{"id":9037,"date":"2024-01-26T17:12:31","date_gmt":"2024-01-26T16:12:31","guid":{"rendered":"http:\/\/www.lacostituzione.info\/?p=9037"},"modified":"2024-01-26T17:12:33","modified_gmt":"2024-01-26T16:12:33","slug":"cybersicurezza-e-vulnerabilita-della-pubblica-amministrazione-e-degli-organi-costituzionali","status":"publish","type":"post","link":"https:\/\/www.lacostituzione.info\/index.php\/2024\/01\/26\/cybersicurezza-e-vulnerabilita-della-pubblica-amministrazione-e-degli-organi-costituzionali\/","title":{"rendered":"Cybersicurezza e vulnerabilit\u00e0 della pubblica amministrazione e degli organi costituzionali"},"content":{"rendered":"\n

di\u00a0Simone Pitto\"\"<\/strong><\/p>\n

Il recente attacco informatico ai data center<\/em> di Westpole S.p.A. dell\u20198 dicembre 2023 ha risollevato l\u2019attenzione sul problema della vulnerabilit\u00e0 cibernetica degli organi costituzionali e delle amministrazioni pubbliche italiane.<\/p>\n

In quello che \u00e8 stato definito uno tra i peggiori attacchi cibernetici contro la PA della storia recente<\/a>, il gruppo di hacker<\/em> Lockbit 3.0. \u2013 di probabile provenienza russa \u2013 ha preso di mira Westpole S.p.A., uno dei maggiori fornitori di servizi digitali del Paese. L\u2019azienda gestisce infatti i servizi in Cloud di PA Digitale, societ\u00e0 facente capo al Gruppo Buffetti che supporta oltre mille pubbliche amministrazioni locali e nazionali nell\u2019erogazione dei servizi, tramite la gestione di applicativi digitali e dei dati in cloud<\/em> (tra le altre, ANAC e AGCOM).<\/p>\n

Secondo le prime stime<\/a> e le informazioni rese disponibili dall\u2019Agenzia per la Cybersicurezza Nazionale<\/a> (di seguito \u201cACN\u201d), l\u2019attacco \u2013 di tipo ramsomware<\/em>, cio\u00e8 attuato mediante un software<\/em> che infetta il sistema bloccando l\u2019accesso ai contenuti e ai dati e chiedendo un riscatto (ramsom<\/em>) \u2013 ha interessato i dati detenuti da circa settecento soggetti pubblici nazionali e locali, legati a vario titolo a PA Digitale S.p.A. Tra i sistemi colpiti, vi \u00e8 un gestionale utilizzato per i servizi di pagamento e trattamento dei dati anagrafici di dipendenti e utenti di centinaia di enti locali.<\/p>\n

Malgrado sia stata scongiurata la temuta mancata erogazione di stipendi e tredicesime dei dipendenti delle amministrazioni, l\u2019attacco ha prodotto rallentamenti nell\u2019erogazione dei servizi digitali e reso necessario recuperare dati dei giorni precedenti. Non \u00e8 chiaro (almeno dai canali ufficiali) se l\u2019attacco abbia anche comportato la perdita definitiva ovvero la sottrazione di dati detenuti nel data center<\/em> di Westpole e l\u2019effettivo ammontare del pregiudizio economico subito.<\/p>\n

Il fenomeno dei cyberattacchi costituisce una minaccia in crescita, come dimostra il numero di episodi registrati negli ultimi anni. Lo stesso gruppo Lockbit 3.0. \u00e8 stato protagonista di un altro grave attacco alla Regione Lazio nel luglio 2021. Nel 2022 \u00e8 stata la volta dei siti web del Senato, dell\u2019ANSA e dell\u2019Istituto superiore di sanit\u00e0 (ISS), colpiti dal gruppo Killnet, (ancora di provenienza filorussa) e rimasti temporaneamente indisponibili. Nel 2023 il gruppo di hacker<\/em> NoName ha preso di mira alcuni siti ministeriali (Ministero del Lavoro, degli Esteri e della Difesa), rivendicando anche attacchi ai siti web del CSM<\/a> e dei Carabinieri<\/a>. In questi casi, gli attacchi sono stati attuati con cryptolocker <\/em>ed in base ad una tecnica di tipo Ddos (Distributed<\/em> denial of service<\/em>), al fine di bloccare siti e applicativi digitali creando disservizi agli utenti e al personale. Per la Regione Lazio, in particolare, l\u2019attacco aveva comportato problemi nei servizi di prenotazione e di gestione del programma vaccinale in un momento delicato dell\u2019emergenza pandemica.<\/p>\n

