La Proposta di direttiva UE sulla sicurezza delle reti e dell’informazione

Orientata verso un sistema di gestione condivisa tra pubblico e privato, la recente proposta di direttiva dell’Unione europea mira a garantire la sicurezza delle reti e delle

49 _{A. BONDI, La ricchezza delle sanzioni, in Il prezzo del reato, a cura di A. BONDI, GA.}

MARRA e P. POLIDORI, Torino, 2010,103 – 130.

50 _{F. A. VON HAYEK, Legge, legislazione e libertà. Critica dell’economia pianificata, trad.}

Milano, 2010, 417 ss., il quale, parlando di beni collettivi, osserva come “(..) si può pensare che (…) la

coercizione non sia necessaria, perché il riconoscimento di un interesse comune soddisfacibile soltanto con un’azione comune porterebbe un gruppo di persone ragionevole ad aderire volontariamente in vista dell’organizzazione di tali servizi. Sebbene ciò possa avvenire in gruppi relativamente piccoli non è certamente vero in quelli più numerosi. Trattandosi di grandi numeri, molti individui, per quanto desiderino l’attuazione dei servizi in questione, pensano, a ragione, che i risultati non varieranno se loro contribuiranno o meno alle spese. Né un individuo che acconsente a contribuire avrà l’assicurazione che gli altri faranno altrettanto, e che quindi si raggiunga lo scopo. Invero, considerazioni perfettamente razionali porteranno ogni individuo a rifiutarsi a contribuire, sperando però che gli altri lo facciano”.

51 _{D. KAHNEMAN, Thinking, Fast and Slow, 2001, trad. it. L. SERRA, Pensieri lenti e veloci,}

Milano, 2012.

informazioni, nell’ambito della politica di “mantenimento e sviluppo di uno spazio di

libertà, sicurezza e giustizia”53.

L’Unione europea si era già dimostrata consapevole delle potenzialità offensive scaturenti da un uso distorto di Internet, amplificato dalla sua dimensione reticolare e globale. La Convezione di Lisbona ha infatti previsto l’inserimento della criminalità informatica tra le nove materie tassative che consentono l’adozione di norme penali (art. 83 TFUE)54. Inoltre, la direttiva relativa agli attacchi contri i sistemi di informazione (dir. 2013/40/UE) sostituisce la decisione quadro 2005/222/GAI ed enuncia una serie di obblighi di criminalizzazione coincidenti con le fattispecie introdotte dal legislatore italiano nel 1993 e nel 2008.

La proposta di direttiva del 2013 assume come presupposto imprescindibile per una strategia efficace di contrasto al cybercrime la dimensione ultrastatuale del fenomeno, dalla quale deriva la necessità di armonizzare le discipline penalistiche sostanziali e processuali nazionali. In effetti, gravi incidenti al sistema informatico di un paese possono ripercuotersi avverso i sistemi degli altri stati membri o delle strutture istituzionali dell’Unione55

.

Il legislatore UE delinea un sistema preventivo basato sulla predisposizione di adeguate misure di gestione del rischio-reato, che richiede il diretto contributo dal basso, da parte degli operatori del mercato e delle pubbliche amministrazioni56. Questo aspetto avvicina la proposta alle teorie sul bene comune, nell’enfatizzazione del ruolo attivo riservato a taluni componenti della comunità virtuale. Le analogie si arrestano qui. Infatti, a differenza dei modelli di gestione dei Commons non è previsto un diretto coinvolgimento di tutti gli utenti della Rete, ma soltanto di quelli che la popolano e sfruttano per fini economici. Un motivo di tale opzione politica può essere intravisto nella posizione che rivestono gli operatori del mercato, quali snodi ove si concentrano elevate quantità di comunicazioni e, in quanto tali, possono essere veicoli o occasioni di delitto.

