Cybersicurezza e vulnerabilità della pubblica amministrazione e degli organi costituzionali

di
Print Friendly, PDF & Email

di Simone Pitto

Il recente attacco informatico ai data center di Westpole S.p.A. dell’8 dicembre 2023 ha risollevato l’attenzione sul problema della vulnerabilità cibernetica degli organi costituzionali e delle amministrazioni pubbliche italiane.

In quello che è stato definito uno tra i peggiori attacchi cibernetici contro la PA della storia recente, il gruppo di hacker Lockbit 3.0. – di probabile provenienza russa – ha preso di mira Westpole S.p.A., uno dei maggiori fornitori di servizi digitali del Paese. L’azienda gestisce infatti i servizi in Cloud di PA Digitale, società facente capo al Gruppo Buffetti che supporta oltre mille pubbliche amministrazioni locali e nazionali nell’erogazione dei servizi, tramite la gestione di applicativi digitali e dei dati in cloud (tra le altre, ANAC e AGCOM).

Secondo le prime stime e le informazioni rese disponibili dall’Agenzia per la Cybersicurezza Nazionale (di seguito “ACN”), l’attacco – di tipo ramsomware, cioè attuato mediante un software che infetta il sistema bloccando l’accesso ai contenuti e ai dati e chiedendo un riscatto (ramsom) – ha interessato i dati detenuti da circa settecento soggetti pubblici nazionali e locali, legati a vario titolo a PA Digitale S.p.A. Tra i sistemi colpiti, vi è un gestionale utilizzato per i servizi di pagamento e trattamento dei dati anagrafici di dipendenti e utenti di centinaia di enti locali.

Malgrado sia stata scongiurata la temuta mancata erogazione di stipendi e tredicesime dei dipendenti delle amministrazioni, l’attacco ha prodotto rallentamenti nell’erogazione dei servizi digitali e reso necessario recuperare dati dei giorni precedenti. Non è chiaro (almeno dai canali ufficiali) se l’attacco abbia anche comportato la perdita definitiva ovvero la sottrazione di dati detenuti nel data center di Westpole e l’effettivo ammontare del pregiudizio economico subito.

Il fenomeno dei cyberattacchi costituisce una minaccia in crescita, come dimostra il numero di episodi registrati negli ultimi anni. Lo stesso gruppo Lockbit 3.0. è stato protagonista di un altro grave attacco alla Regione Lazio nel luglio 2021. Nel 2022 è stata la volta dei siti web del Senato, dell’ANSA e dell’Istituto superiore di sanità (ISS), colpiti dal gruppo Killnet, (ancora di provenienza filorussa) e rimasti temporaneamente indisponibili. Nel 2023 il gruppo di hacker NoName ha preso di mira alcuni siti ministeriali (Ministero del Lavoro, degli Esteri e della Difesa), rivendicando anche attacchi ai siti web del CSM e dei Carabinieri. In questi casi, gli attacchi sono stati attuati con cryptolocker ed in base ad una tecnica di tipo Ddos (Distributed denial of service), al fine di bloccare siti e applicativi digitali creando disservizi agli utenti e al personale. Per la Regione Lazio, in particolare, l’attacco aveva comportato problemi nei servizi di prenotazione e di gestione del programma vaccinale in un momento delicato dell’emergenza pandemica.

Non si tratta ovviamente di un problema esclusivamente italiano: la Commissione europea ha da tempo riconosciuto la criticità delle minacce cyber come ransomware, attacchi DDoS, malware, e cyberterrorismo, sia per gli attacchi alle istituzioni sia per l’impatto sul mercato unico europeo. Nel 2020, i danni causati dalla criminalità informatica sono stati stimati in oltre 5.500 miliardi di euro, con un trend che mostra un raddoppio rispetto a cinque anni prima.

La recente crisi in Ucraina ha intensificato gli attacchi verso i paesi europei, ormai assimilabili ad una precisa strategia offensiva. Al riguardo, il Presidente del Consiglio europeo Charles Michel ha affermato l’opportunità di istituire una cyber force europea come parte integrante della difesa unionale. Nel novembre 2022 anche il Parlamento europeo è stato vittima di un attacco DdoS da parte di un gruppo dichiaratamente vicino al Cremlino.