Non si tratta ovviamente di un problema esclusivamente italiano: la Commissione europea ha da tempo riconosciuto la criticit\u00e0 delle minacce cyber<\/em> come ransomware<\/em>, attacchi DDoS<\/em>, malware<\/em>, e cyberterrorismo, sia per gli attacchi alle istituzioni sia per l\u2019impatto sul mercato unico europeo. Nel 2020, i danni causati dalla criminalit\u00e0 informatica sono stati stimati in oltre 5.500 miliardi di euro, con un trend<\/em> che mostra un raddoppio rispetto a cinque anni prima.<\/p>\n

La recente crisi in Ucraina ha intensificato gli attacchi verso i paesi europei, ormai assimilabili ad una precisa strategia offensiva. Al riguardo, il Presidente del Consiglio europeo Charles Michel ha affermato l\u2019opportunit\u00e0 di istituire una cyber force<\/em> europea come parte integrante della difesa unionale. Nel novembre 2022 anche il Parlamento europeo \u00e8 stato vittima di un attacco DdoS da parte di un gruppo dichiaratamente vicino al Cremlino.<\/p>\n

L\u2019Unione europea, coadiuvata dall\u2019Agenzia per la cybersicurezza (l\u2019ENISA – European Union Agency for cybersecurity<\/em><\/a>), ha mostrato di prendere molto seriamente la questione. Nella prevenzione e nel contrasto alle minacce provenienti dal cyberspazio, i principali riferimenti normativi unionali sono costituiti dal c.d. Cybersecurity Act<\/em> (Regolamento UE 881\/2019), che introduce un quadro armonizzato per la certificazione di sicurezza informatica e interviene sulla disciplina dell\u2019ENISA e dalla c.d. Direttiva NIS (Direttiva UE 1148\/2016 \u2013 Network and information security<\/em>), incentrata sul rafforzamento delle reti e dei sistemi informativi degli Stati membri (cfr. F. Gaggero, F. Pacini, Cybersecurity<\/em>, in C. Bassu, G. Pistorio, A. Sterpa (a cura di), Diritto pubblico della sicurezza<\/em>, Napoli, 2023). Quest\u2019ultima \u00e8 stata recentemente modificata dalla Direttiva UE 2022\/2555 (c.d. NIS2), entrata in vigore nel gennaio 2023 e con orizzonte di recepimento per gli Stati membri fissato per l\u2019autunno 2024. La direttiva NIS2 richiede agli Stati l\u2019adozione di strategie nazionali in materia di cybersicurezza, prescrive misure di gestione e segnalazione dei rischi ma anche obblighi di condivisione delle informazioni (cfr. F. Gatta, L\u2019Unione europea sotto (cyber)attacco: strategie e prospettive in tema di ciberresilienza e cibersicurezza<\/em>, in Eurojus<\/em>, 22\/09\/2022<\/a>). Tra gli sviluppi pi\u00f9 recenti si colloca la nuova proposta di Regolamento della Commissione sul c.d. Cyber resilience Act<\/em>, volta a modificare il Regolamento 2019\/1020 (UE)<\/a>, che ha trovato una posizione comune<\/a> in Consiglio (cfr. F. Di Gianni, Un\u2019Europa “ciberresiliente”: la risposta dell’Unione europea alle minacce e agli attacchi informatici, <\/em>in Studi sull’integrazione europea<\/em>, 2, 2023, 399 \u2013 424). \u00a0<\/p>\n

Mentre altri paesi europei si sono dotati da tempo di autorit\u00e0 nazionali di cybersecurity<\/em>, l’Italia ha istituito l\u2019Agenzia per la Cybersicurezza Nazionale (ACN) soltanto nel 2021. Dopo una fase in cui la regolamentazione del rischio cibernetico \u00e8 stata piuttosto rapsodica e prevalentemente affidata al sistema di informazione e sicurezza della Repubblica e alla normazione secondaria, nell\u2019ultimo quinquennio vi \u00e8 stata una decisa accelerazione (L. Previti<\/a>, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico<\/em>, in Federalismi.it, 5 ottobre 2022<\/a>).<\/p>\n

