Il recepimento della direttiva 2018/1972 ridisegna il sistema dei controlli pubblici(stici) su reti e servizi di comunicazione elettronica e introduce nuovi obblighi specifici per la tutela della sicurezza nazionale; ma evidenzia anche il ruolo crescente dell’Unione europea su un tema sul quale, però, non ha giurisdizione. L’analisi di Andrea Monti, professore incaricato di Digital law nel corso di laurea in Digital marketing, già professore incaricato di diritto dell’ordine e sicurezza pubblica dell’Università di Chieti-Pescara
Il 24 dicembre 2021 entrerà in vigore il d.lgs. 207/2021 che recepisce la direttiva 2018/1972. Come ogni direttiva, anche questa ha l’obiettivo di creare un sistema normativo armonizzato fra i Paesi dell’Unione. Nel caso specifico, l’oggetto dell’armonizzazione è il sistema regolamentare dell’esercizio delle reti e della prestazione di servizi di comunicazione elettronica.
A differenza dell’oramai superato Codice istituito con il d.lgs. 259/03, il nuovo testo dedica molto spazio al tema della sicurezza. Basta osservare che il termine in questione ricorre in ben trenta delle 108 pagine del provvedimento, a dimostrazione della centralità che il legislatore nazionale e (problematicamente, come si vedrà) quello comunitario hanno riservato a questo tema.
Il testo del decreto è particolarmente complesso, e dunque per capirne i contenuti è più utile affrontare i differenti ambiti di intervento invece di commentare analiticamente i singoli articoli.
Sicurezza nazionale e protezione dei dati personali
Il primo — e più importante — principio espresso dal Codice (articolo 1 comma 6) è quello che le sue disposizioni “si applicano fatte salve le limitazioni derivanti da esigenze della difesa e della sicurezza dello Stato, della protezione civile, della salute pubblica e della tutela dell’ambiente e della riservatezza e protezione dei dati personali, poste da specifiche disposizioni di legge o da disposizioni regolamentari di attuazione”.
Da un lato, il legislatore ha giustamente stabilito che le esigenze di difesa e sicurezza dello Stato non possono essere compromesse dall’applicazione delle regole comunitarie. Nello stesso tempo, tuttavia, ha equiparato alla tutela della sicurezza nazionale il diritto alla protezione dei dati personali.
Questa è una scelta contraddittoria e problematica perché —basta pensare, da ultimo, al dibattito pubblico sulla campagna vaccinale e sul green pass— gli interessi nazionali e collettivi prevalgono strutturalmente sui diritti individuali. Avere elevato la protezione dei dati personali allo stesso livello della sicurezza nazionale è una scelta commendevole ma, forse, adottata senza una esatta valutazione dell’impatto sulle politiche di sicurezza del Governo e sulle capacità operative di Aisi e Aise.
Il concetto di “incidente di sicurezza”
L’assenza di una definizione normativa —e dunque giuridicamente rilevante— di “incidente informatico” è uno degli aspetti che, negli ultimi anni, ha generato particolare confusione in istituzioni e imprese. In questo ambito si registra da tempo il ricorso a un principio di precauzione (peraltro, dai contenuti puramente empirici) per evitare la possibile applicazione di sanzioni in materia di mal-trattamento di dati personali. Di conseguenza sono stati qualificati come evento rilevante ai fini delle segnalazioni di data-breach anche di fatti oggettivamente inoffensivi, come nel caso di contagi ransomware che non hanno evidenziato esfiltrazioni di dati o che sono stati efficacemente contrastati dalla presenza di back-up e dunque non hanno compromesso in modo significativo i diritti e le libertà individuali degli interessati.
L’articolo 2 comma I lett. u) contribuisce (sperabilmente) a risolvere questo problema perché individua le caratteristiche di un incidente di sicurezza. Per essere tale, bisogna che l’evento produca “un reale effetto pregiudizievole per la sicurezza delle reti o dei servizi di comunicazione elettronica”. È vero che l’ambito operativo non riguarda direttamente i dati personali, ma è anche vero che le regole dell’interpretazione giuridica consentono di avvalersi di questa norma anche al di fuori del suo perimetro operativo iniziale.
La (contradditoria) protezione della segretezza delle comunicazioni
L’aspetto qualificante dell’articolo 3 del nuovo Codice è l’importanza attribuita a due elementi dell’esercizio di reti di comunicazione elettronica ai fini della tutela della segretezza delle comunicazioni. Da un lato viene imposto un dovere generale di mantenimento di integrità e sicurezza delle reti, dall’altro è previsto il rispetto di un dovere di prevenire interferenze di sicurezza.
Benché del tutto condivisibile in linea di principio, il “peccato originale” dell’avere equiparato la protezione dei dati personali alla tutela degli interessi dello Stato (ribadito nel successivo comma IV) rende più difficile adottare misure di sicurezza di tipo preventivo.
Nella sostanza, dunque, siamo di fronte a una sorta di Tela di Penelope che prima viene tessuta per coprire le necessità di sicurezza e poi disfatta per “proteggere i dati personali”, creando non poche difficoltà agli operatori autorizzati che si troveranno di fronte a un vero e proprio “Comma 22”.
Il ruolo attivo di Mise e Agcom e l’erosione delle prerogative della magistratura e delle agenzie di sicurezza
Mise e Agcom ricevono dall’articolo 4 comma I lett. d) il compito di garantire un livello elevato di protezione degli utenti finali preservando la sicurezza delle reti. La norma, dunque, attribuisce loro poteri di intervento (che tuttavia dovranno necessariamente essere declinati in ulteriori provvedimenti, magari di rango secondario) che oggi sono riservati alla magistratura ordinaria e agli apparati di sicurezza dello Stato. Il tema è ulteriormente complicato dal successivo comma II che individua il dovere di garantire la sicurezza delle reti poste a “presidio” dell’ordine pubblico e dunque sotto la “giurisdizione esclusiva” del Ministero dell’interno.
