L’EVOLUZIONE DELLA CYBERSECURITY NELLA NORMATIVA ITALIANA

Il presente Capitolo analizza la normativa e l’architettura istituzionale a presidio della cybersecurity in Italia. Prima però di esaminare nel dettaglio i più recenti interventi normativi, pare opportuno svolgere una panoramica evolutiva del contesto italiano in cui tali provvedimenti sono andati inserendosi, tralasciando, tuttavia, le disposizioni contenute nel Codice dell’Amministrazione Digitale (D.lgs. 7 marzo 2005, n. 82), che saranno trattate nel Capitolo IV.

1.1. I primi interventi italiani nel contesto della cybersecurity. Il contrasto al

cybercrime

L’Italia ha mosso i suoi primi passi nel contesto della cybersecurity a partire dagli anni Novanta, in risposta alla necessità di approntare una tutela giuridica adeguata nei confronti delle nuove tipologie di reati venute in essere parallelamente allo sviluppo ed alla diffusione delle ICT. Pertanto, il primo vero intervento legislativo specifico in materia è stato la L. n. 547/1993, recante Modificazioni ed integrazioni alle norme del

Codice Penale e del Codice di Procedura Penale, adottata sulla scia della

Raccomandazione del 13 settembre 1989 del Consiglio d’Europa sur la criminalité en

relation avec l’ordinateur (n. R. 89/9), all’interno della quale venivano indicate una

144

lista minima (ed in parte anche quella facoltativa), ha disciplinato alcuni specifici reati informatici molto eterogenei fra loro, raggruppabili in quattro macro-categorie: frodi informatiche, falsificazioni di documenti informatici, lesioni dell’integrità dei dati e dei sistemi, ed infine, violazioni della riservatezza delle comunicazioni informatiche.1 L’ordinamento italiano, prima di allora, appariva del tutto sguarnito di fattispecie incriminatrici idonee a fronteggiare la proliferazione dei reati informatici, e, già a partire dagli anni Ottanta, si era iniziata a percepire la necessità di una disciplina ad

hoc. Infatti, la categoria dei crimini cibernetici presentava delle caratteristiche del tutto

peculiari, incompatibili con quelle dei reati tradizionali.2_{Prima della L. n. 547/1993,}

nell’ordinamento italiano erano presenti solamente scarne disposizioni, come ad esempio l’art. 420 c.p.3_{, recante la disciplina per le fattispecie di Attentato a impianti}

di pubblica utilità. In particolare, la giurisprudenza (Tribunale di Firenze, sentenza 27

gennaio 1986) aveva già qualificato come atti di sabotaggio degli impianti di elaborazione dati, rientranti nella fattispecie dell’allora vigente art. 420 c.p., “quelle alterazioni magnetiche che rendono impossibile l’accesso e l’utilizzo delle informazioni memorizzate in dischi, così da risultare in pratica distrutte, anche se il danno arrecato ai supporti debba considerarsi riparabile”.4 La L. n. 547/1993, fra le varie tipologie di cybercrime introdotte, aveva peraltro modificato anche l’art. 420 c.p., facendo rientrare espressamente nel campo di applicazione della norma anche il danneggiamento o la distruzione di “sistemi informatici o telematici di pubblica utilità, ovvero dati, informazioni o programmi in essi contenuti o ad essi pertinenti”, nonché “l’interruzione anche parziale del funzionamento dell’impianto o del sistema”.5

Altro importante intervento legislativo è stata la L. n. 269/1998, recante Norme contro

lo sfruttamento della prostituzione, della pornografia, del turismo sessuale, in danno di minori, quali nuove forme di riduzione in schiavitù. Di particolare rilievo risulta

1 _{Simoncelli L., I crimini informatici, la disciplina nell’ordinamento italiano e la cooperazione} internazionale, Luiss Università Guido Carli, Roma, 2014, p. 43

2 _{Per approfondimenti sul cybercrime: Picotti L., La nozione di criminalità informatica e la sua} rilevanza per le competenze 87 penali europee, in Riv. trim. Dir. pen. econom., 2911, p. 842, citato in

(Simoncelli, 2014), p. 42

3 _{Come introdotto dall’art. 1 D.lgs. 21 marzo 1978, n. 59, convertito e modificato dalla Legge 18 maggio}

1978, n. 191.

