Incidenti informatici e cyber attack: obblighi di segnalazione

di  Megi Trashaj,  Dottoranda  in  Diritto penale;  Avvocato

 

 

Secondo i recenti dati diffusi dall’osservatorio sulla cybersicurezza dell’Istituto per la competitività I-Com (Rapporto del febbraio 2024), crescono, a livello globale, gli attacchi informatici. Nel periodo 2018-2022, dal punto di vista quantitativo, si registra un più 60% di episodi; sul fronte qualitativo, invece, aumenta la cd. severity “critica” degli illeciti cioè gli effetti negativi – economici e in termini di perdita di dati – sulle vittime. La tendenza mondiale è confermata dai numeri che riguardano l’Italia, qui la Pubblica Amministrazione è il soggetto più aggredito dagli hacker (23%) e gli attacchi con severity “bassa” rappresentano solo il 2% della casistica.

In chiave criminologica, si può osservare come, con lo svilupparsi della rivoluzione digitale, si evolvono anche le tecniche di realizzazione degli illeciti. Dalle ormai note truffe informatiche (es. phishing), destinate ad avere maggior successo a danno degli “analfabeti” digitali, si è passati a strategie più sofisticate, in grado di colpire attraverso attacchi ransomware (cioè con malware che criptano dati e sistemi) anche organizzazioni complesse, e realizzate con condotte sempre più ragionate  e originali quale quella posta in essere, da ultimo, da un gruppo di hacker che nel novembre del 2023 ha attaccato i sistemi informatici di una multinazionale americana, chiesto una somma economica per l’interruzione della condotta e, dinnanzi al rifiuto, (minacciato di denunciare e poi) denunciato alle autorità la corporation stessa (cioè la vittima) evidenziando che quest’ultima (a dire degli hacker) non si era adeguata alle norme che impongono di rivelare alla SEC di aver ricevuto un attacco informatico (regole che, per la precisione, all’epoca dei fatti non erano ancora entrate in vigore).

Proprio su queste norme relative agli obblighi di segnalazione in capo alle stesse vittime dell’attacco, volte a istituire presidi contro il cyber risk realizzando schemi inediti nel rapporto  tra vittima e dovere di denuncia, si sta concentrando il dibattito e l’attenzione dei regolatori interni e internazionali. Negli USA, da ultimo, il dicembre scorso sono entrate in vigore regole SEC di disclosure per le società quotate che impongono di rendere noto all’Autorità di aver subito un attacco informatico. Con riferimento al panorama italiano la disciplina sul punto, anche per effetto della regolamentazione UE, è in divenire e, purtroppo, poco organica.

 

 

1. La segnalazione degli incidenti nell’ambito del perimetro di sicurezza nazionale cibernetica (d.l. 105/2019)

 

Il d.l. 105/2019 (conv. con modifiche dalla l. 133/2019), approvato in condizioni di straordinaria necessità e urgenza provocate da attacchi che avevano interessato le reti di diversi Paesi europei, ha istituito il cd. “perimetro di sicurezza nazionale cibernetica” e impone obblighi di notifica degli “incidenti aventi impatto su reti, sistemi informativi e servizi informatici” in capo a enti pubblici e privati nazionali la cui operatività, correlandosi a funzioni e servizi essenziali per lo Stato, impatta sulla “sicurezza nazionale” (art. 1, commi 1 e 3, d.l. 105/2019).

La procedura ideata per la segnalazione coinvolge una molteplicità di soggetti, gli enti sopra individuati devono, infatti, comunicare l’incidente al Computer Security Incident Response Team – CSIRT (in Italia istituito presso l’Agenzia per la cybersicurezza nazionale ACN), esso, a sua volta, inoltrerà tempestivamente la notizia al Dipartimento delle informazioni per la sicurezza il quale assicura poi la trasmissione delle notifiche ricevute all’organo del Ministero dell’interno per la sicurezza e la regolarità dei servizi di telecomunicazione nonché alla Presidenza del Consiglio dei ministri (se provenienti da un soggetto pubblico o da un soggetto di cui all’art. 29 d.lgs. 82/2005) ovvero al Ministero dello sviluppo economico (se effettuate da un soggetto privato).

