno, la minaccia informatica significativa stessa; di informare il pubblico sugli incidenti occorsi.

L’Autorità nazionale competente NIS può designare un proprio funzionario per supportare il soggetto interessato ai fini dell’adempimento degli obblighi, con compiti ben definiti nell’arco di un periodo di tempo determinato, anche tramite visite in loco e a distanza. Il soggetto interessato assicura la piena collaborazione con il funzionario designato.

Diffida

L’Autorità nazionale competente NIS ha poteri di diffida: qualora il soggetto interessato non adempia alle disposizioni, diffida il soggetto ad adempiere a tali disposizioni. Prima di adottare provvedimenti di intimazione e di diffida, l’Autorità nazionale competente NIS notifica ai soggetti interessati le conclusioni preliminari, concedendo a questi ultimi un termine ragionevole, comunque non inferiore a quindici giorni, per presentare osservazioni.

Violazioni e sanzioni

In caso di violazioni sono previste sanzioni amministrative pecuniarie e accessorie, mentre non sono stabilite sanzioni penali. Tra le violazioni sono previste, tra l’altro, l’inottemperanza a notifica incidente, sanzionata per i soggetti essenziali con sanzioni amministrative pecuniarie fino a un massimo di euro 10.000.000 o del 2% del totale del fatturato annuo su scala mondiale, e la mancata registrazione, punita per i soggetti essenziali con sanzioni amministrative pecuniarie fino a un massimo dello 0,1% del totale del fatturato annuo su scala mondiale.

3.
Cybersicurezza nelle P.M.I. in concreto

Costo di un databreach

Secondo il Centro Studi TIM in Italia un attacco informatico capace di violare i dati può comportare un costo medio di 3,6 milioni di euro. I costi relativi ad un data breach sono l’insieme di più fattori: il 30% è imputabile alla perdita di fatturato; il 35,5% è attribuibile alla rilevazione ed escalation dell’incidente; il 27% è rappresentato dai costi per il ripristino dei dati e il restante 8,3% dai costi di notifica.

I costi di adeguamento per una PMI

I dati ENISA, l’Agenzia dell’Unione Europea per la cybersicurezza, e della Commissione Europea, restituiscono il costo medio di adeguamento per una grande azienda in circa 280.000 euro (200 dipendenti, 100 milioni di fatturato).

In generale, i costi di adeguamento possono variare da meno di 100.000 euro sino a oltre 5 milioni di euro in base alla dimensione dell’azienda.

Percentuale delle violazioni denunciate

Risulta denunciato 1 incidente su 10 per evitare i rischi reputazionali.

Tips: la prevenzione degli incidenti cyber in concreto

Nell’organizzazione i seguenti accorgimenti di igiene informatica si possono rivolgere agli organi apicali:

  • investire nella sicurezza informatica aziendale per protegge il patrimonio informativo dell’azienda e aiutare a sostenere la resilienza e la continuità dei servizi erogabili
  • stabilire obiettivi di cybersicurezza significativi, coerenti con gli obiettivi strategici dell’organizzazione
  • esaminare il quadro normativo ed individuare i requisiti e i vincoli di sicurezza applicabili all’organizzazione – definire presidi di sicurezza informatica aziendale conformi al quadro normativo vigente
  • acquisire consapevolezza cyber sui processi, sistemi e dati vitali per il business e supportare la loro protezione; valutare anche opzioni di assicurazione o trasferimento del rischio cyber
  • polizza cyber: le compagnie di assicurazione offrono garanzie quali rimborso dei costi sostenuti per recuperare i dati e per sostituire i componenti hardware, protezione legale, pagamento delle eventuali perdite di profitto derivanti dall’interruzione di attività, copertura dei danni causati ad altri a seguito di attività legate ai propri siti internet, social media o altri mezzi di comunicazione online di cui l’azienda è responsabile, rimborso dei costi di tutela della reputazione
  • introdurre il back-up dei dati aziendali su supporti e su piattaforma cloud;
  • regola 3-2-1: eseguire il back-up dei dati sensibili in almeno 3 copie, conservare le copie su almeno 2 supporti diversi, ad es. in un disco rigido e in un servizio di archiviazione cloud. Una delle copie dev’essere conservata offline e off-site, comunque in un luogo diverso da dove sono allocate le altre due copie di back-up. I back-up sono essenziali per la continuità delle operazioni aziendali
  • nominare responsabile per la cybersicurezza che supporti la dirigenza nell’individuazione degli obiettivi di cybersicurezza; pianificare allineamenti periodici e metterlo in condizione di sviluppare un solido programma di cybersicurezza
  • diffondere la cultura della cybersicurezza tra i dipendenti, attraverso corsi di formazione e iniziative di sensibilizzazione – dopo i corsi misurare le competenze raggiunte
  • scegliere fornitori che soddisfino adeguati livelli di cybersicurezza: definire misure contrattuali e requisiti adeguati alla criticità di dati e servizi che si affidano all’esterno, assicurandosi che includano clausole per la gestione degli incidenti informatici
  • se si subisce un attacco informatico denunciare all’AG e segnalare a ACN; evitare di prendere contatti con il presunto hacker