4 _{Fra le altre sentenze in materia di cybercrime di quegli anni si segnala la sentenza del Tribunale di}

Roma del 20 giugno 1985. Per ulteriori approfondimenti su tali e altre vicende giudiziarie, si veda: Di S. Ippolito C. S., Informatica, internet e diritto penale, Giuffrè, 2010, pp. 236-253

145

essere la disposizione di cui all’art. 14, concernente l’attività di contrasto, che al comma 2 assegna al Servizio di Polizia Postale e delle Comunicazioni del Dipartimento di Pubblica Sicurezza del Ministero dell’Interno, il compito di svolgere le attività occorrenti per il contrasto ai reati di prostituzione minorile (600-bis c.p.), pornografia minorile (600-ter c.p.), iniziative turistiche volte allo sfruttamento della prostituzione minorile (600-quinquies c.p.), e di detenzione di materiale pornografico realizzato utilizzando minori (600-quater)6_{, quando siano “commessi mediante}

l’impiego di sistemi informatici o mezzi di comunicazione telematica, ovvero utilizzando reti di telecomunicazione disponibili al pubblico” (art. 14, comma 2, L. n. 269/1998).

Peraltro, in tale contesto, la L. n. 38 del 2006 ha successivamente operato importanti modifiche all’impianto della L. n. 269 del 1998, prevedendo l’istituzione, all’art. 14- bis, del CNCPO (Centro Nazionale per il Contrasto della Pedopornografia Online), presso il Servizio di Polizia Postale e delle Comunicazioni, ed all’art. 17, comma 1- bis, dell’Osservatorio per il contrasto della pedofilia e della pornografia minorile, presso il Dipartimento per le pari opportunità della Presidenza del Consiglio dei Ministri. Di tali rilevanti modifiche e delle altre innovazioni apportate dalla L. n. 38/2006 si dirà in maniera più approfondita nel paragrafo n. 3 del presente Capitolo, nell’ambito della trattazione dedicata alla Polizia Postale e delle Comunicazioni. Altra importante iniziativa è stata il D.lgs. n. 231/2001, recante la Disciplina della

responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della Legge 29 settembre 2000, n. 300. Tale Decreto legislativo ha infatti sancito la responsabilità

amministrativa da reato di vari soggetti (enti pubblici e privati, società ed associazioni), in caso di illecito commesso da quanti agiscono in nome e per conto di essi, prevedendo l’applicazione di apposite sanzioni pecuniarie ed interdittive. In maniera più specifica, l’illecito sussiste esclusivamente se commesso da persone legate all’ente medesimo da una particolare relazione interorganica, nell’interesse dell’ente o a suo vantaggio. L’ente, dunque, non risponde qualora riesca a dimostrare che colui che ha commesso l’illecito abbia agito nell’interesse esclusivo proprio o di terzi (art. 5, comma 2), ovvero qualora abbia adottato tutte le misure necessarie ad impedire la

146

commissione dei delitti del tipo perpetrato, elencate all’art. 6 del Decreto.7 In particolare, per quanto più attiene ai fini della presente trattazione, l’art. 24 del D.lgs. n. 231/2001, sancisce la responsabilità amministrativa dell’ente in caso di frode informatica (art. 640-ter c.p.) commessa in danno dello Stato o di un ente pubblico. L’art. 24-bis, invece, introdotto successivamente dall’art. 7 della Legge 18 marzo 2008, n. 48, di ratifica ed esecuzione della Convenzione di Budapest sul cybercrime del 2001, disciplina la responsabilità amministrativa dell’ente in caso di commissione di una serie di delitti informatici (artt. 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies, 615-quater, 615-quinquies, 491-bis e 640- quinquies c.p.), prevedendo al contempo diversi livelli di sanzioni pecuniarie ed interdittive.