Stando al testo del decreto n. 105/2009 il mancato adempimento dei doveri di comunicazione è punito, salvo che il fatto non costituisca reato, con la sanzione amministrativa pecuniaria da 250.000 euro a 1.500.000 euro (art. 1, comma 9, d.l. 105/2019).

Al decreto legge è stata data attuazione con diversi atti normativi secondari, in particolare è il DPCM n. 81/2021 a regolamentare le notifiche degli incidenti poc’anzi menzionati, definendo, in particolare, la “tassonomia degli incidenti” suddivisi per classe di gravità (art. 2), la procedura di inoltro delle segnalazioni (art. 5), le misure tecniche di sicurezza da adottare in caso di incidente (artt. 8 ss.).

 

 

2. La segnalazione degli incidenti da parte delle pubbliche amministrazioni, gestori del trasporto urbano, aziende sanitarie locali e società in house (DDL del febbraio 2024)

 

Gli obblighi di segnalazione degli incidenti informatici e, dunque, anche dei cyber attack, sembrano, stando ai più recenti lavori condotti a livello ministeriale, destinati ad estendersi anche al di fuori del cd. perimetro nazionale di sicurezza cibernetica.

Nel mese di gennaio, infatti, il Consiglio dei ministri ha messo a punto lo schema di disegno di legge recante “disposizioni in materia di reati informatici e di rafforzamento della cybersicurezza nazionale”, poi ufficialmente confluito nel DDL presentato alla Camera il 16 febbraio 2024.

L’articolato prevede, al capo I, norme dirette al rafforzamento della cybersicurezza e della resilienza delle p.a. e in tema di contratti pubblici (relativi a beni e servizi informatici impiegati in contesti connessi a interessi nazionali strategici), al capo II, regole dirette alla prevenzione e contrasto dei reati informatici – volte, in estrema sintesi ad aumentare sensibilmente pene e sanzioni ex d.lgs. 231/2001 a fronte della commissione di reati-illeciti del settore – e in materia di coordinamento degli interventi nel caso di attacchi informatici.

Con riferimento agli obblighi di disclosure, secondo l’art. 1 del DDL, le pubbliche amministrazioni (cfr. art. 1, comma 3, l. 196/2009), le regioni, le provincie autonome, i comuni (con popolazione superiore ai 100.000 abitanti o capoluogo di regione), le società di trasporto pubblico urbano (con bacino di utenza non inferiore ai 100.000 abitanti), le azienda sanitarie locali e le società in house, dovranno notificare gli incidenti informatici aventi impatto su reti, sistemi informativi e servizi informatici. Tale disposizione andrebbe dunque ad ampliare il quadro degli obblighi di segnalazione che erano già stati introdotti con il d.l. 105/2019 per enti pubblici e privati operanti nei cd. settori “essenziali” per lo Stato.

Il DDL dettaglia, inoltre, la procedura di segnalazione, che si articola in due fasi (una prima comunicazione entro 24 ore dal momento in cui si è presa conoscenza dell’evento critico, una seconda notifica nelle 72 ore dallo stesso) e che vede anch’essa come interlocutore dell’ente l’Agenzia per la cybersicurezza nazionale.

Nel caso di inosservanza degli obblighi sono previste sanzioni amministrative (da 25.0000 a 125.000 euro), l’invio di ispezioni a opera dell’Agenzia e, per i dipendenti, si profila la consueta responsabilità disciplinare e contabile.

Per così come formulate, le disposizioni del DDL presentano dei profili di intersezione con le più recenti regole europee volte anch’esse a disciplinare il fenomeno della segnalazione degli incidenti informatici, esse però riguardano un’area di soggetti “più ristretta” rispetto a quella che ha preso in considerazione l’ultima Direttiva europea sul punto.

 

 

3. La segnalazione degli incidenti da parte degli enti “essenziali” e “importanti” (Direttiva NIS2)

 

La materia della segnalazione degli incidenti informatici, come anticipato, è disciplinata anche dalla Direttiva (UE) 2022/2555 (cd. NIS2 – Network and information security) che ha abrogato le precedenti disposizioni europee in materia di cybersecurity (in particolare la Direttiva UE 2016/1148) e che dovrà essere recepita dagli Stati membri entro il 17 ottobre 2024.

