di Andrea Monti – Originariamente pubblicato da Infosec.News
Il DPCM 131/2020 è uno degli atti conseguenti all’emanazione del DL 105/19 poi convertito nella L. 133/09 che istituisce il perimetro cibernetico nazionale, concetto rilevante anche ai fini dell’applicazione del D.LGS 65/18, recepimento della direttiva UE 1148/16 (direttiva NIS). Se questa frase appare illeggibile e incomprensibile, le scelte e il contenuto del DPCM lo sono ancora di più perché aumentano il livello di contraddittorietà di un corpo normativo che, regolando la sicurezza nazionale, dovrebbe invece essere facile da capire e agile da applicare.
Ma andiamo con ordine.
La creazione del perimetro di sicurezza nazionale cibernetica
In piena paura del “pericolo giallo” —la presa di controllo della nostra (ancora inesistente) infrastruttura 5G da parte di Huawei— il governo emana e il Parlamento converte un provvedimento (il DL105/19 convertito nella L. 133/09) che, in sintesi, fa due cose: conferisce al Presidente del Consiglio il potere di “spegnere” la rete italiana e istituisce un complesso sistema burocratico al cui centro si trova il “CVCN” (Centro di valutazione e certificazione nazionale).
Questa struttura, almeno sulla carta, dovrebbe essere quella che “certifica” la sicurezza degli apparati e dei software utilizzati nel “perimetro cibernetico”. Nei fatti, è un compito enorme che questa struttura (peraltro non ancora operativa) molto difficilmente potrà gestire per la quantità, complessità e limiti giuridici collegate all’analisi di progetti, codici sorgenti e implementazioni di una enorme quantità di prodotti. Tanto è vero questo che è ragionevole aspettarsi che le verifiche saranno, in realtà e nella maggioranza dei casi, delle “autodichiarazioni” rilasciate dai fornitori, sulla scorta di quelle previste dal DPCM Conte-Huawei .
Il mancato coordinamento con la regolamentazione NIS e con il Codice penale
Oltre al CVCN, la L. 133/09 prevede altri obblighi e sanzioni per operatori e fornitori di servizi di telecomunicazioni e affianca alle infrastrutture critiche regolate dal D.LGS. 65/18, le “funzioni essenziali” per lo Stato, la cui esistenza è garantita dai “prestatori di servizi essenziali”.
Ci sono macroscopiche contraddizioni fra la regolamentazione sulle infrastrutture critiche e quella sulla protezione delle funzioni essenziali. Per citarne qualcuna, si può rilevare che — pur non essendo richiesto dalla direttiva NIS ed essendo l’ambito della sicurezza nazionale escluso dall’applicazione del GDPR — mentre la prima è sottoposta alla normativa sul trattamento dei dati personali e dunque alla giurisdizione della relativa autorità garante, la seconda non lo è.
In secondo luogo, L. 133/19 si applica anche a soggetti diversi da quelli individuati dal D.LGS. 65/18. Senza entrare nel dettaglio dell’analisi dei singoli articoli, basta evidenziare che per la prima si applica a “enti e degli operatori, pubblici e privati aventi una sede nel territorio nazionale da cui dipende l’esercizio di una funzione essenziale dello Stato” e riguarda la “la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento … possa derivare un pregiudizio per la sicurezza nazionale”. Il secondo, invece, parla soltanto di operatori di servizi essenziali come soggetti che forniscono “un servizio che è essenziale per il mantenimento di attivita’ sociali e/o economiche fondamentali”.
Inoltre, le definizioni della L.133/09 non sono coordinate con le norme del Codice penale in materia di criminalità informaticache già sanziona danneggiamenti, accessi abusivi e interruzione di funzionamento a danno di sistemi “d´interesse militare o relativi all´ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque d´interesse pubblico”. Questo si traduce nella difficoltà di sanzionare penalmente azioni a danno di funzioni e servizi essenziali che costringerà polizia e autorità giudiziaria a un complesso lavoro interpretativo per sostener le accuse in giudizio.
Infine, la L.133/09 utilizza impropriamente e in modo potenzialmente incostituzionale le sanzioni amministrative che, come nel caso di quelle COVID-19, hanno un’afflittività tale da farle considerare, a tutti gli effetti, parte della “materia penale”. Per capire cosa vuol dire questa frase basta leggere la sentenza Engel e quella Grande-Stevens emanate dalla Corte europea per i diritti umani sull’abuso delle sanzioni amministrative come “reati travestiti”.
A margine, ma a questo punto diventa un dettaglio, c’è anche da chiedersi quali fossero i requisiti per il ricorso alla decretazione d’urgenza, se a distanza di quasi un’anno il perimetro di sicurezza cibernetica non è ancora presidiato perché mancano i decreti attuativi come, appunto, il DPCM 131/20.
Fatta questa lunga ma inevitabile premessa, veniamo al merito del provvedimento che eredita gli stessi problemi delle norme che lo hanno generato.
Le criticità del DPCM 131/20
In primo luogo, ma è una “curiosità” per giuristi, l’articolo 4 del DPCM che detta le regole per individuare i soggetti che fanno parte del perimetro cibernetico esordisce con un “Fermo restando quanto previsto per gli organismi di informazione per la sicurezza dall’articolo 1, comma 2, lettera a), del decreto-legge” come se un provvedimento del Presidente del Consiglio potesse derogare a una legge dello Stato.
In secondo luogo, aumenta la confusione sulle definizioni: l’articolo 1 c. I lett i) confonde “rete” e “dati”. La successiva lettera l) che parla di servizio informatico usa il termine “informazioni” invece che di “dati”. La lettera m) introduce il concetto di “bene ICT” che è ulteriore definizione (e diversa) rispetto a quella prevista dal codice penale e la lettera n) che definisce architettura e componentistica, fa una confusione totale fra hardware, software e procedure.
In terzo luogo istituisce un complesso sistema di obblighi e controlli gestito da vari ministeri che si traduce —per quanto riguarda il comparto telecomunicazioni— nel rischio di alterazione della concorrenza nel mercato interno, mettendo i piccoli operatori a rischio di non poter sostenere i costi derivanti dagli adeguamenti tecnologici e organizzativi necessari per poter continuare l’erogazione di servizi ad esercenti funzioni essenziali.
Non poteva mancare, infine, il “tavolo interminesteriale” alle cui riunioni, secondo l’articolo 6 comma V, “Possono essere chiamati a partecipare … rappresentanti di altre pubbliche amministrazioni, nonché di enti e operatori pubblici e privati”.
Conclusioni
La percezione complessiva delle regole sulla sicurezza nazionale, di cui il DPCM 131/20 è l’ultimo (ma non ultimo) componente è quella di sistema talmente confuso e burocratizzata da essere sostanzialmente non applicabile se si verificasse un’emergenza che richiedesse decisioni rapide e risolutive. E si potrebbe dunque verificare una situazione analoga a quella che abbiamo sperimentato con la pandemia, dove —usando un’iperbole— in emergenza, la legislazione di emergenza non si applica perché abbiamo un’emergenza da gestire.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech
- Cosa significa l’arresto di Pavel Durov per social media e produttori di smart device
- Chi vince e chi perde nella vicenda di Julian Assange