La nostra pubblica amministrazione è costantemente soggetta ad attacchi informatici e il disegno di legge centra un tema cruciale. Le sette proposte dell’avvocato Stefano Mele, partner dello studio Gianni & Origoni, in cui è responsabile del dipartimento cybersecurity, privacy & space economy law
La “Relazione sulla politica dell’informazione per la sicurezza” del 2024, presentata al Parlamento dalla nostra intelligence, pone ancora una volta in evidenza “la centralità del dominio cibernetico quale strumento preferenziale a cui gli attori ostili fanno ricorso per il raggiungimento di obiettivi strategici”. La medesima relazione, inoltre, conferma anche come l’attività svolta dalla nostra Intelligence abbia permesso di rilevare quanto il costante interesse degli attori della minaccia sia “crescente nei confronti delle infrastrutture digitali dei soggetti pubblici, con particolare attenzione verso quelle riferibili alle amministrazioni centrali dello Stato e agli istituti e agenzie nazionali” con una percentuale sul totale degli attacchi rilevanti a danno della pubblica amministrazione di ben il 65%. Nel 2022, si è attestata sul 62%. In una frase: la nostra pubblica amministrazione è costantemente soggetta ad attacchi cyber.
Il disegno di legge inerente alle “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” deve considerarsi, quindi, centrato su un tema realmente utile e concreto per la sicurezza del nostro Paese.
Ciò premesso, ecco i punti di attenzione per migliorare il testo del disegno di legge.
Primo: in via introduttiva, è importante segnalare che l’Italia, così come tutti gli altri Paesi membri dell’Unione europea, si appresta a dare attuazione, entro ottobre, alla Direttiva NIS2. Essa prevede che la pubblica amministrazione sia inclusa tra i soggetti destinatari di precisi e stringenti obblighi di cybersicurezza, tra cui spiccano proprio azioni molto simili a quelle oggi analizzate nel disegno di legge. L’attuale disegno di legge, infatti, sembra porsi quasi come una “anticipazione” della Direttiva NIS2. È necessario raccordare quanto in discussione con gli obblighi ormai imminenti della Direttiva NIS2, al fine di evitare eventuali sovrapposizioni o addirittura duplicazioni. Considerata la forte – e importantissima – esigenza di cybersicurezza soprattutto per la pubblica amministrazione, si potrebbe decidere, infatti, di accelerare il più possibile l’attuazione della Direttiva NIS2.
Secondo: il disegno di legge, all’articolo 1, comma 1, chiarisce subito di rivolgere la propria attenzione alle pubbliche amministrazioni centrali, alle regioni e alle province autonome di Trento e Bolzano, ai comuni con popolazione superiore a 100.000 abitanti e, comunque, ai comuni capoluoghi di regione, nonché alle società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti e le aziende sanitarie locali. A questi soggetti, l’articolo 6, comma 1, richiede – a mio avviso correttamente – di identificare una struttura che si occupi di cybersicurezza. Considerato che la norma si rivolge ad un ampio spettro di pubbliche amministrazioni, che, nel corso del tempo, non sempre hanno avuto la possibilità e soprattutto la sensibilità di sviluppare le opportune strutture per la cybersecurity, ma considerata l’estrema utilità e anzi l’estrema urgenza di gestire correttamente questo tema, il mio suggerimento è quello di concedere un periodo di tempo (anche solo di 6/12 mesi) per l’attuazione di questa richiesta. Ciò anche al fine di permettere a questi soggetti di sfruttare a pieno i 50 milioni messi a disposizione dall’Agenzia per la cybersicurezza nazionale attraverso il bando per “Interventi di potenziamento della resilienza cyber – PA”.
Terzo: sempre in relazione a questi soggetti, all’articolo 6, comma 2, viene richiesto – giustamente – di identificare all’interno della struttura di cybersecurity un “referente per la cybersicurezza, individuato in ragione delle qualità professionalità possedute”. Considerato che la norma si rivolge a un ampio spettro di pubbliche amministrazioni, che, nel corso del tempo, non sempre hanno avuto la possibilità e soprattutto la sensibilità di sviluppare le opportune competenze su questo tema, appare opportuno concedere il “giusto tempo” per individuare (e in alcuni casi formare) questi soggetti. Ciò, al fine di evitare che questa importante responsabilità venga data ad un professionista non realmente preparato e competente per questo incarico. Perciò, l’auspicio è che venga previsto un periodo di tempo (anche solo di 6/12 mesi) in cui sia possibile far supportare questa figura interna anche da consulenti esterni, fermo restando la indiscutibile utilità che questa figura esista e che sia interna alla struttura della pubblica amministrazione. Per di più, è importante anche che il nuovo testo del disegno di legge delinei in maniera più precisa quali competenze questi soggetti debbano avere sul piano professionale, in modo da poter garantire che il criterio delle “qualità professionalità possedute” dal futuro referente per la cybersicurezza nelle pubbliche amministrazioni non sia così ampio e generico da farvi rientrare anche soggetti che abbiano solo una infarinatura della materia. Ciò, infatti, creerebbe una condizione di finta sicurezza, rendendo così questa ottima intuizione del legislatore quasi come una “lettera morta”.
Quarto: sempre per i soggetti individuati nell’articolo 1, comma 1, del disegno di legge si evidenzia come l’attuale testo del disegno di legge si rivolga esclusivamente alle società di trasporto pubblico urbano con bacino di utenza superiore a 100.000 abitanti. Se è correttamente avvertita questa esigenza per le società che erogano un servizio urbano, si suggerisce di includere anche quelle del trasporto extra-urbano.
Quinto: in linea generale, si evidenziano richieste applicative in materia di cybersecurity a favore della pubblica amministrazione decisamente onerose, seppur correttissime. Prevedere un lasso di tempo per la loro attuazione, che al momento manca nel testo del disegno di legge, potrebbe essere una mossa anzitutto di buon senso.
Sesto: il disegno di legge, all’articolo 9, prevede anche una novella delle disposizioni in materia di personale dell’Agenzia per la cybersicurezza nazional. L’esigenza primaria, infatti, è quella di continuare ad incentivare i migliori giovani professionisti a scegliere l’Agenzia e a restare all’interno di questa nostra importantissima struttura. Ritengo, quindi, che questo disegno di legge – e in particolar modo il suo articolo 9 – siano la migliore occasione per muoversi in questa direzione, introducendo, per esempio, ulteriori incentivi, come quello di garantire al personale distaccato presso l’Agenzia stessa il mantenimento del proprio ruolo all’interno dell’amministrazione di origine (come avviene per il settore intelligence).
Settimo: considerata l’attenzione che il nostro legislatore correttamente pone al tema delle estorsioni digitali attraverso attacchi ransomware, suggerisco di cogliere questa opportunità anche per normare i casi limite – e ovviamente denegati – in cui le nostre società si vedano costrette a pagare il riscatto perché in uno stato comprovato di necessità. Potrebbe risultare molto utile imporre un obbligo di notifica quantomeno all’Agenzia per la cybersicurezza nazionale dell’azione di pagamento del riscatto, in modo da avere una reale e concreta contezza del fenomeno e far emergere i casi di sommerso. Ciò sarebbe in linea, peraltro, con quanto il CISA americano sta per chiedere alle proprie società.