Lo scenario delle minacce digitali è in continua evoluzione e si registrano nella cronaca quotidiana attacchi informatici sempre più frequenti e sofisticati.
Secondo il primo Rapporto annuale sull’evoluzione della cybersecurity realizzato da Assintel – Confcommercio attraverso il proprio Cyber Think Tank, durante il 2023 i cyber attacchi sono aumentati del 184% rispetto all’anno precedente (il 50% in America e il 27% in Europa), per un totale di 7.068 episodi individuati e classificati nel Mondo.
Per quanto concerne l’Italia, se già il rapporto annuale del Censis del 2022 calcolava una crescita degli attacchi attorno al +138% rispetto all’anno precedente, per Assintel il primo semestre del 2023 ha registrato un +85.7% rispetto al trimestre precedente. E le PMI, tradizionalmente meno attrezzate sul versante della sicurezza informatica, si sono confermate il target preferito degli hacker: è questo un dato assai allarmante considerata la struttura del tessuto imprenditoriale italiano. I settori più colpiti sono stati, nell’ordine, quelli manifatturiero, professionale scientifico e tecnico, ICT, sanitario e finanziario assicurativo.
La tecnica più utilizzata dagli hacker è rappresentata dal malware, che ha raggiunto il 70% del totale. Il 91% degli attacchi è stato classificato a impatto grave (67%) o gravissimo-critico (24%), evidenziando ripercussioni significative per le vittime (ad es., in termini economici, legali o reputazionali).
Non solo. Il primo trimestre del 2023 ha visto un aumento significativo degli attacchi informatici mirati al furto di dati e alla richiesta di riscatto in cambio della mancata diffusione e/o del ripristino dei sistemi colpiti. Nel primo trimestre del 2023, sono stati registrati 898 obiettivi attaccati tramite ransomware in 79 Paesi diversi, con una crescita del 19% e un aumento del 161% delle vittime rispetto al trimestre precedente. Nel secondo trimestre dell’anno, il numero di vittime di attacchi ransomware è addirittura ulteriormente aumentato del 62%, con 1.451 vittime registrate, l’80% rappresentato da PMI.
Allo stesso tempo, il phishing ha continuato a rappresentare una minaccia significativa per la sicurezza informatica pure durante tutto l’arco temporale del 2023. Gli attaccanti hanno utilizzato metodi sempre più sofisticati per ingannare gli utenti e ottenere informazioni sensibili, come credenziali, dati bancari o finanziari.
Profili critici emergono altresì dall’ultimo rapporto sulla sicurezza informatica dell’Agenzia dell’Unione europea per la sicurezza informatica (ENISA), ove si evidenzia un preoccupante incremento degli attacchi informatici in termini di frequenza e complessità, sia nel settore privato, sia nel settore pubblico, con il 19% degli attacchi indirizzato alla Pubblica Amministrazione. Secondo ‘Statista’, infine, il costo stimato della criminalità informatica nel mercato della cybersecurity è in crescita da undici anni e tra il 2023 e il 2028 raggiungerà i 13,82 trilioni di dollari.
Rafforzare la sicurezza informatica delle imprese: il Cyber Resilience Act dell’Unione Europea quale rivoluzione nel panorama legislativo della cybersicurezza
Lo scenario sopra delineato evidenzia ancora una volta l’urgente necessità per le istituzioni nazionali e sovranazionali di allestire una strategia di rafforzamento della sicurezza informatica a tutela delle imprese e delle organizzazioni in generale.
Lo scorso 12 marzo il Parlamento UE ha approvato in prima lettura, con emendamenti, la Risoluzione legislativa sulla proposta avanzata dalla Commissione sul Regolamento sulla ciberresilienza (c.d. Cyber Resilience Act – CRA), relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali, che modifica il Regolamento (UE) 2019/1020. Il testo passa ora al Consiglio UE per la sua approvazione, quindi entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta Ufficiale e gli operatori economici avranno 36 mesi di tempo per adeguarsi alle nuove regole (21 mesi per quanto concerne l’obbligo di rendicontazione).