Nel 2018, il d.lgs. n. 65\/2018 ha recepito la direttiva NIS ma, soprattutto, con il d.l. 105\/2019 (di seguito \u201cd.l. Perimetro<\/em>\u201d) si \u00e8 istituito il “Perimetro di sicurezza nazionale cibernetica”. All’interno del perimetro si collocano \u201camministrazioni pubbliche, […] enti e operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attivit\u00e0 civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale\u201d. <\/em><\/p>\n

Il d.l. Perimetro<\/em> punta ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici di soggetti caratterizzati da un ruolo strategico e per la prestazione di servizi o funzioni vitali per lo Stato ed il cui malfunzionamento pu\u00f2 tradursi in un rischio alla sicurezza nazionale (F. Gaggero, F. Pacini, cit., 236 e F. Serini, La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del<\/em> 2021<\/em>, in Federalismi.it<\/em>, 20 aprile 2022).<\/p>\n

L\u2019attuazione del d.l. Perimetro<\/em> \u00e8 stata affidata, tra l\u2019altro, ai d.PCM. 81\/2021 e 131\/2020. Quest\u2019ultimo individua i parametri di identificazione dei soggetti che esercitano funzioni essenziali dello Stato, distinti in due categorie. La prima individua soggetti cui l\u2019ordinamento attribuisce il compito di assicurare \u201cla continuit\u00e0 dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalit\u00e0 dei sistemi economico e finanziario e dei trasporti\u201d (art. 2 c. 1, lett. a) d.PCM 131\/2020). La seconda e pi\u00f9 ampia categoria ricomprende soggetti pubblici e privati che prestano servizi essenziali per attivit\u00e0 civili, sociali ed economiche fondamentali per gli interessi dello Stato, il godimento dei diritti fondamentali, la continuit\u00e0 ed efficienza di infrastrutture e logistica, ricerca, alta tecnologia o altro settore di rilievo economico e sociale necessario a garantire l\u2019autonomia strategica nazionale.<\/p>\n

Il d.PCM 81\/2021, invece, disciplina gli obblighi di segnalazione e notifica di incidenti con impatto su reti, sistemi e servizi informatici stabilendo una tassonomia degli eventi (art. 2) e imponendo obblighi di notifica a carico dei soggetti rientranti nel perimetro (cfr. E.C. Raffiotta, Cybersecurity Regulation in the European Union and the Issues of Constituional Law<\/em>, in Rivista AIC<\/em>, 4, 2022). \u00a0<\/p>\n

A tali disposizioni di attuazione del d.l. Perimetro<\/em>, si aggiungono quelle del regolamento attuato con d.P.R 54\/2021, che stabilisce procedure, modalit\u00e0 e termini per le valutazioni del CVCN (Centro di valutazione e certificazione nazionale istituito presso il Ministero dello sviluppo economico e successivamente confluito nell\u2019ACN) e dei CV (centri di valutazione istituiti presso i Ministeri della Difesa e dell\u2019Interno), previsti dall\u2019art. 1, c. 6, lett. a) del d.l. Perimetro<\/em>. Il regolamento disciplina, inoltre, le procedure di verifica e ispezione da parte delle autorit\u00e0 competenti.<\/p>\n

Il d.P.C.M. 92\/2022 ha quindi definito le procedure per l\u2019accreditamento dei centri di valutazione (CV) per i test di sicurezza, nonch\u00e9 le procedure di raccordo e coordinamento con il CVCN (Centro di valutazione e certificazione nazionale).<\/p>\n

Le previsioni del Cybersecurity Act<\/em> Europeo (Regolamento UE 2019\/881), sono state invece recepite con il d.lgs. 123\/2022, il quale ha introdotto misure di adeguamento della disciplina nazionale al quadro europeo di certificazione in materia di cybersicurezza.<\/p>\n