La Legge 18 marzo 2008, n. 48, ha inoltre apportato numerose altre modifiche al codice penale, di procedura penale ed al D.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali). Tale Legge ha in particolare introdotto i reati di: falsa dichiarazione o attestazione al certificatore di firma elettronica sull’identità o su qualità personali proprie o di altri (art. 495-bis c.p.); diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.); danneggiamento di informazioni, dati e programmi (art. 635-bis c.p.); danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.); danneggiamento di sistemi informatici o telematici (art. 635-quater); danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies);frode informatica del soggetto che presta servizi di certificazione di firma elettronica (art. 640-quinquies).

Un’importante disposizione è quella prevista all’art. 10 della Legge n. 48/2008, che ha aggiunto i commi 4-ter, 4-quater, 4-quinquies all’art. 132 del Codice in materia di protezione dei dati personali, assegnando al Ministero dell’Interno il potere8 _di

ordinare, ai fornitori ed agli operatori di servizi informatici o telematici, la conservazione e la protezione, secondo modalità prestabilite e per al massimo 90 giorni

7 _{Petrone M. M., Internet e le sue insicurezze: strumenti, soggetti e contesti, Giapeto Editore, 2014, p.}

112. Essendo stato utilizzato il formato e-book di tale opera per la stesura della presente Tesi, si precisa che il numero di pagina indicato potrebbe non corrispondere al numero di pagina della versione cartacea.

8 _{Il Ministero dell’Interno può delegare tale potere agli uffici specializzati in materia informatica o}

147

(prorogabili per al massimo 6 mesi), dei dati relativi al traffico telematico (pur escludendo i contenuti delle comunicazioni), con la finalità di agevolare l’attività d’indagine di tali organi, o per accertare e reprimere specifici reati. Tali provvedimenti richiedono comunque l’assenso da parte del Pubblico Ministero del luogo di esecuzione, in quanto, in caso di sua mancata convalida, sono destinati a perdere efficacia.

Infine, l’art. 13 della Legge n. 48/2008, individua il Ministro della Giustizia quale autorità centrale per le procedure relative alle richieste di mutua assistenza (ai sensi dell’art. 27 della Convenzione), in assenza di accordi internazionali applicabili, mentre rimanda ad un accordo fra il Ministro dell’Interno ed il Ministro della Giustizia, per l’individuazione del punto di contatto, disponibile 24 ore su 24 e sette giorni su sette, per l’assistenza immediata alle indagini relative ai cybercrime, o per la raccolta di prove in formato elettronico, previsto dall’art. 35 della Convenzione. Tale accordo è confluito nel Decreto interministeriale del 24 novembre 2009, che ha individuato quale punto di contatto nazionale, il Servizio di Polizia Postale e delle Comunicazioni. In conclusione, merita fare un rapido accenno alla problematica della tutela del diritto d’autore sulla rete, alla quale fu data una risposta legislativa fin dal 1992 mediante l’attuazione della Direttiva 91/250/CEE (relativa alla tutela giuridica dei programmi per elaboratore) con il D.lgs. 29 dicembre 1992, n. 518, che insieme alla L. 18 agosto 2000, n. 248, recante nuove norme di tutela del diritto d’autore, ha modificato in più punti la vecchia Legge 22 aprile 1941, n. 633. Non bisogna poi dimenticare che il Decreto Legge 22 marzo 2004, n. 729, recante alcuni interventi per il contrasto alla diffusione telematica abusiva di materiale audiovisivo e per il sostegno delle attività cinematografiche e dello spettacolo, ha innovato profondamente la precedente disciplina, rivelatasi inadeguata a contrastare le violazioni in rete.