Si tratta di un provvedimento destinato ad avere un impatto dirompente per le imprese, poiché introduce una normativa unica nel campo delle Internet of Things («IoT») andando così a colmare la cronica mancanza di una disciplina sulla sicurezza applicabile trasversalmente ai molti dispositivi digitali che affollano aziende e abitazioni private: dalle smart tv, i baby monitor, gli orologi intelligenti e i giochi per computer, sino ai prodotti della domotica, alle videocamere e, più in generale, ai pacchetti software, firewall e router. La strategia UE per la sicurezza è infatti ancora oggi fondata su una costellazione di normative per così dire “verticali”, in particolare il GDPR sulla protezione dei dati personali, la Direttiva NIS2 per i soggetti essenziali, l’MDR per i dispositivi medici, oppure le normative ad hoc per settori come quello bancario o delle telecomunicazioni.
Cosa prevede il Cyber Resilience Act
Il CRA stabilisce standard minimi di sicurezza informatica per i dispositivi connessi all’interno dell’Unione e impone aggiornamenti continui per l’intera loro durata.
Il Regolamento è rivolto in primis agli operatori economici in relazione ai prodotti con elementi digitali (cd. «PDE»), ovvero il produttore, il mandatario, l’importatore o il distributore degli stessi. I principali obblighi per i produttori sono i seguenti: Trasparenza della documentazione tecnica e delle istruzioni di utilizzo; Valutazione del rischio finalizzata a garantire la conformità del PDE a requisiti essenziali; Segnalazione di eventuali vulnerabilità e incidenti alle autorità nazionali competenti (CSIRT) tramite apposita piattaforma supervisionata dall’Agenzia dell’UE per la sicurezza informatica (ENISA) entro scadenze ravvicinate (24 ore dalla conoscenza della vulnerabilità o incidente per il preavviso e 72 ore per la notifica completa); Monitoraggio continuo e aggiornamenti gratuiti del software. D’altro canto, gli importatori e i distributori saranno tenuti a verificare se il produttore rispetta i requisiti stabiliti nel CRA, anche per quanto riguarda la marcatura CE.
Un requisito chiave – e inedito – inserito nel provvedimento è rappresentato proprio dall’obbligo per i produttori di segnalare gravi incidenti informatici e vulnerabilità sfruttate attivamente non ancora risolte. Pertanto, le imprese dovranno condurre una valutazione del rischio per informare quali requisiti di sicurezza si applicano al loro prodotto e, soprattutto, saranno obbligati a fornire supporto per almeno cinque anni (a meno che il prodotto non abbia una durata prevista più breve). Inoltre, qualsiasi aggiornamento di sicurezza fornito durante tale periodo di supporto dovrebbe rimanere disponibile per dieci anni (o per il resto del periodo, se più lungo). I prodotti considerati «importanti» o «critici» richiederanno invece un audit di sicurezza condotto da un’organizzazione certificata.
Il CRA si applicherà a tutti i PDE compresi i dispositivi IoT, il cui utilizzo (previsto o ragionevolmente prevedibile) include una connessione dati (logica o fisica, diretta o indiretta) a un dispositivo o a una rete, salvo esclusioni specificate e tutelate da norme esistenti (es. automobili, dispositivi medici, prodotti aeronautici, ecc.). I PDE sono definiti in modo ampio nella proposta della CRA per includere tutti i prodotti hardware e software, suddivisi in tre livelli di sicurezza: Categoria predefinita; Categoria critica, con due sottocategorie (I e II).
Le criticità della normativa
Ancorché estremamente importante e innovativa, nel corso dell’iter legislativo la normativa ha sollevato diverse critiche. In particolare, la comunità open source ha evidenziato che il provvedimento ostacolerà in modo significativo la capacità di innovazione e di sviluppo del software (del cui processo realizzativo l’open source rappresenta una componente essenziale), con un possibile impatto negativo valutato in oltre 100 miliardi di euro in Europa, specie laddove si considerino le difficoltà di definire la proprietà della sicurezza per il codice scritto da un soggetto e riutilizzato da un altro. Altri appunti sono giunti tramite una lettera aperta sottoscritta da cinquanta eminenti professionisti della sicurezza informatica dell’industria e dell’ambito accademico, che hanno esortato l’UE a riconsiderare la norma che impone agli editori di software di rivelare entro 24 ore le vulnerabilità alle agenzie governative, adempimento che comporterà la creazione di un database di software vulnerabili e senza patch che potrebbe essere potenzialmente sfruttato per raccogliere informazioni o monitorare organizzazioni e individui.
