Protezione dello spazio cibernetico nel settore sanitario
Cybersecurity: oltre le norme bisogna interpretare bene anche le ‘soft law’. Ecco un primo approfondimento.
Uno dei principali profili interpretativi da considerare nell’ambito dell’applicazione nel nostro ordinamento delle norme in materia di perimetro di sicurezza nazionale cibernetica, contenute nel decreto legislativo n. 65 del 18 maggio 2018 e nei successivi regolamenti attuativi, è quello relativo al rapporto che intercorre, a vari livelli, tra la normazione cosiddetta cogente, contenuta in leggi, regolamenti, normative comunitarie, e quella invece a creazione e adesione contrattuale o volontaria, contenuta nella standardizzazione in materia di sicurezza delle informazioni. Per esempio, nelle norme ISO, che possiamo definire, insieme ai provvedimenti delle competenti autorità amministrative, alle politiche, alle procedure e ai regolamenti aziendali, ‘soft law’.
La rilevanza dell’argomento si deduce anche dalla sua inclusione letterale tra i considerando della direttiva Network Information Security, la cosiddetta direttiva NIS nel 2016 che, al considerando 66 precisava, da una parte, che la standardizzazione degli obblighi di sicurezza è un’esigenza che nasce dal mercato, e dall’altra, che, per garantire un’applicazione convergente delle norme di sicurezza è opportuno che gli Stati membri incoraggino il rispetto o la conformità a norme specifiche volte a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi in tutta l’unione. A questo proposito, quindi, l’Enisa, ossia l’Agenzia dell'Unione europea per la cibersicurezza, dovrebbe assistere gli Stati membri mediante consulenza e linee guida.
In questo senso, a ben vedere, si erano già espressi il Parlamento europeo e il Consiglio dell’Unione, con il regolamento 1025 del 2012, sulla normazione europea nel quale si precisava espressamente che la normazione europea rafforza la competitività globale dell’industria europea, specie se attuata in coordinamento con gli organismi di normazione internazionali, nella fattispecie l’Organizzazione Internazionale per la Standardizzazione (ISO), la Commissione Elettrotecnica Internazionale (IEC) e l’Unione Internazionale delle Telecomunicazioni (ITU).
Sicurezza cibernetica, interpretazione delle norme e tassatività
Occorre considerare invero, che il tema, per quanto possa sembrare astratto e distante dalla realtà fenomenica quotidiana, conduce invece all’individuazione, in fase di applicazione della legge, a opera del giudice, del senso proprio da attribuire, a espressioni sovente tecniche, pure contenute in norme assistite da sanzioni, talvolta anche penalmente rilevanti. Un esempio aiuterà a comprendere il problema, si pensi alla formulazione letterale dell’articolo 615 ter del codice penale italiano, dal titolo ‘Accesso abusivo a sistema informatico o telematico’, che punisce con la reclusione fino a tre anni chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza o ivi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo. Orbene, elemento cardine, della fattispecie considerata dalla norma appena richiamata, che deve cioè sussistere per poterne invocare l’applicazione, è l’esistenza di misure di sicurezza a protezione del sistema informatico oggetto della condotta illecita.
Infatti, se da una parte la fattispecie non è integrata (e il colpevole non può essere punito) allorché il sistema informatico o telematico non sia protetto da misure di sicurezza, dall’altra, risulta essere di non semplice individuazione, in concreto, cosa debba intendersi per misura di sicurezza a protezione di un sistema informatico o telematico. La circostanza che la norma non specifichi espressamente, né cosa si intende per misura, né cosa si intende per sicurezza di un sistema informatico o telematico, rende necessario per il giudice, comunque chiamato a decidere sulla questione, verificare in primo luogo se, nel caso concreto, la vittima del crimine aveva posto in essere delle cautele, tecniche e/o organizzative, tali da manifestare la sua intenzione di mantenere in sicurezza il sistema informatico telematico considerato e, in secondo luogo, se tali cautele possano essere considerate misure di sicurezza.
Appare evidente, a questo punto, come, in questa opera di verifica il giudice debba tenere nella debita considerazione, in primis, il fenomeno tecnico o tecnologico da considerare, quale riscontrato nel caso concreto (per esempio le configurazioni software dei sistemi per il controllo e la registrazione degli accessi) e, in secondo luogo, le norme, in senso ampio, che lo disciplinano, ed è in questo ambito che si rivela fondamentale la funzione integrativa del precetto penale svolta dalla ricordata standardizzazione.
Evoluzione della definizione di Cybersecurity
Per ulteriormente comprendere quanto sin qui precisato, e completare, nei limiti di quanto lo consente la sede, le fonti di disciplina della materia, si ritiene opportuno considerare, a titolo esemplificativo l’evoluzione, nel tempo, della definizione di Cybersecurity (cyber sicurezza), sia nella relativa standardizzazione ISO, sia nelle recenti norme di diritto comunitario che la contengono. Una delle prime formulazioni note di cybersecurity è contenuta nella norma ISO/IEC 27032:2012(en), ‘Information technology, Security techniques, Guidelines for cybersecurity’ che, nel testo in lingua inglese, al punto 4.20, mutuando la formulazione della norma ISO/IEC 27000:2009, la definiva, in termini di Cyberspace security, come “preservation of confidentiality, integrity and availability of information in the Cyberspace” (in italiano “la conservazione della riservatezza, integrità e disponibilità di informazioni nel cyber-spazio”; definito a sua volta, al punto 4.21 come, “complex environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it, which does not exist in any physical form”).
L’analisi della definizione appena menzionata consente di evidenziare come, almeno in una prima fase, il cardine della formulazione, e quindi dell’ambito interpretativo e applicativo di riferimento, fosse da individuare quasi esclusivamente sull’aspetto, per così dire, tradizionale, relativo al mero contenuto informativo da proteggere, di cui garantire riservatezza, integrità e disponibilità e non anche, più propriamente, alla convergenza di effetti cinetici che possono derivare da una violazione cibernetica. Tale ultimo profilo, è invece, esattamente, quello considerato nel testo del regolamento sulla cyber sicurezza 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019 relativo all’Enisa già citata e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione, il cui articolo 4 nr. 1 definisce in effetti, la cybersicurezza come “l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche”.
Analogamente, ma con una portata ancora più ampia, la norma ISO/IEC TS 27100:2020(en), ‘Information technology, Cybersecurity, Overview and concepts’, al punto 3.2, definisce, specificando che per salvaguardia deve intendersi il mantenimento del rischio a un livello tollerabile, l’espressione Cybersecurity, come la salvaguardia delle persone della società, delle organizzazioni e delle nazioni dai rischi cibernetici (in inglese “safeguarding of people, society, organizations and nations from cyber risks”).