Il progetto di direttiva non abbandona la ripartizione gerarchica dei compiti, ma disegna una struttura organizzativa piramidale, nella quale la creazione di un circuito di scambio sicuro delle informazioni sensibili e riservate tra autorità competenti costituisce uno degli elementi centrali nel coordinamento dell’azione di prevenzione del

cybercrime a livello dell’Unione. Alla Commissione europea, in posizione di vertice e

raccordo con le Autorità nazionali competenti, è conferito il potere di adottare, mediante atti di esecuzione, un piano unionale di collaborazione in materia di sicurezza delle reti

53 _{Considerando n. 2, proposta di direttiva, COM (2013) 48 final – 2013/0027 (COD), sulla}

sicurezza delle reti e delle informazioni.

54 _{La Commissione europea ha emanato la comunicazione JOIN(2013)1 del 7 febbraio 2013, la}

quale pone, tra gli obiettivi primari dell’azione dell’Unione indicati nella Strategia di sicurezza interna (SSI) 2010-2014, l’aumento dei livelli di sicurezza per i cittadini e le imprese nel ciberspazio costituisce uno degli obiettivi.

55 _{Al Considerando 3 della proposta di direttiva si afferma: “gravi perturbazioni di tali sistemi in}

uno Stato membro possono ripercuotersi sugli altri Stati membri e avere conseguenze in tutta l’UE. La resilienza e la stabilità delle reti e dei sistemi informativi è quindi essenziale per l’armonioso funzionamento del mercato interno.”.

56 _{M. DONINI, Il volto attuale dell’illecito penale, cit., 107, il quale rileva come l’emergenza}

legislativa del rischio, a partire dal diritto penale del lavoro, fa riferimento al criterio della ‘riduzione al minimo del rischio’ (concetto introdotto dalla giurisprudenza nella concretizzazione degli obblighi di aggiornamento tecnologico del datore di lavoro genericamente dettati dall’art. 2087 c.c., imposti dalla UE).

e delle informazioni (SRI), con l’obiettivo di minimizzare l’impatto d’incidenti a carico delle reti e dei sistemi informativi relativi ai servizi principali prestati. Compete ad essa anche il compito di emanare linee guida e buone pratiche organizzative uniformi per tutti gli Stati UE e può concludere accordi con altri stati o organizzazioni internazionali (art. 13). Deputata all’assistenza tecnica degli Stati membri e della Commissione, l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA) agevola la diffusione e lo scambio di buone pratiche (considerando 13). Inoltre, in seno ad Europol opera, a partire dagli inizi del 2013, il Centro europeo per la lotta alla criminalità informatica.

A livello statale, Autorità nazionali competenti in materia di sicurezza delle reti e dei sistemi informativi verranno dotate dei poteri necessari per indagare i casi di mancato rispetto, da parte delle amministrazioni pubbliche o degli operatori del mercato, degli obblighi organizzativi loro imposti (art. 14) e degli effetti sulla sicurezza delle reti e dei sistemi informative. Infine, squadre di pronto intervento informatico (CERT), operanti sotto la supervisione dell’Autorità nazionale competente, assolveranno il compito di trattare gli incidenti e i rischi secondo una procedura precisa, avvalendosi di un’infrastruttura di informazione e comunicazione sicura e resiliente a livello nazionale, a sua volta compatibile e interoperabile con il sistema sicuro di scambio di informazioni57.

Il fulcro del funzionamento del complesso sistema è costituito però dalle imprese e dalle pubbliche amministrazioni, paragonabili a sentinelle che devono allertare i livelli superiori in relazione ai rischi o incidenti coi quali vengono in contatto.