L’Unione europea, coadiuvata dall’Agenzia per la cybersicurezza (l’ENISA – European Union Agency for cybersecurity), ha mostrato di prendere molto seriamente la questione. Nella prevenzione e nel contrasto alle minacce provenienti dal cyberspazio, i principali riferimenti normativi unionali sono costituiti dal c.d. Cybersecurity Act (Regolamento UE 881/2019), che introduce un quadro armonizzato per la certificazione di sicurezza informatica e interviene sulla disciplina dell’ENISA e dalla c.d. Direttiva NIS (Direttiva UE 1148/2016 – Network and information security), incentrata sul rafforzamento delle reti e dei sistemi informativi degli Stati membri (cfr. F. Gaggero, F. Pacini, Cybersecurity, in C. Bassu, G. Pistorio, A. Sterpa (a cura di), Diritto pubblico della sicurezza, Napoli, 2023). Quest’ultima è stata recentemente modificata dalla Direttiva UE 2022/2555 (c.d. NIS2), entrata in vigore nel gennaio 2023 e con orizzonte di recepimento per gli Stati membri fissato per l’autunno 2024. La direttiva NIS2 richiede agli Stati l’adozione di strategie nazionali in materia di cybersicurezza, prescrive misure di gestione e segnalazione dei rischi ma anche obblighi di condivisione delle informazioni (cfr. F. Gatta, L’Unione europea sotto (cyber)attacco: strategie e prospettive in tema di ciberresilienza e cibersicurezza, in Eurojus, 22/09/2022). Tra gli sviluppi più recenti si colloca la nuova proposta di Regolamento della Commissione sul c.d. Cyber resilience Act, volta a modificare il Regolamento 2019/1020 (UE), che ha trovato una posizione comune in Consiglio (cfr. F. Di Gianni, Un’Europa “ciberresiliente”: la risposta dell’Unione europea alle minacce e agli attacchi informatici, in Studi sull’integrazione europea, 2, 2023, 399 – 424).  

Mentre altri paesi europei si sono dotati da tempo di autorità nazionali di cybersecurity, l’Italia ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN) soltanto nel 2021. Dopo una fase in cui la regolamentazione del rischio cibernetico è stata piuttosto rapsodica e prevalentemente affidata al sistema di informazione e sicurezza della Repubblica e alla normazione secondaria, nell’ultimo quinquennio vi è stata una decisa accelerazione (L. Previti, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in Federalismi.it, 5 ottobre 2022).

Nel 2018, il d.lgs. n. 65/2018 ha recepito la direttiva NIS ma, soprattutto, con il d.l. 105/2019 (di seguito “d.l. Perimetro”) si è istituito il “Perimetro di sicurezza nazionale cibernetica”. All’interno del perimetro si collocano “amministrazioni pubbliche, […] enti e operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

Il d.l. Perimetro punta ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di soggetti caratterizzati da un ruolo strategico e per la prestazione di servizi o funzioni vitali per lo Stato ed il cui malfunzionamento può tradursi in un rischio alla sicurezza nazionale (F. Gaggero, F. Pacini, cit., 236 e F. Serini, La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del 2021, in Federalismi.it, 20 aprile 2022).

L’attuazione del d.l. Perimetro è stata affidata, tra l’altro, ai d.PCM. 81/2021 e 131/2020. Quest’ultimo individua i parametri di identificazione dei soggetti che esercitano funzioni essenziali dello Stato, distinti in due categorie. La prima individua soggetti cui l’ordinamento attribuisce il compito di assicurare “la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti” (art. 2 c. 1, lett. a) d.PCM 131/2020). La seconda e più ampia categoria ricomprende soggetti pubblici e privati che prestano servizi essenziali per attività civili, sociali ed economiche fondamentali per gli interessi dello Stato, il godimento dei diritti fondamentali, la continuità ed efficienza di infrastrutture e logistica, ricerca, alta tecnologia o altro settore di rilievo economico e sociale necessario a garantire l’autonomia strategica nazionale.

Il d.PCM 81/2021, invece, disciplina gli obblighi di segnalazione e notifica di incidenti con impatto su reti, sistemi e servizi informatici stabilendo una tassonomia degli eventi (art. 2) e imponendo obblighi di notifica a carico dei soggetti rientranti nel perimetro (cfr. E.C. Raffiotta, Cybersecurity Regulation in the European Union and the Issues of Constituional Law, in Rivista AIC, 4, 2022).  