A seguito di tali interventi, l\u2019ACN, il CVCN e i CV costituiscono i soggetti di riferimento nell\u2019attuazione della Strategia Nazionale di Cybersicurezza 2022-2026<\/a>, che stabilisce gli attuali target<\/em> per la \u201ccyberresilienza\u201d, il contrasto alla criminalit\u00e0 informatica, la difesa e la sicurezza militare dello Stato e la ricerca ed elaborazione informativa (c.d. \u201cPilastri tecnico-operativi\u201d).<\/p>\n

La cybersicurezza ha trovato cittadinanza anche all\u2019interno del PNRR<\/a> e, in particolare, nella sua prima missione, focalizzata su “Digitalizzazione, innovazione e sicurezza della pubblica amministrazione” e finalizzata a potenziare la sorveglianza e la gestione delle minacce informatiche. Anche a tal fine, all’Agenzia per la Cybersicurezza Nazionale sono stati attribuiti poteri ispettivi e di tipo sanzionatorio. In base all’articolo 7 del d.l. n. 82\/2021, convertito con modificazioni dalla l. 4 agosto 2021, n. 109, l\u2019ACN agisce quale autorit\u00e0 nazionale per la sicurezza delle reti e dei sistemi informativi e punto di contatto (PoC) ai fini della normativa NIS e come autorit\u00e0 nazionale di certificazione ai fini del Cybersecurity Act europeo, potendo provvedere all\u2019accertamento e all\u2019irrogazione delle sanzioni amministrative specificamente previste.<\/p>\n

La progressiva definizione delle competenze all\u2019ACN appare un processo ancora in parte corso, specie con riguardo al coordinamento con gli organi costituzionali e con la magistratura. Parimenti in via di affinamento appare anche l\u2019apparato sanzionatorio a tutela della sicurezza nel cyberspazio.<\/p>\n

Riguardo al primo profilo, l\u2019Agenzia ha recentemente iniziato a definire protocolli di intesa con varie istituzioni dedicati all\u2019implementazione della cybersecurity<\/em>. Nel dicembre 2023, l\u2019ACN ha sottoscritto un accordo di cooperazione con il Senato della Repubblica<\/a> in materia di sicurezza cibernetica. L\u2019intesa prevede, oltre alla condivisione di informazioni, anche una collaborazione di tipo tecnica e l\u2019individuazione di best practices<\/em> a tutela della sicurezza informatica del Senato, nel perseguimento degli obiettivi di trasformazione digitale al centro della Strategia Nazionale sulla Cybersicurezza.<\/p>\n

L\u2019accordo segue quello gi\u00e0 sottoscritto dall\u2019ACN con la Camera dei deputati nel gennaio 2023, anch\u2019esso fondato sull\u2019esigenza di una collaborazione nel rafforzamento della sicurezza digitale di fronte alle crescenti minacce provenienti dal cyberspazio.<\/p>\n

Non manco anche altre tipologie di sinergie tra l\u2019Agenzia e altri soggetti istituzionali, come dimostra l\u2019istituzione di un tavolo tecnico con l\u2019AGCOM in materia di prevenzione e repressione della diffusione illecita di contenuti tutelati da diritto d’autore mediante le reti di comunicazione elettronica, in attuazione dell\u2019art. 6 della l. 93\/2023. Da rilevare anche l\u2019impegno congiunto del dicembre 2023 tra ACN e Garante per la protezione dei dati personali nell\u2019elaborazione delle Linee guida per la conservazione delle password.<\/p>\n

Altri protocolli di intesa sono stati ancora siglati nel 2023 con la CRUI<\/a> e nel gennaio 2024 con il Ministero dell\u2019Economia e delle Finanze (MEF) e Consip S.p.A<\/a>., al fine di innalzare il livello di sicurezza nell\u2019e-procurement<\/em> nazionale.<\/p>\n

Dal punto di vista del coordinamento con la magistratura, si pu\u00f2 registrare un recente intervento del legislatore, attuato in sede di conversione del d.l. 105\/2023 con la l. n. 137\/2023. L\u2019art. 2-bis <\/em>della legge di conversione interviene sulle attribuzioni dell\u2019ACN e individua nuove forme di coordinamento con l\u2019ufficio del Procuratore Nazionale Antimafia ed Antiterrorismo con riguardo ai reati commessi nel cyberspazio (Cfr. W. Nocerino, Le nuove norme di prevenzione e contrasto alla criminalit\u00e0 informatica<\/em>, in Penale Diritto e Procedura<\/em>, 09 Novembre 2023<\/a>).<\/p>\n

