La legge di conversione del decreto legge che istituisce l’Agenzia per la cybersecurity interviene anche su ambiti più estesi. È l’occasione per stabilire una definizione giuridica di interessi e sicurezza nazionale. L’analisi di Andrea Monti, professore incaricato di Digital Law, Università di Chieti-Pescara
Molto si è detto sull’importanza politica del decreto legge 82/2021, molto meno sui suoi contenuti giuridici e su ciò che potrebbe essere migliorato. Se, da un lato, sono chiare le attribuzioni dell’Agenzia, ci sono ancora delle parti che dovrebbero essere armonizzate: la tassonomia normativa, lo status del personale e i relativi poteri nell’acquisire le informazioni sugli incidenti, il ruolo dell’Autorità garante dei dati personali in una materia —la sicurezza nazionale— che nemmeno in ambito comunitario è fra le attribuzioni delle Autorità di protezione dei dati.
LA DEFINIZIONE GIURIDICA DI SICUREZZA NAZIONALE
Come anche la Legge 124/07, questo decreto legge non definisce normativamente né il concetto di interesse nazionale né quello di sicurezza nazionale. Benché la scelta possa essere comprensibile trattandosi di categorie che afferiscono più all’ambito delle relazioni internazionali che a quello strettamente giuridico, inserire un concetto e non definirlo è pericoloso perché consente una ampiezza interpretativa che una definizione formale avrebbe evitato. Sarebbe dunque opportuno (come peraltro rilevato anche dalla Commissione Difesa nel parere sul decreto) che in sede di emendamenti si introducesse una lettera a-bis all’articolo 1 definendo la sicurezza nazionale come il dovere del Governo di proteggere e realizzare gli interessi nazionali nel rispetto dei principi costituzionali e delle prerogative del Parlamento.
L’ARMONIZZAZIONE DELLE PREROGATIVE DEL PRESIDENTE DEL CONSIGLIO
L’articolo 2 del DL definisce le prerogative del Presidente del Consiglio già parzialmente individuate dall’art.1 della L. 124/07. Sarebbe opportuno coordinare le norme modificando il comma I dell’articolo con una premessa: 1. A integrazione delle prerogative di cui all’articolo 1 Legge 3 agosto 2007, n. 124, al presidente del Consiglio dei ministri…
LA TUTELA DELLA SOVRANITÀ TECNOLOGICA NAZIONALE E DEL MERCATO DELLA CYBERSECURITY
L’articolo 7 del Decreto è particolarmente articolato e complesso. Si può senz’altro affermare che sia il cuore della regolamentazione del modus operandi dell’Agenzia.
Il comma 1 lettera e) numero 1 attribuisce all’Agenzia il ruolo di certificatore di prodotti di cybersecurity ma non fa alcun riferimento alla necessità di privilegiare prodotti, software e servizi basati su modelli di proprietà intellettuali cosiddetti “open source” o “liberi” che consentono un accesso diretto al funzionamento degli strumenti utilizzati e consentono di ridurre il rischio di funzionalità nascoste o di vulnerabilità ignote. Il tema non è nuovo, visto che fu proprio il timore della presenza di codici informatici occulti negli apparati 5G cinesi ad accelerare l’istituzione del perimetro nazionale di sicurezza cibernetica e a porre il problema dell’analisi dei prodotti tecnologici stranieri.
È pur vero che non è sempre possibile utilizzare questi modelli di gestione della proprietà intellettuale ma sarebbe opportuno prevedere quantomeno una indicazione di principio.
Inoltre, l’indicazione sulla preferenza verso modelli di gestione della proprietà intellettuale nei termini suindicati scongiurerebbe una situazione come quella dell’Executive Order Usa che nel 2019 causò il blocco a distanza (poi revocato) dei software Adobe utilizzati in Venezuela o quella che ha portato alla revoca dell’accesso ai servizi Google a danno di Huawei. A prescindere dal merito, questi fatti sono indicativi di cosa può accadere affidandosi a tecnologie sulle quali il Governo italiano non ha un pieno e assoluto controllo.
Infine, dovrebbe essere garantita la possibilità per le aziende italiane di competere nel mercato della cybersecurity e di sviluppare in autonomia propri prodotti e servizi. L’indicazione della preferenza verso il modello di gestione della proprietà intellettuale proposto andrebbe in questa direzione.
Un modo per raggiungere questi risultati sarebbe modificare l’articolo 1 comma VII lettera e) aggiungendo un numero 1-bis) e un numero 1-ter):
1-bis Salve documentate esigenze, nell’esercizio delle attività di certificazione di prodotti, programmi per elaboratore e servizi utilizzati dalle amministrazioni, da fornitori di servizi essenziali e da enti anche privati inclusi nel perimetro nazionale di sicurezza cibernetica l’Agenzia privilegia quelli basati su licenze di utilizzo e/o condizioni di servizio che consentono di accededere, modificare e redistribuire il codice informatico utilizzato eseguite senza corrispettivi economici.