L’allegato 2 si preoccupa di specificare quali siano i soggetti qualificati come operatori di mercato: si tratta essenzialmente dei fornitori di servizi dell’informazione58. Essi dovranno ottemperare a due obblighi: da un lato, sono tenuti a dare comunicazione ai livelli gerarchici superiori degli incidenti informatici nei quali incorrono; dall’altro, devono predisporre misure tecniche e organizzative tendenti a “prevenire e minimizzare

l’impatto di incidenti a carico delle reti e dei sistemi informativi relativi ai servizi principali prestati, assicurando in questo modo a continuità dei servizi supportati da tali reti e sistemi informativi”59. Gli operatori di mercato e le p.a. non sono soltanto destinatari di meri obblighi di astensione o di divieti, ma sono chiamati all’individuazione delle cautele da osservare per prevenire i rischi d’incidenti e sono tenuti a trasfonderli nei propri modelli organizzativi. In questo senso, la proposta sembra suggerire la scelta di un modello preventivo basato su una sorta di ‘autoregolamentazione regolata’, nella misura in cui la legge impone che siano gli stessi attori che agiscono sul mercato virtuale a dotarsi di regole da osservare. La

57 _{L’art. 10 della proposta di direttiva istituisce la procedura di preallarme, ossia la segnalazione da}

parte delle autorità nazionali competenti e della Commissione, attraverso la rete di collaborazione facente capo ad ENISA di rischi o incidenti di portata sovranazionale.

58 _{“Allegato 2. - Elenco degli operatori del mercato}

Operatori di cui all’articolo 3, paragrafo 8, lettera a): 1. Piattaforme di commercio elettronico

2. Portali di pagamento su internet 3. Reti sociali

4. Motori di ricerca

5. Servizi nella nuvola (cloud computing) 6. Negozi online di applicazioni.”

Commissione avrà il compito di coordinare e rendere uniforme ed omogeneo il panorama europeo delle prescrizioni a contenuto cautelare e precautelare, mediante l’emanazione di linee guida e buone pratiche; le Autorità nazionali indipendenti, infine, saranno deputate, tra le altre cose, alla sorveglianza del corretto adempimento e osservanza degli obblighi prescrizionali prescritti agli attori privati.

La proposta si preoccupa, tuttavia, di specificare che l’adozione delle misure tecniche e tecnologiche non deve tradursi in un onere di spesa troppo gravoso per le imprese. Si vuole così evitare di comprimere la libera concorrenza e la libertà d’iniziativa economica sul mercato del web, a favore della creazione di oligopoli o monopoli da sempre nemici delle politiche economiche dell’Unione europea60

. Si suggerisce piuttosto all’operatore di valutare la scelta delle misure organizzative e tecnologiche da adottare in base al criterio di proporzione rispetto al rischio cui sono esposti la Rete o il sistema informativo, alla luce dello stato dell’arte. In sostanza, trasmigra verso il settore della sicurezza delle Reti e delle comunicazioni il modello preventivo caratterizzato dall’osservanza di protocolli, linee guida e buone pratiche già sperimentato in altri ambiti, come quello medico, lavoristico, etc.61.

Questo sistema che introduce il diretto coinvolgimento degli attori principali che gestiscono i servizi nel web dovrebbe scongiurare il rischio di far ricadere il costo della sicurezza sull’utente finale. Ma di riflesso potrebbe determinarsi un aumento dei costi dei servizi erogati. L’internauta, ad ogni modo, non è del tutto estromesso dall’attività di contrasto del cybercrime: si pensi alla necessaria dotazione delle misure di sicurezza quale condizione obiettiva di punibilità del reato di accesso abusivo a sistema informatico (art. 615-ter). Sicchè l’accesso al sistema informatico privo di tali misure non può configurarsi come reato. E’ evidente tuttavia come i modelli preventivi siano pensati soprattutto per le società o gli enti, ossia per strutture organizzative complesse, caratterizzate da una ripartizione dei ruoli e delle responsabilità e non per monadi isolate che popolano la Rete.

La generalizzazione dell’obbligo di adozione delle misure organizzative per gli operatori compresi nell’elenco di cui all’allegato 2 dovrebbe poi servire a contenere il numero dei c.d. free riders, ossia di quei fornitori che non apprestano alcuna precauzione o protezione del sistema, ma sfruttano i benefici di una Rete sicura ottenuta attraverso il comportamento virtuoso degli altri concorrenti diretti o indiretti, senza assumersi alcuna parte dei costi.