148

1.2. Le prime iniziative per la sicurezza informatica nelle pubbliche

amministrazioni

L’art. 15, comma 1, della L. n. 59 del 15 marzo 199710_{, ha rappresentato un punto di}

svolta per la storia della digitalizzazione della PA, avendo previsto l’istituzione della

Rete Unitaria della Pubblica Amministrazione (RUPA), della cui realizzazione veniva

incaricata l’allora esistente Autorità per l’Informatica nella Pubblica Amministrazione (AIPA). La RUPA, poi sostituita dal Sistema Pubblico di Connettività (SPC)11_{, è stata}

un esempio di eccellenza per le reti italiane in generale, soprattutto per quanto concerne il punto di vista della sicurezza.12

Successivamente, con Decreto interministeriale del 21 settembre 1999, fu costituito un

Gruppo di lavoro per il settore della sicurezza delle reti e della tutela delle

comunicazioni, i cui membri furono nominati dal Ministero delle Comunicazioni, dal Ministero della Giustizia e dal Ministero dell’Interno. Più specificamente, l’attività del Gruppo si concentrò sullo studio delle risorse tecniche e normative di cui si necessitava per un’evoluzione sicura dei servizi di telecomunicazione, nell’ottica del rapporto intercorrente fra la Pubblica Amministrazione e gli organismi di telecomunicazione.13 In seguito, con Decreto del Ministro delle Comunicazioni del 14 gennaio 200314, adottato in concerto con il Ministro della Giustizia ed il Ministro dell’Interno, tale esperienza fu stabilizzata con l’istituzione di un Osservatorio per la sicurezza e la

tutela delle reti e delle comunicazioni, operante nell’ambito del Ministero dello

Sviluppo Economico (MISE). L’Osservatorio prevedeva un coinvolgimento istituzionale più ampio rispetto al precedente Gruppo, di cui ereditava in toto le funzioni, essendo partecipato anche da rappresentanti del Ministero della Difesa, del Dipartimento per la Funzione pubblica, del Dipartimento per l’Innovazione e le Tecnologie. Al proprio interno, peraltro, operava anche un sottogruppo Internet, con

10 _{Abrogato dal D.lgs. 7 marzo 2005 n. 82, come modificato dal D.lgs. 4 aprile 2006 n. 159.}

11 _{Istituito dal D.lgs. 28 febbraio 2005, n. 42. La disciplina del SPC è poi a sua volta confluita nel CAD,}

in quanto anche il D.lgs. 28 febbraio 2005, n. 42, è stato successivamente abrogato dal D.lgs. 4 aprile 2006 n. 159, che ha modificato il D.lgs. 7 marzo 2005 n. 82.

12 _{ISCOM, La sicurezza delle reti dall’analisi del rischio alle strategie di protezione, Ministero delle}

Comunicazioni, Roma, marzo 2005, p. 71

13 _{Nazzaro G., Il nuovo centro della Procura di Roma: le intercettazioni in Italia fra passato e futuro,}

SICUREZZAeGIUSTIZIA, n. 2/2011, link: https://www.sicurezzaegiustizia.com/il-nuovo-centro- della-procura-di-roma-le-intercettazioni-in-italia-fra-passato-e-futuro/

149

il compito specifico di analizzare gli aspetti legislativi ed investigativi connessi alla rete.

1.2.1. La Direttiva della Presidenza del Consiglio dei Ministri del 16 gennaio

2002

Un ruolo centrale per la sicurezza delle ICT della Pubblica Amministrazione è stato esercitato dalla Direttiva della Presidenza del Consiglio dei Ministri, Dipartimento per l’Innovazione e le Tecnologie, del 16 gennaio 2002, relativa alla Sicurezza informatica

e delle telecomunicazioni nelle pubbliche amministrazioni. Tale Direttiva ha infatti

espressamente riconosciuto il valore strategico delle informazioni gestite dai sistemi della PA, e la conseguente necessità della loro tutela rispetto alle minacce di intrusione, divulgazione non autorizzata, interruzione o distruzione del servizio.