A tali disposizioni di attuazione del d.l. Perimetro, si aggiungono quelle del regolamento attuato con d.P.R 54/2021, che stabilisce procedure, modalità e termini per le valutazioni del CVCN (Centro di valutazione e certificazione nazionale istituito presso il Ministero dello sviluppo economico e successivamente confluito nell’ACN) e dei CV (centri di valutazione istituiti presso i Ministeri della Difesa e dell’Interno), previsti dall’art. 1, c. 6, lett. a) del d.l. Perimetro. Il regolamento disciplina, inoltre, le procedure di verifica e ispezione da parte delle autorità competenti.

Il d.P.C.M. 92/2022 ha quindi definito le procedure per l’accreditamento dei centri di valutazione (CV) per i test di sicurezza, nonché le procedure di raccordo e coordinamento con il CVCN (Centro di valutazione e certificazione nazionale).

Le previsioni del Cybersecurity Act Europeo (Regolamento UE 2019/881), sono state invece recepite con il d.lgs. 123/2022, il quale ha introdotto misure di adeguamento della disciplina nazionale al quadro europeo di certificazione in materia di cybersicurezza.

A seguito di tali interventi, l’ACN, il CVCN e i CV costituiscono i soggetti di riferimento nell’attuazione della Strategia Nazionale di Cybersicurezza 2022-2026, che stabilisce gli attuali target per la “cyberresilienza”, il contrasto alla criminalità informatica, la difesa e la sicurezza militare dello Stato e la ricerca ed elaborazione informativa (c.d. “Pilastri tecnico-operativi”).

La cybersicurezza ha trovato cittadinanza anche all’interno del PNRR e, in particolare, nella sua prima missione, focalizzata su “Digitalizzazione, innovazione e sicurezza della pubblica amministrazione” e finalizzata a potenziare la sorveglianza e la gestione delle minacce informatiche. Anche a tal fine, all’Agenzia per la Cybersicurezza Nazionale sono stati attribuiti poteri ispettivi e di tipo sanzionatorio. In base all’articolo 7 del d.l. n. 82/2021, convertito con modificazioni dalla l. 4 agosto 2021, n. 109, l’ACN agisce quale autorità nazionale per la sicurezza delle reti e dei sistemi informativi e punto di contatto (PoC) ai fini della normativa NIS e come autorità nazionale di certificazione ai fini del Cybersecurity Act europeo, potendo provvedere all’accertamento e all’irrogazione delle sanzioni amministrative specificamente previste.

La progressiva definizione delle competenze all’ACN appare un processo ancora in parte corso, specie con riguardo al coordinamento con gli organi costituzionali e con la magistratura. Parimenti in via di affinamento appare anche l’apparato sanzionatorio a tutela della sicurezza nel cyberspazio.

Riguardo al primo profilo, l’Agenzia ha recentemente iniziato a definire protocolli di intesa con varie istituzioni dedicati all’implementazione della cybersecurity. Nel dicembre 2023, l’ACN ha sottoscritto un accordo di cooperazione con il Senato della Repubblica in materia di sicurezza cibernetica. L’intesa prevede, oltre alla condivisione di informazioni, anche una collaborazione di tipo tecnica e l’individuazione di best practices a tutela della sicurezza informatica del Senato, nel perseguimento degli obiettivi di trasformazione digitale al centro della Strategia Nazionale sulla Cybersicurezza.

L’accordo segue quello già sottoscritto dall’ACN con la Camera dei deputati nel gennaio 2023, anch’esso fondato sull’esigenza di una collaborazione nel rafforzamento della sicurezza digitale di fronte alle crescenti minacce provenienti dal cyberspazio.

Non manco anche altre tipologie di sinergie tra l’Agenzia e altri soggetti istituzionali, come dimostra l’istituzione di un tavolo tecnico con l’AGCOM in materia di prevenzione e repressione della diffusione illecita di contenuti tutelati da diritto d’autore mediante le reti di comunicazione elettronica, in attuazione dell’art. 6 della l. 93/2023. Da rilevare anche l’impegno congiunto del dicembre 2023 tra ACN e Garante per la protezione dei dati personali nell’elaborazione delle Linee guida per la conservazione delle password.