Il CRA rappresenta comunque un passo importante verso il rafforzamento della sovranità digitale e della resilienza dell’UE di fronte alle crescenti minacce e sfide digitali. Sarà inoltre fondamentale per creare condizioni di parità e un vantaggio competitivo per le imprese dell’UE che offrono prodotti sicuri e affidabili ai propri clienti. Tuttavia, comporterà anche notevoli costi per gli operatori che dovranno obbligatoriamente adattarsi ai nuovi obblighi e andare incontro a sanzioni severe sino a 15 milioni di euro o al 2,5% delle entrate globali, oltre all’eventuale ritiro dei prodotti dal mercato dell’UE.
La sicurezza informatica viene quindi elevata a requisito essenziale e non negoziabile per lo sviluppo del prodotto, con una netta rimodulazione del rapporto rischio-rendimento. In questa prospettiva, non può essere trascurata l’esigenza per le imprese di adeguare i Modelli Organizzativi in materia di responsabilità da reato degli enti ai nuovi obblighi di sicurezza dei prodotti digitali, che interessano in primis i reati-presupposto informatici di cui all’art. 24-bis d.lgs. n. 231/2001 (accesso abusivo a un sistema informatico o telematico; detenzione, diffusione e installazione abusiva di dispositivi o programmi informatici diretti a danneggiare o a interrompere un sistema informatico o telematico, ovvero a intercettare comunicazioni; ipotesi di danneggiamento informatico). Il nuovo Regolamento potrà quindi essere considerato come un riferimento normativo utile all’analisi dei rischi e all’implementazione di misure idonee a prevenire la commissione di reati (es. gestione dei rapporti con i fornitori strategici; formazione del personale; vigilanza e monitoraggio delle misure di sicurezza informatica; protocolli di rilevazione e gestione degli incidenti informatici).
D’altro canto, l’introduzione di requisiti cybersicurezza particolarmente stringenti con relativi costi aggiuntivi può determinare, se non adeguatamente gestita, la perdita di competitività sul mercato delle PMI e delle start-up rispetto alle realtà più strutturate. A tale proposito, è già stata paventata in dottrina l’esigenza di introdurre degli elementi di differenziazione dei nuovi requisiti per settori e/o gruppi di prodotti specifici.
Il Nist Cybersecurity Framework 2.0: il contrasto alle minacce digitali attraverso il risk approach
Il 26 febbraio 2024 il National Institute of Standards and Technology (NIST), l’agenzia governativa degli Stati Uniti per la tecnologia e gli standard di sicurezza, ha pubblicato, al termine della fase di consultazione pubblica sulla bozza (Public Draft), il Cybersecurity Framework (CSF) versione 2.0.
Il CSF, disponibile sul web a titolo gratuito, è stato creato nel 2014 come guida per le agenzie federali, ma è applicabile a tutte le organizzazioni interessate alla gestione delle tematiche legate alla sicurezza informatica, ivi comprese le PMI.
Nella sua versione 2.0, il framework NIST configura un insieme completo di best practice su aspetti cruciali nell’ambito considerato, dalla gestione del rischio e delle risorse, al controllo dell’identità e degli accessi, sino alla pianificazione della risposta agli incidenti. Alle cinque funzioni per un efficace programma di sicurezza informatica contemplate dal Framework originale (identificazione, protezione, rilevamento, risposta e ripristino), la nuova versione ne aggiunge una sesta – condurre («govern») – quale supporto per la conformità normativa e il rispetto degli standard di settore, audit e requisiti assicurativi in materia di cybersicurezza. Inoltre, è stata ampliata anche la funzione «Recover» con diverse nuove sottocategorie relative alle attività di backup e ripristino. Il CSF fornisce altresì orientamenti migliorati e ampliati, in particolare per la creazione di profili che adattano il framework a situazioni particolari, oltre che esempi di implementazione per le sottocategorie di ciascuna funzione per rendere i contenuti maggiormente fruibili per le organizzazioni, in particolare le PMI.
L’approccio basato sul rischio che permea il documento, ulteriormente consolidato nella versione 2.0, rappresenta uno strumento fondamentale anche ai fini dell’analisi dei rischi e della definizione del Modello Organizzativo idoneo alla prevenzione dei reati all’interno degli enti, con particolare riguardo a quelli informatici contemplati dall’art. 24 bis d.lgs. n. 231/2001.