Più in particolare, la Direttiva assegna al Ministro per l’Innovazione e le Tecnologie ed al Ministro delle Comunicazioni il compito di sviluppare il tema della sicurezza ICT, cercando di raggiungere una posizione primaria a livello europeo non solamente in relazione alla riduzione delle vulnerabilità esistenti, ma creando una vera e propria base minima di sicurezza per la PA. A tal fine, raccomanda a tutte le PA di indirizzo di porre in essere una serie di azioni prioritarie, fra cui: una rapida autodiagnosi del livello di adeguatezza della sicurezza ICT (soprattutto nella sua dimensione organizzativa, operativa e conoscitiva), e l’attivazione delle iniziative necessarie alla creazione di una base minima di sicurezza, seguendo un approccio unitario e condiviso.

Per quanto concerne il primo profilo, l’Allegato I della Direttiva predispone un modello di questionario di autovalutazione delle PA, suddiviso in sei schede, una per ciascuna delle aree chiavi della sicurezza: Policy, Ruoli e Responsabilità, Norme e Procedure, Amministrazione della Sicurezza, Analisi del Rischio, Formazione e Sensibilizzazione. A sua volta, ogni scheda comprende una lista di modalità operative ed una guida alle domande ed alle possibili risposte. L’Allegato II della Direttiva, invece, si occupa del secondo profilo, fornendo alcune indicazioni di supporto ai

150

Ministeri per l’individuazione della base minima di misure di protezione, da tenere in conto per il successivo sviluppo di un piano complessivo.

La prima fondamentale misura individuata riguarda l’Organizzazione della sicurezza, per l’efficienza della quale l’Allegato II prescrive una serie di azioni:

- Corretta responsabilizzazione dei vari ruoli della PA, per realizzare

un’adeguata valutazione del rischio e raggiungere il livello di sicurezza necessario. - Bilanciamento fra rischio e sicurezza, nel senso che qualsiasi investimento in

sicurezza dovrebbe sempre essere collegato al rispettivo margine di riduzione del rischio, dato che essere in sicurezza significa “operare avendo ottenuto una ragionevole riduzione delle probabilità di accadimento (vulnerabilità) di una determinata minaccia la cui presenza espone il bene ad un certo rischio”.15

- Separazione dei compiti. Viene raccomandata la distinzione fra le attività di monitoraggio, cioè di controllo continuo svolto da chi realizza le misure di sicurezza,

e di verifica, cioè il controllo saltuario effettuato mediante un audit da parte di soggetti diversi rispetto a quelli che hanno realizzato le misure di sicurezza.

Inoltre, l’Allegato II delinea un Modello Organizzativo di riferimento per le PA, idoneo a soddisfare le suddette logiche di sicurezza. Al vertice del sistema viene collocato il Ministro, mentre per le organizzazioni non ministeriali (come ad esempio gli enti pubblici non economici), il Presidente o un soggetto con rappresentanza legale o altri poteri specificamente conferitili. Si prevede poi la nomina di un Consigliere

Tecnico per la Sicurezza ICT, in qualità di consulente strategico del Ministro, e

l’istituzione di un Comitato per la Sicurezza ICT, con il compito di delineare la politica di sicurezza delle infrastrutture tecnologiche. Il Responsabile della Sicurezza ICT, invece, è il soggetto deputato ad implementare ed attuare le direttive impartite dal Ministro o dal Comitato. Vengono poi previste le figure del Proprietario dei dati e

delle applicazioni, cioè ciascun direttore generale per la sfera di informazioni di diretta

competenza o trattamento, e del Responsabile dei sistemi informativi automatizzati, al quale, ai sensi del D.lgs. n. 39 del 2003, compete la pianificazione degli interventi di automazione, l’adozione delle misure di sicurezza e la committenza delle attività da affidare all’esterno. Per quanto poi riguarda queste ultime, il Gestore esterno è il

151

fornitore di servizi che opera sotto il controllo del Responsabile dei sistemi informativi automatizzati.

