Il dipartimento di Giustizia ha istituito il Data Security Program per impedire che Paesi ritenuti a rischio – come Cina, Russia, Iran, Corea del Nord, Cuba e Venezuela – accedano a dati sensibili e governativi americani. Il regime impone rigorosi controlli sulle transazioni che coinvolgono informazioni strategiche
Questa settimana il dipartimento di Giustizia degli Stati Uniti ha dato il via a un programma di sicurezza dei dati (Data Security) che introduce restrizioni senza precedenti per impedire a Stati come la Cina e la Russia di accedere a informazioni sensibili e a dati governativi. L’iniziativa mira a rafforzare la sicurezza nazionale e a proteggere gli Stati Uniti da minacce di spionaggio e sorveglianza.
Gli obiettivi
Il nuovo programma, promosso dalla divisione sicurezza nazionale del dipartimento di Giustizia, si focalizza sulla protezione dei dati considerati critici, tra cui informazioni dettagliate sulla posizione geografica vicino a siti sensibili, dati relativi a dipendenti governativi attuali o passati, e sei categorie di dati personali, tra cui dati genomici, biometrici, sanitari, finanziari e altri identificatori. L’obiettivo principale è limitare le possibilità per quei Paesi definiti “di interesse” di sfruttare tali informazioni per fini di spionaggio economico e militare.
I Paesi di interesse
Il programma identifica sei “Paesi di interesse” – Cina (inclusi Hong Kong e Macao), Russia, Iran, Corea del Nord, Cuba e Venezuela – nei quali operano forze e gruppi ritenuti a rischio di compromettere la sicurezza nazionale degli Stati Uniti. L’accesso a transazioni considerate “riservate” è strettamente regolamentato: le aziende devono adeguarsi a misure di sicurezza rafforzate per poter effettuare operazioni con soggetti identificati come “coperti”. In particolar modo, le transazioni che coinvolgono dati estremamente sensibili, come quelli genetici, sono del tutto vietate.
Le implicazioni per i privati
Il dipartimento di Giustizia ha concesso un periodo transitorio di 90 giorni, fino all’8 luglio, durante il quale non verranno prioritariamente intraprese azioni esecutive contro le aziende che si impegnano a rispettare il programma in buona fede. Entro tale termine, le imprese saranno chiamate a: verificare i flussi dei dati e identificare se gestiscono informazioni governative o dati sensibili su larga scala; avviare programmi di conformità che implementino i requisiti di sicurezza indicati dalla Cybersecurity and Infrastructure Security Agency; condurre una rigorosa due diligence sui partner commerciali esteri per individuare eventuali soggetti “coperti”; inserire clausole contrattuali che proibiscano la trasmissione di dati verso paesi a rischio. Ulteriori requisiti, quali audit e sistemi di monitoraggio, entreranno in vigore a partire dal 6 ottobre 2025, rendendo il quadro normativo particolarmente stringente per le attività di data brokerage, accordi con società estere e transazioni che coinvolgono personale straniero.
Impatto sulla sicurezza nazionale
Il programma non solo riduce le vie di accesso illecito ai dati critici, ma intende anche rafforzare l’ecosistema della sicurezza nazionale in un’epoca in cui le minacce informatiche e lo spionaggio economico sono in costante aumento. Come sottolineato dal vice procuratore generale Todd Blanche, il nuovo regime rende “molto più difficile” il compito a chi, in veste di avversario straniero, cerca di ottenere informazioni sensibili, spostando il focus da metodi cybercriminali sofisticati all’acquisto diretto di dati sul mercato aperto o all’uso di pressioni su aziende soggette alla giurisdizione estera.