Gli interventi delle istituzioni italiane: DDL Cybersicurezza e Strategia per l’intelligenza artificiale 2024-2026
Il 25 gennaio 2024 il Governo italiano ha approvato un nuovo disegno di legge (meglio noto come DDL Cybersicurezza) orientato a un deciso rafforzamento dell’impianto di cybersicurezza nazionale; il provvedimento, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” e presentato alle Camere il 16 febbraio successivo, è attualmente allo studio delle Commissioni riunite Affari Costituzionali e Giustizia della Camera.
Detto DDL si presenta come un corpus normativo volto a consolidare il tessuto di sicurezza digitale nazionale attraverso una serie di interventi specifici, che riflettono un approccio alla prevenzione e alla gestione degli incidenti informatici fondato sulla sinergia tra pubblico e privato e sull’estensione del perimetro di applicazione delle norme sulla cybersicurezza, assicurando in tal modo un livello uniforme e coeso di protezione su scala nazionale. È questa una sfida di notevole complessità, che esige la continua ricerca di un equilibrio tra la tutela della sicurezza nazionale e la salvaguardia della libertà e dei diritti fondamentali delle imprese e dei cittadini nell’era digitale.
Tra le novità principali si segnalano l’introduzione di obblighi più rigidi per le Pubbliche Amministrazioni in termini di notifica degli incidenti informatici e l’inasprimento delle relative sanzioni. Inoltre, il DDL si propone il rafforzamento del Perimetro di Sicurezza Nazionale Cibernetica attraverso l’integrazione delle normative preesistenti. Infine, attraverso l’adozione di un regime sanzionatorio rafforzato per i reati informatici, anche per quanto concerne la responsabilità degli enti ai sensi del d.lgs. n. 231/2001, il legislatore mira a dimostrare una maggiore determinazione nel contrasto alla minaccia rappresentata da attacchi sempre più sofisticati e dannosi.
Il Disegno di Legge propugna un ventaglio di innovazioni finalizzate a intensificare le capacità di prevenzione, individuazione e gestione degli incidenti informatici, sottolineando l’urgenza di un aggiornamento normativo che rifletta le specificità e la transnazionalità del fenomeno. A tale riguardo, è noto che l’emergere dell’Intelligenza Artificiale (IA) apre nuove frontiere nella protezione delle infrastrutture critiche e dei dati.
L’articolo 7 del DDL eleva pertanto l’IA a pilastro nella strategia di sicurezza nazionale, con uno sguardo agli imperativi etici che devono guidarne l’impiego. Nella specie, la norma inserisce tra le funzioni dell’Agenzia per la cybersicurezza nazionale – ACN la valorizzazione dell’intelligenza artificiale per il rafforzamento della cybersicurezza nazionale anche attraverso iniziative di partenariato tra soggetti pubblici e privati.
L’inclusione esplicita di un mandato rivolto all’Agenzia a promuovere iniziative di partenariato pubblico-privato per l’impiego dell’IA nella cybersicurezza evidenzia un riconoscimento del valore che questa tecnologia può apportare in termini di efficacia operativa. In questa prospettiva, l’integrazione dell’IA nelle strategie di cybersicurezza, guidata da un’impostazione etica e supportata da un impegno condiviso tra settore pubblico e privato, vuole rappresentare una risposta alle minacce in evoluzione ma anche un’opportunità per riaffermare l’importanza dei valori umani e sociali verso l’innovazione tecnologica.
È del resto risaputo che l’AI può svolgere un ruolo chiave, tra l’altro, nell’innalzamento del livello di produttività delle imprese, soprattutto delle PMI. A meno di tre anni dall’approvazione del primo programma nazionale del novembre 2021 è stato recentemente pubblicato dal Dipartimento per la trasformazione digitale e dall’Agenzia per l’Italia Digitale l’executive summary della “Strategia italiana per l’intelligenza artificiale 2024-2026”.
La strategia italiana per l’IA mira a unire gli sforzi di tutti gli attori coinvolti ed evidenzia un approccio ambizioso, con interventi sia nel campo della ricerca sia in quello applicato, con un’attenzione particolare alla collaborazione tra settori pubblico e privato e alla formazione delle nuove generazioni. Inoltre, si riconosce l’importanza di garantire la trasparenza, la privacy e la neutralità tecnologica nei servizi pubblici, nonché il sostegno alle imprese per favorire l’innovazione e la competitività internazionale. La creazione di nuove infrastrutture e di una fondazione dedicata all’IA punta al coordinamento e al monitoraggio efficace dell’attuazione della strategia.