1-ter Salve documentate esigenza, nella certificazione di cui al precedente numero 1-bis l’Autorità adotta scelte che non alterano il mercato nazionale della cybersecurity.
IL POTERE INVESTIGATIVO DELL’AGENZIA E DEL SUO PERSONALE
Il testo attuale dell’articolo 7 comma I lettera f) non chiarisce il limite giuridico del potere attribuito al personale dell’Agenzia di chiedere informazioni a soggetti privati anche esterni al perimetro. Per evitare possibili interferenze con incidenti che sono stati oggetto di denuncia e dunque coperti dal segreto istruttorio, sarebbe necessario stabilire che il personale dell’Agenzia non ha poteri di polizia giudiziaria.
Una soluzione potrebbe essere modificare il comma I lettera f) stabilendo che l’Agenzia assume – nel rispetto delle norme sulle indagini preliminari e sulle intercettazioni preventive – tutte le funzioni in materia di cybersicurezza…
L’ESTENSIONE DELLA GIURISDIZIONE DELL’AGENZIA
L’articolo 7 comma I lettera n) si occupa della prevenzione di attacchi, ma non è chiaro se la norma si applichi solo all’interno del perimetro nazionale di sicurezza cibernetica o anche al suo esterno. Il chiarimento potrebbe giungere modificando il comma I lettera n): Nel rispetto delle norme di cui al Regio Decreto 18 giugno 1931 n. 773 e del Codice di procedura penale sviluppa capacità nazionali… In questo modo si preserva formalmente l’attività di pubblica sicurezza della Polizia di Stato stabilendo un coordinamento normativo con le attività di prevenzione criminale.
IL COINVOLGIMENTO DELL’AUTORITÀ GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Come nel caso del recepimento della direttiva NIS, anche il decreto 82 coinvolge l’Autorità garante per la protezione dei dati personali in ambiti che sono di esclusiva pertinenza dell’esecutivo e sottratti alla supervisione dell’autorità indipendente. Sottoporre, come fa l’articolo 7 comma V del decreto 82, l’operato dell’Agenzia all’interazione con l’Autorità garante dei dati personali è una scelta non obbligatoria e controproducente perché sottopone la sicurezza nazionale ad un controllo non previsto da una norma superiore, non necessario e potenzialmente fonte di ritardi e inerzie operative. Sarebbe, invece, opportuno garantire l’autonomia dell’Agenzia sostituendo il comma 5 con questo testo: I trattamenti di dati personali eseguiti dall’Agenzia nell’esercizio delle proprie attribuzioni sono dichiarati di fondamentale interesse pubblico e quando riguardano la sicurezza nazionale sono coperti dal segreto di Stato.
LO STATUS GIURIDICO DEL PERSONALE DELL’AGENZIA
L’articolo 12 del decreto 82 si occupa del personale dell’Agenzia ma non ne indica lo status giuridico. In analogia con quanto accade per Aise e Aisi sarebbe opportuno che il personale dell’Agenzia perdesse le qualifiche di ufficiale di polizia giudiziaria, di pubblica sicurezza e quello militare pur conservando l’anzianità nel ruolo in caso di ritorno agli uffici di appartenenza. Questo al fine di evitare l’obbligo di denuncia o di rapporto e consentire all’Agenzia una gestione più efficiente della prevenzione e del contrasto degli attacchi informatici. La soluzione sarebbe aggiungere un comma 7-bis che applichi al personale dell’Agenzia le prerogative dell’articolo 23 della L. 124/07: 7-bis. Al personale dell’Agenzia si applica l’articolo 23 della legge Legge 3 agosto 2007, n. 124.
CONCLUSIONI
La legge di conversione del decreto 82 ha la possibilità di rinforzare l’impianto giuridico e la funzione politica della strategia nazionale sulla cybersecurity. Costruire delle fondamenta normative solide è il modo migliore per garantire la resilienza della complessa infrastruttura giuridica che in parte già esiste ma che, in altra parte, dovrà essere sviluppata. Quanto più le premesse sono chiare e coerenti, tanto più le conseguenze saranno efficaci e immediatamente applicabili.
Dovendo scegliere quale punto rinforzare se ce ne fosse uno solo a disposizione, la scelta cadrebbe necessariamente sulla normativizzazione della sicurezza nazionale. Un presupposto essenziale per una difesa efficace dei nostri confini elettronici.