La disciplina, nel complesso, trae origine da evidenze empiriche che mostrano come la trasformazione digitale e l’interconnessione della società ha fatto sì che i sistemi informatici e di rete occupino ormai “una posizione centrale nella vita di tutti i giorni” ma al contempo vi sia una “espansione del panorama delle minacceinformatiche” (in termini di numeri, portata, sofisticazione e impatto), circostanze queste che creano uno scenario ad alto rischio per le attività economiche (Considerando n. 3). Più in generale, la Direttiva NIS2 è diretta a garantire standard uniformi tra i diversi Paesi (che attualmente presentano regole addirittura in conflitto tra loro con negative ripercussioni sulla cybersicurezza e sulle attività transfrontaliere, Considerando n. 4) e a far fronte al fatto che i “servizi pubblici sono sempre più collegati alle reti digitali” e, pertanto, “sono vulnerabili agli attacchi informatici e corrono il rischio, in caso di successo di un attacco informatico, di danneggiare i cittadini su larga scala” (Considerando n. 53).

L’ambito di applicazione della direttiva è ampio, (art. 2), vi rientrano infatti una molteplicità di soggetti pubblici o privati che operano nei settori definiti “critici” (poste, corrieri, rifiuti, sostanze chimiche, generi alimentari, fabbricazione di dispositivi medici-elettronici-mezzi di trasporto, servizi digitali, ricerca, cfr. all. II) o “altamente critici” (energetico, trasporti, bancario, mercati finanziari, sanitario, gestori dei servizi di acqua potabile e acque reflue, infrastrutture digitali, gestori dei servizi TIC, pubblica amministrazione, operatori di infrastrutture che sostengono la fornitura di servizi spaziali, cfr. all. I)  e che raggiungano almeno i limiti dimensionali delle  medie imprese (cfr. raccomandazione 2003/361/CE). La disciplina, inoltre, si applica, indipendentemente dalla dimensione, a enti la cui operatività digital è accentuata (fornitori di reti di comunicazione elettroniche pubbliche o di servizi di comunicazione elettronica accessibili al pubblico, registri dei nomi di dominio di primo livello e fornitori di servizi di sistema dei nomi di dominio) e ad altri soggetti che svolgono attività ritenute particolarmente delicate (es. fornitore unico nello Stato di servizi essenziali per il mantenimento di attività sociali, pubbliche amministrazioni, ecc.).

Più nello specifico, gli obblighi di segnalazione degli incidenti sono disciplinati all’art. 23 e riguarderanno, quei soggetti che, nell’ambito dei destinatari della NIS2 sopra descritti, saranno poi espressamente qualificati dagli Stati membri come “essenziali e importanti”. Nell’elaborazione degli elenchi di tali enti (da approvarsi entro il 17 aprile 2025 e da aggiornare periodicamente) gli Stati membri lavoreranno seguendo i dettagliati criteri qualitativi e dimensionali di cui all’art. 3 della Direttiva (vi rientreranno, per esempio, i gestori dei servizi “altamente critici” che superino i limiti dimensionali delle medie imprese, i prestatori di servizi DNS indipendentemente dalle dimensioni, i soggetti della pubblica amministrazione…).

Lo schema predisposto dalla NIS2 (al pari di quello replicato dal DDL sopra menzionato) per la segnalazione è multi-fase, questo approccio è espressamente finalizzato a garantire un equilibrio tra l’esigenza di “una segnalazione rapida che contribuisca ad attenuare la potenziale diffusione di incidenti e consenta ai soggetti essenziali e importanti di chiedere assistenza” e quella di giungere, in una successiva fase, a “una segnalazione approfondita che tragga insegnamenti preziosi dai singoli incidenti e migliori nel tempo la resilienza informatica dei singoli soggetti e di interi settori” (Considerando 101).

Più nel dettaglio, stando al testo dell’art. 23, dovranno essere notificati al CSIRT gli incidenti che “hanno un impatto significativo sulla fornitura” dei servizi cioè incidenti

• che hanno causato o sono in grado di causare “grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto”,
• che si ripercuotono o potrebbero ripercuotersi “su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.

Peraltro, la disciplina pone anche il dovere in capo agli enti, valutata l’opportunità di tale operazione, di notificare (senza ritardo) l’incidente ai destinatari dei servizi.