Va da sé che la messa in campo del programma previsto necessita di un continuo monitoraggio e di una attenta declinazione di dettaglio degli impatti strategici e normativi di ambiti critici quali la creazione di nuove professionalità o le applicazioni di Enhanced Human Technologies (EHT) che possono estendere i vantaggi dell’IA a tutte le attività lavorative, con importanti ripercussioni sui livelli di produttività delle imprese.
DDL Cybersicurezza, appalti pubblici e PNRR
Un’ulteriore, cruciale novità del DDL Cybersicurezza a forte impatto per le imprese è rappresentata dalle disposizioni relative agli appalti pubblici di beni e servizi informatici quale pilastro fondamentale nella strategia di rafforzamento della cybersicurezza nazionale. In particolare, l’art. 10 stabilisce che, entro centoventi giorni dalla entrata in vigore della nuova normativa, sarà adottato un decreto del Presidente del Consiglio dei Ministri, su proposta dell’Agenzia per la Cybersicurezza Nazionale e previo parere del Comitato interministeriale per la cybersicurezza, per individuare gli «elementi essenziali di cybersicurezza». Trattasi di un «insieme di criteri e regole tecniche» essenziali per assicurare l’acquisizione di beni e servizi informatici sulla base di standard elevati di sicurezza.
Le stazioni appaltanti, inclusi gli enti che agiscono come centrali di committenza, sono pertanto tenute a integrare detti requisiti nel processo di valutazione delle offerte, a considerarli nella valutazione dell’offerta economicamente più vantaggiosa, a escludere le offerte che non li contemplino, nonché a inserire requisiti minimi di cybersicurezza nelle gare basate sul criterio del minor prezzo. Queste disposizioni sono estese ai soggetti privati inclusi in categorie specifiche identificate dal decreto-legge n. 105/2019 relativo al Perimetro di sicurezza nazionale cibernetica.
Siffatte previsioni mirano a dare impulso a una più stretta collaborazione tra pubblico e privato, orientando il mercato verso standard di cybersicurezza avanzati e concorrendo a innalzare il generale livello di sicurezza informatica al fine della protezione degli interessi strategici del Paese.
Importanti novità per le imprese sono infine attese dal PNRR, ove la Cybersecurity è uno dei 7 investimenti afferenti alla Digitalizzazione della pubblica amministrazione, primo asse di intervento della componente 1 «Digitalizzazione, innovazione e sicurezza nella PA» compresa nella Missione 1 «Digitalizzazione, innovazione, competitività, cultura e turismo».
L’investimento (investimento 1.5) è volto alla creazione e al rafforzamento delle infrastrutture legate alla protezione cibernetica del Paese; ad esso sono destinati 622 milioni di euro.
Il traguardo intermedio previsto dal PNRR, del dicembre 2022, è stato raggiunto con la istituzione dell’Agenzia per la cibersicurezza nazionale – ACN e con il dispiego iniziale dei servizi nazionali di cibersicurezza.
L’obiettivo finale è previsto, salvo rinvii, nel dicembre 2024 con il dispiego integrale dei servizi nazionali di cybersicurezza e l’attivazione delle squadre di pronto intervento informatico (CERT); la l’attuazione dei servizi di gestione dei rischi di cibersicurezza, compresi quelli per l’analisi della catena di approvvigionamento e i servizi di assicurazione contro i rischi informatici; il completamento della rete di laboratori e dei centri per la valutazione e certificazione della cybersicurezza; l’attuazione dell’unità centrale di audit.
Nell’attesa di testare sul campo l’efficacia dei nuovi interventi, la strategia intrapresa dalle istituzioni nazionali e sovranazionali disvela la sfida epocale dei prossimi anni. Al contempo, dette iniziative dimostrano ancora una volta come l’intervento dell’Unione Europea e dei legislatori nazionali sia cruciale per la competitività delle imprese europee e del loro potenziale innovativo.
*Riccardo Borsari è avvocato e professore di diritto penale all’Università di Padova
![Aerei Saab [foto: imagoeconomica]](https://staging.eunews.it/wp-content/uploads/2024/11/Imagoeconomica_2292144-350x250.jpg)