Sarà dunque fondamentale capire quali attribuzioni potranno essere sottratte ad organi e apparati che oggi le esercitano, e in che modo sarà garantito il coordinamento operativo.
Sicurezza e sovranità digitale
Con una frase laconica, quasi “lasciata andare”, sempre il secondo comma dell’articolo 4 stabilisce un principio fondamentale in materia di sovranità digitale, dettando tre principi che condizioneranno l’attività regolamentare:
– garantire la convergenza, la interoperabilità tra reti e servizi di comunicazione elettronica;
– utilizzare di standard aperti;
– rispettare il principio di neutralità tecnologica.
Se attuati in modo coordinato, questi principi consentiranno l’emancipazione dell’infrastruttura tecnologica nazionale dalla “schiavitù elettronica” e avranno un impatto diretto sull’istituzione del Cloud nazionale e sul funzionamento di Gaia-X.
Mini golden-power, “executive order” e sicurezza
Essere parte della Ue consente a qualsiasi azienda stabilita in uno Stato membro di richiedere l’autorizzazione ad esercitare reti o prestare servizi di comunicazione elettronica sul territorio italiano. A maggior ragione questo vale per aziende appartenenti a giurisdizioni extracomunitarie. È evidente che una possibilità del genere possa potenzialmente rappresentare un pericolo per la sicurezza dello Stato dal momento che, pur facente parte della Ue, ogni Paese membro ha una propria agenda che non necessariamente coincide con quella italiana. L’articolo 11 del Codice affronta questo problema introducendo una sorta di “mini golden power” in base al quale possono essere imposte condizioni specifiche non solo per legge, ma anche (e soprattutto, verrebbe da rilevare) tramite atti regolamentari.
Oltre al “mini golden power”, l’articolo 32 comma VII attribuisce a Mise e Agcom un potere di intervento speciale nel caso in cui il titolare di un’autorizzazione generale non rispetti le condizioni alle quali è sottoposto, in modo da “comportare un rischio grave e immediato per la sicurezza pubblica, l’incolumità pubblica o la salute pubblica, o da ostacolare la prevenzione, la ricerca, l’accertamento e il perseguimento di reati o da creare gravi problemi economici od operativi ad altri fornitori o utenti di reti o di servizi di comunicazione elettronica”. Si tratta di una norma che, se applicata letteralmente, potrebbe avere effetti potenzialmente dirompenti sul mercato dei servizi; sarà dunque essenziale capire come verrà interpretata dalle autorità competenti.
Il ruolo dell’Agenzia per la cybersicurezza
L’Agenzia per la cybersicurezza assume un ruolo centrale anche nella gestione dei procedimenti autorizzatori. Per esempio, il comma 5 dell’articolo 13 impone al Mise il dovere di richiedere all’Agenzia un parere sulle eventuali condizioni aggiuntive da porre alle imprese che chiedono l’autorizzazione ad operare nel settore telco.
L’aspetto più importante, tuttavia, è l’attribuzione all’Agenzia delle competenze definite nell’intero Titolo V del Codice che, appunto, è rubricato icasticamente con una parola: “Sicurezza”.
Sinteticamente, spettano all’Agenzia compiti di:
– definizione delle misure di sicurezza che le imprese autorizzate sono obbligate ad adottare,
– valutare la gravità degli incidenti di sicurezza ai fini dell’impatto sul corretto funzionamento di reti e servizi (e dunque dell’eventuale irrogazione di sanzioni),
– ricevere le segnalazioni di incidenti da parte delle imprese autorizzate,
– (imporre alle imprese autorizzate di) informare il pubblico in caso di incidenti di sicurezza,
– informare il Garante dei dati personali sull’accadimento di incidenti che riguardano dati personali,
– eseguire audit di sicurezza presso le imprese autorizzate,
Conclusioni: il problema della sicurezza europea
Al di là del merito (largamente condivisibile) delle scelte in materia di sicurezza compiute dal Codice delle comunicazioni elettroniche, non si può trascurare l’impatto dell’iperattività comunitaria su temi che non sono di stretta competenza dell’Unione come, appunto, la sicurezza e la difesa dello Stato, l’ordine pubblico e gli interessi nazionali.
Consapevoli dell’impasse giuridico causato dall’assenza di una costituzione europea e dunque della trasformazione della Ue in un soggetto dotato di sovranità diretta nei confronti dei membri e superiorem non recognoscens la scelta politica è stata quella di una continua erosione di fatto dei confini con le competenze nazionali utilizzando l’intera “scatola degli attrezzi” dell’ingegneria giuridica comunitaria. Benché sul lungo periodo questo approccio possa alla fine portare dei risultati, le emergenze causate dai dossier attualmente in discussione — da quello ucraino, a quello dell’energia, a quello dei rapporti con Cina e Russia, tanto per citare i più noti — non consentono di continuare a operare interventi di nanochirurgia giuridica.
È indispensabile, in altri termini, portare a compimento con estrema urgenza il processo di evoluzione della Ue verso un soggetto politicamente autonomo che abbia la forma giuridica — oltre che la sostanza politica — di un’entità sovrana. E forse proprio le necessità di sicurezza e difesa comune riusciranno ad accelerare questo processo di trasformazione, dove invece altro (e altri) hanno fallito.