Rigida la scansione temporale: entro 24 ore dalla conoscenza dell’incidente dovrà essere inviato al CSIRT un preallarme, dove dovranno essere anche segnalati i sospetti di “atti illegittimi o malevoli”; entro 72 oredovrà avvenire la notifica dell’incidente con una valutazione iniziale dell’accaduto in termini di gravità, impatto e con la specifica degli indicatori di compromissione; successivamente potrà essere domandata dalle autorità una relazione intermedia per i pertinenti aggiornamenti; entro un mese dalla notifica iniziale dovrà essere poi trasmessa una relazione finale che comprenda la descrizione dettagliata dell’incidente (gravità e impatto), il tipo di minaccia o la causa dell’evento critico, le misure di attenuazione adottate, l’eventuale impatto transfrontaliero dell’accaduto.

Le autorità competenti, da loro canto, dovranno – nelle varie fasi – fornire riscontri al segnalante e, su richiesta del soggetto, prestare consulenza operativa sulle possibili misure di attenuazione (art. 23, comma 5). Esse, inoltre, valutata la necessità di sensibilizzare il pubblico o qualora la divulgazione sia comunque reputata di “interesse”, potranno informare il pubblico riguardo all’incidente significativo o imporre all’ente di procedere in tal senso (art. 23, comma 7).

Nel caso di violazione degli obblighi di segnalazione, i soggetti “essenziali” saranno sottoposti a sanzione pecuniaria amministrativa che gli Stati membri stabiliranno entro il massimo di 10 milioni di euro (7 milioni per i soggetti “importanti”) o del 2% del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto appartiene (1,4% per i soggetti “importanti”).

Al fine di recepire la disciplina dell’analizzata Direttiva, il parlamento, con la recente legge di delegazione europea 2022-2023 (l. 15 del 21 febbraio 2023, pubblicata in GU lo scorso 24 febbraio), ha assegnato delega al Governo che lavorerà per conformare l’ordinamento interno alle previsioni della NIS2.

 

 

4. Focus su due punti critici: la tutela della vittima dell’attacco e le difficoltà concrete di adeguamento

 

Nell’attesa della normativa interna di dettaglio (che prenderà vita a seguito del DDL del febbraio 2024 e della legge di delegazione europea dello stesso mese) e che si presume introdurrà nuovi e cospicui obblighi di compliance a livello informatico, si possono evidenziare almeno due criticità all’orizzonte.

Un primo tema potrebbe essere quello correlato alla resistenza, ad opera degli enti già vittima di un attacco informatico esterno, di rendere noto alle Autorità e quindi al mercato l’incidente, obbligo che, se da un lato è giustificabile con il richiamo all’esigenza di programmare e attuare interventi risolutivi immediati, potrebbe avere forte impatto sul fronte economico e finanziario dell’impresa. Usando la terminologia criminologica, l’impresa – per effetto della disclosure al pubblico largamente consentita dalla NIS2 – potrebbe subire una doppia “vittimizzazione”, prima attaccata dagli hacker e poi, per il venir meno della fiducia del pubblico, “affossata” dal mercato.

Un altro problema è quello legato alle criticità che le aziende mostrano rispetto alla compliance delle regole del settore: il 39% delle grandi imprese intervistate dall’I-Com segnala che il principale ostacolo alla conformità sarebbe quello legato agli ingenti investimenti tecnico-organizzativi necessari, il 54% delle aziende di medie dimensioni ritiene gli oneri burocratici e amministrativi eccessivi. Più in generale, i fattori concreti che renderebbero, dal punto di vista aziendale, veramente complessa la compliance rispetto alle norme di cybersecurity sarebbero quelli correlati alla mancanza di risorse (interne e sul mercato del lavoro) che mostrino adeguate competenze in materia e l’incertezza interpretativa che suscitano le regole di settore le quali, sempre secondo le aziende, vanno moltiplicandosi in modo disorganico imponendo anche adempimenti diversi ma sottesi al raggiungimento di medesimi obiettivi (pp. 12-13 del Rapporto I-Com). L’incoraggiamento europeo all’uso “di ogni tecnologia innovativa, compresa l’intelligenza artificiale” per “migliorare l’individuazione e la prevenzione degli attacchi informatici” (Considerando 51 della Direttiva NIS2), deve, quindi, nel concreto fare i conti con il fatto che un cospicuo numero di aziende italiane mostra in radice difficoltà nel settore informatico e, per di più, fatica a comprendere in modo puntuale gli adempimentiche è chiamata a realizzare.