Infine, per sviluppare un’adeguata cultura e consapevolezza sui rischi, l’Allegato II prescrive l’attuazione di un processo di sensibilizzazione generale, attraverso la programmazione di una serie di comunicazioni, finalizzate a promuovere la corresponsabilizzazione e la consapevolezza sulle nuove logiche della sicurezza. La seconda misura prevista dall’Allegato II per la creazione della base minima, riguarda il profilo della Gestione della sicurezza, per la quale viene delineato un vero e proprio sistema composto da diversi elementi, fra cui l’adozione di: una Carta della

Sicurezza, per la definizione di obiettivi, strategie, modelli organizzativi e relativi

processi attuativi; Politiche Generali di Sicurezza, che, seguendo quanto prescritto dalla Carta, indicano le direttive da seguire per l’implementazione delle misure di sicurezza, aggiornate sulla base di eventuali cambiamenti di scenario; Politiche

Specifiche di Sicurezza, cioè misure normative concernenti argomenti rilevanti quali

l’organizzazione, il personale ed i sistemi, modificate frequentemente sulla base dei cambiamenti organizzativi e tecnologici; Specifiche Procedure, sul piano operativo, che riguardano la gestione della System Security e della Network Security, il ciclo di vita del software, la gestione operativa e degli incidenti, la continuità del servizio, il controllo ed il monitoraggio del sistema, la sicurezza del personale.

La terza misura di base riguarda l’Analisi del rischio, percepita come “un processo fondamentale per la pianificazione, realizzazione e gestione di qualsiasi sistema di sicurezza ICT”16_{. Viene dunque tracciato uno schema da seguire per porre in essere}

tale attività, costituito dall’identificazione e valutazione dei beni, delle minacce, delle vulnerabilità, dei controlli di sicurezza esistenti e pianificati, ed infine, sulla base delle informazioni in tal modo ottenute, dalla selezione degli specifici controlli di sicurezza e di riduzione dei rischi.

La quarta misura individuata dall’Allegato II è costituita dal Controllo degli accessi, il quale a sua volta può essere di tipo fisico, che si ha quando il controllo riguarda l’accesso del personale ai locali che ospitano le varie risorse informatiche, e che, per quanto riguarda i Centri di produzione come ad esempio i Data Center, avviene mediante l’utilizzo di badge elettronici o smart card strettamente personali, rilasciate

152

esclusivamente al personale conosciuto, o di tipo logico, che si ha quando il controllo riguarda l’accesso di un utente alle risorse di un sistema ed alle informazioni in esso contenute. Più specificamente, si prescrive che l’identificazione e l’autenticazione avvengano mediante l’utilizzo di un user ID e di una password. Per gli utenti esterni che lavorano con continuità sui sistemi della PA, si prevede l’utilizzo di un user ID che identifichi la persona, il ruolo o l’ente. Le password invece devono rispettare determinati requisiti di sicurezza e sono sottoposte periodicamente ad alcuni controlli di qualità. Infine, in presenza di dati particolarmente sensibili, deve essere privilegiato l’accesso tramite smart card.

La quinta misura prevista per la base minima riguarda la Protezione Antivirus, per la quale l’Allegato II, dopo aver preso atto dell’importanza di tale parametro, detta una procedura di gestione della contaminazione/anticontaminazione.

La sesta misura prevista per la base minima riguarda la Gestione dei Supporti, la quale deve rispettare la riservatezza delle informazioni in essi contenute, predisponendo anche copie di back-up su supporto elettronico, al fine di rendere tutte le applicazioni facilmente ripristinabili in caso di emergenza. Le copie devono inoltre rispettare determinati requisiti di sicurezza sia fisica che logica elencati nell’Allegato II.

Infine, l’ultima misura prevista dall’Allegato II riguarda la Gestione degli Incidenti, per la quale si rende necessario sia predisporre una procedura ad hoc che istituire un CERT dell’Amministrazione.