Altri protocolli di intesa sono stati ancora siglati nel 2023 con la CRUI e nel gennaio 2024 con il Ministero dell’Economia e delle Finanze (MEF) e Consip S.p.A., al fine di innalzare il livello di sicurezza nell’e-procurement nazionale.

Dal punto di vista del coordinamento con la magistratura, si può registrare un recente intervento del legislatore, attuato in sede di conversione del d.l. 105/2023 con la l. n. 137/2023. L’art. 2-bis della legge di conversione interviene sulle attribuzioni dell’ACN e individua nuove forme di coordinamento con l’ufficio del Procuratore Nazionale Antimafia ed Antiterrorismo con riguardo ai reati commessi nel cyberspazio (Cfr. W. Nocerino, Le nuove norme di prevenzione e contrasto alla criminalità informatica, in Penale Diritto e Procedura, 09 Novembre 2023).

I primi due commi dell’art. 2-bis disciplinano il coordinamento delle indagini e le interazioni tra ACN e autorità giudiziaria, mentre i commi successivi incidono direttamente sul Codice di Procedura Penale, con particolare riguardo all’ampliamento delle funzioni del Procuratore Nazionale Antimafia e Antiterrorismo (di seguito PNAA). Le novità principali comprendono, tra l’altro, la previsione di un meccanismo di trasmissione delle notizie e delle informazioni da parte dell’ACN al PNAA con riguardo ad indagini su reati informatici gravi, l’attribuzione di funzioni di prevenzione e monitoraggio a carico dell’Agenzia – da svolgere con la collaborazione dei soggetti rimasti vittima di attacchi informatici – e la modifica della disciplina delle operazioni sotto copertura per alcuni reati commessi nel cyberspazio.

Sempre in materia penale pare infine destinato a collocarsi anche il prossimo intervento in corso di definizione da parte del legislatore, che dovrebbe prevedere un inasprimento sanzionatorio e l’utilizzo di “hacker etici” nel corso delle indagini su determinati cybercrime, già suggerito nel documento conclusivo dell’indagine conoscitiva sul tema delle intercettazioni approvato nel settembre 2023 dalla Seconda Commissione Permanente del Senato della Repubblica (cfr. Giustizia, hacker “buoni” contro i cyber-criminali, in Il Messaggero, 18 gennaio 2024).

Di fronte agli episodi richiamati in apertura del presente scritto, molto resta da fare sebbene gli ultimi sviluppi normativi suggeriscano da un lato, la progressiva definizione del ruolo dell’ACN quale polo di riferimento nel sistema nazionale di cybersicurezza e, dall’altro, un recente incremento delle sinergie istituzionali nel settore. In un contesto così dinamico ed innanzi a minacce cibernetiche in rapidissima evoluzione, una risposta coordinata e multilivello risulta essenziale e dovrebbe passare – oltre che per l’affinamento degli strumenti investigativi e repressivi – anche per un maggior coinvolgimento di attori privati e operatori economici (L. Previti, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in federalismi.it, 2022, 65 – 93).

Recenti interventi come la richiamata adozione delle Linee guida per la conservazione delle password, infine, testimoniano la consapevolezza dell’importanza di un’alfabetizzazione di base rispetto alla sicurezza informatica da diffondere tra individui, imprese, amministrazioni pubbliche e pubblici dipendenti.

 

Please follow and like us:
fb-share-icon
Tweet
Pin Share
Condividi!

Lascia un commento

Utilizziamo cookie (tecnici, statistici e di profilazione) per consentire e migliorare l’esperienza di navigazione. Proseguendo con la navigazione acconsenti al loro uso in conformità alla nostra cookie policy.  Sei libero di disabilitare i cookie statistici e di profilazione (non quelli tecnici). Abilitandone l’uso, ci aiuti a offrirti una migliore esperienza di navigazione. Cookie policy

Alcuni contenuti non sono disponibili per via delle due preferenze sui cookie!

Questo accade perché la funzionalità/contenuto “%SERVICE_NAME%” impiega cookie che hai scelto di disabilitare. Per porter visualizzare questo contenuto è necessario che tu modifichi le tue preferenze sui cookie: clicca qui per modificare le tue preferenze sui cookie.