I primi due commi dell\u2019art. 2-bis<\/em> disciplinano il coordinamento delle indagini e le interazioni tra ACN e autorit\u00e0 giudiziaria, mentre i commi successivi incidono direttamente sul Codice di Procedura Penale, con particolare riguardo all\u2019ampliamento delle funzioni del Procuratore Nazionale Antimafia e Antiterrorismo (di seguito PNAA). Le novit\u00e0 principali comprendono, tra l\u2019altro, la previsione di un meccanismo di trasmissione delle notizie e delle informazioni da parte dell\u2019ACN al PNAA con riguardo ad indagini su reati informatici gravi, l\u2019attribuzione di funzioni di prevenzione e monitoraggio a carico dell\u2019Agenzia \u2013 da svolgere con la collaborazione dei soggetti rimasti vittima di attacchi informatici \u2013 e la modifica della disciplina delle operazioni sotto copertura per alcuni reati commessi nel cyberspazio.<\/p>\n

Sempre in materia penale pare infine destinato a collocarsi anche il prossimo intervento in corso di definizione da parte del legislatore, che dovrebbe prevedere un inasprimento sanzionatorio e l\u2019utilizzo di \u201chacker etici\u201d nel corso delle indagini su determinati cybercrime<\/em>, gi\u00e0 suggerito nel documento conclusivo dell\u2019indagine conoscitiva<\/a> sul tema delle intercettazioni approvato nel settembre 2023 dalla Seconda Commissione Permanente del Senato della Repubblica (cfr. Giustizia, hacker \u201cbuoni\u201d contro i cyber-criminali<\/em>, in Il Messaggero<\/em>, 18 gennaio 2024).<\/p>\n

Di fronte agli episodi richiamati in apertura del presente scritto, molto resta da fare sebbene gli ultimi sviluppi normativi suggeriscano da un lato, la progressiva definizione del ruolo dell\u2019ACN quale polo di riferimento nel sistema nazionale di cybersicurezza e, dall\u2019altro, un recente incremento delle sinergie istituzionali nel settore. In un contesto cos\u00ec dinamico ed innanzi a minacce cibernetiche in rapidissima evoluzione, una risposta coordinata e multilivello risulta essenziale e dovrebbe passare \u2013 oltre che per l\u2019affinamento degli strumenti investigativi e repressivi \u2013 anche per un maggior coinvolgimento di attori privati e operatori economici (L. Previti, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico<\/em>, in federalismi.it<\/em>, 2022, 65 \u2013 93).<\/p>\n

Recenti interventi come la richiamata adozione delle Linee guida per la conservazione delle password, infine, testimoniano la consapevolezza dell\u2019importanza di un\u2019alfabetizzazione di base rispetto alla sicurezza informatica da diffondere tra individui, imprese, amministrazioni pubbliche e pubblici dipendenti.<\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

di\u00a0Simone Pitto Il recente attacco informatico ai data center di Westpole S.p.A. dell\u20198 dicembre 2023 ha risollevato l\u2019attenzione sul problema della vulnerabilit\u00e0 cibernetica degli organi costituzionali e delle amministrazioni pubbliche italiane.<\/p>\n

<\/div>
Condividi!<\/div>
<\/path><\/svg><\/span><\/a><\/path><\/svg><\/span><\/a><\/svg><\/span><\/a><\/path><\/svg><\/span><\/a><\/div>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"enabled":false},"version":2}},"categories":[4],"tags":[1700,542,1701],"class_list":["post-9037","post","type-post","status-publish","format-standard","hentry","category-attualita","tag-cybercriminalita","tag-protezione-dati-personali","tag-sicurezza-informatica"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/p84sDq-2lL","jetpack_likes_enabled":true,"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/posts\/9037","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/comments?post=9037"}],"version-history":[{"count":0,"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/posts\/9037\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/media?parent=9037"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/categories?post=9037"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lacostituzione.info\/index.php\/wp-json\/wp\/v2\/tags?post=9037"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}