Ai sottoposti si possono dedicare i seguenti suggerimenti di igiene informatica:

  • partecipare in maniera attiva alle iniziative di formazione di cybersicurezza organizzate nella propria organizzazione
  • generare e gestire le credenziali in modo sicuro, evitando di riutilizzarle; non usare informazioni personali facilmente reperibili per generare la password; attivare, dove possibile, l’autenticazione a più fattori e per i servizi aziendali seguire le indicazioni dell’organizzazione
  • prestare attenzione alle azioni che possono favorire un attacco informatico in azienda: usare password troppo deboli o condivise fra più account, utilizzare device non aggiornati o obsoleti e non più supportati dal produttore – condividere documenti sensibili su risorse non aziendali e non sufficientemente protette, ad es. su servizi cloud accessibili senza autenticazione
  • fare regolarmente il back-up dei dati aziendali su supporti autorizzati e, se prevista, sulla piattaforma cloud dell’organizzazione
  • selezionare sempre con chi condividere dati e porre attenzione a condivisioni involontarie e sui social network e su programmi disponibili sul web; per condividere documenti utilizzare gli strumenti di messaggistica e file-sharing approvati dall’organizzazione; preferire la condivisione di singoli elementi e per un periodo di tempo limitato
  • non salvare file e informazioni sensibili di lavoro in nessun dispositivo esterno all’organizzazione
  • aggiornare il software e l’antivirus, assicurandosi di scaricare gli aggiornamenti software solo dai siti web di fornitori affidabili
  • installare sui dispositivi aziendali esclusivamente applicazioni attendibili e strettamente necessarie per il proprio lavoro
  • lavorare in modo sicuro ovunque ci si trovi (a casa, in ufficio o in viaggio) con i dispositivi aziendali; collegarsi a Internet tramite reti sicure, evitando reti pubbliche aperte
  • in caso di anomalie o situazioni sospette, contattare tempestivamente l’incaricato IT; fare attenzione in particolare a bassa velocità di elaborazione, blocchi frequenti e popup imprevisti
  • fare attenzione al social engineering ed in particolare al phishing: se si ricevono telefonate, e-mail, SMS che si ritengono sospetti, segnalarli tempestivamente all’organizzazione
  • se si subisce un attacco informatico interrompere la connessione di rete, contattare l’incaricato IT – non spegnere il device colpito per evitare di perdere dati importanti; verificare la presenza di eventuali notifiche di accessi non autorizzati ai propri account aziendali; evitare di prendere contatti con il presunto hacker.

Book-tips

Suggerisco la lettura del nuovissimo saggio “Nexus. Breve storia delle reti di informazione dall’età della pietra all’IA” dello storico Yuval Noah Harari.

Il saggio ripercorre il tema del valore dell’informazione attraverso lo studio dell’uso che ne è stato fatto nella storia fino all’AI, evidenziando le diverse modalità di impiego e i risultati che ne conseguono.

Lo studio legale Dal Pozzo di Milano presta la propria assistenza a soggetti privati, enti ed imprese anche in tema di reati informatici.

Condividi

Studio Dal Pozzo

Avvocato penalista Milano

Avv. Licia Dal Pozzo