{"id":66194,"date":"2021-07-12T12:05:22","date_gmt":"2021-07-12T10:05:22","guid":{"rendered":"https:\/\/appelloalpopolo.it\/?p=66194"},"modified":"2021-07-12T12:05:22","modified_gmt":"2021-07-12T10:05:22","slug":"cybersecurity-come-e-e-come-si-puo-migliorare-il-decreto-legge-82-2021","status":"publish","type":"post","link":"https:\/\/appelloalpopolo.it\/?p=66194","title":{"rendered":"Cybersecurity, come \u00e8 (e come si pu\u00f2 migliorare) il Decreto legge 82\/2021"},"content":{"rendered":"

di FORMICHE (Andrea Monti)<\/strong><\/p>\n

\n

La legge di conversione del decreto legge che istituisce l\u2019Agenzia per la cybersecurity interviene anche su ambiti pi\u00f9 estesi. \u00c8 l\u2019occasione per stabilire una definizione giuridica di interessi e sicurezza nazionale. L\u2019analisi di Andrea Monti, professore incaricato di Digital Law, Universit\u00e0 di Chieti-Pescara<\/p>\n<\/div>\n

\n
<\/div>\n
<\/div>\n

Molto si \u00e8 detto sull\u2019importanza politica del decreto legge 82\/2021, molto meno sui suoi contenuti giuridici e su ci\u00f2 che potrebbe essere migliorato. Se, da un lato, sono chiare le attribuzioni dell\u2019Agenzia, ci sono ancora delle parti che dovrebbero essere armonizzate: la tassonomia normativa, lo status del personale e i relativi poteri nell\u2019acquisire le informazioni sugli incidenti, il ruolo dell\u2019Autorit\u00e0 garante dei dati personali in una materia \u2014la sicurezza nazionale\u2014 che nemmeno in ambito comunitario \u00e8 fra le attribuzioni delle Autorit\u00e0 di protezione dei dati.<\/p>\n

<\/div>\n

LA DEFINIZIONE GIURIDICA DI SICUREZZA NAZIONALE<\/strong><\/p>\n

<\/div>\n

Come anche la Legge 124\/07, questo decreto legge non definisce normativamente n\u00e9 il concetto di interesse nazionale n\u00e9 quello di sicurezza nazionale. Bench\u00e9 la scelta possa essere comprensibile trattandosi di categorie che afferiscono pi\u00f9 all\u2019ambito delle relazioni internazionali che a quello strettamente giuridico, inserire un concetto e non definirlo \u00e8 pericoloso perch\u00e9 consente una ampiezza interpretativa che una definizione formale avrebbe evitato. Sarebbe dunque opportuno (come peraltro rilevato anche dalla\u00a0Commissione Difesa<\/a>\u00a0nel parere sul decreto) che in sede di emendamenti si introducesse una lettera a-bis all\u2019articolo 1 definendo la sicurezza nazionale come il dovere del Governo di proteggere e realizzare gli interessi nazionali nel rispetto dei principi costituzionali e delle prerogative del Parlamento.<\/p>\n

L\u2019ARMONIZZAZIONE DELLE PREROGATIVE DEL PRESIDENTE DEL CONSIGLIO<\/strong><\/p>\n

L\u2019articolo 2 del DL definisce le prerogative del Presidente del Consiglio gi\u00e0 parzialmente individuate dall\u2019art.1 della L. 124\/07. Sarebbe opportuno coordinare le norme modificando il comma I dell\u2019articolo con una premessa: 1. A integrazione delle prerogative di cui all\u2019articolo 1 Legge 3 agosto 2007, n. 124, al presidente del Consiglio dei ministri\u2026<\/p>\n

LA TUTELA DELLA SOVRANIT\u00c0 TECNOLOGICA NAZIONALE E DEL MERCATO DELLA CYBERSECURITY<\/strong><\/p>\n

<\/div>\n

L\u2019articolo 7 del Decreto \u00e8 particolarmente articolato e complesso. Si pu\u00f2 senz\u2019altro affermare che sia il cuore della regolamentazione del\u00a0modus operandi<\/em>\u00a0dell\u2019Agenzia.<\/p>\n

Il comma 1 lettera e) numero 1 attribuisce all\u2019Agenzia il ruolo di certificatore di prodotti di cybersecurity ma non fa alcun riferimento alla necessit\u00e0 di privilegiare prodotti, software e servizi basati su modelli di propriet\u00e0 intellettuali cosiddetti \u201copen source\u201d o \u201cliberi\u201d che consentono un accesso diretto al funzionamento degli strumenti utilizzati e consentono di ridurre il rischio di funzionalit\u00e0 nascoste o di vulnerabilit\u00e0 ignote. Il tema non \u00e8 nuovo, visto che fu proprio il timore della presenza di codici informatici occulti negli apparati 5G cinesi ad accelerare l\u2019istituzione del perimetro nazionale di sicurezza cibernetica e a porre il problema dell\u2019analisi dei\u00a0prodotti tecnologici stranieri.<\/a><\/p>\n

\u00c8 pur vero che non \u00e8 sempre possibile utilizzare questi modelli di gestione della propriet\u00e0 intellettuale ma sarebbe opportuno prevedere quantomeno una indicazione di principio.<\/p>\n

Inoltre, l\u2019indicazione sulla preferenza verso modelli di gestione della propriet\u00e0 intellettuale nei termini suindicati scongiurerebbe una situazione come quella dell\u2019Executive Order Usa che nel 2019 caus\u00f2 il blocco a distanza (poi revocato) dei software\u00a0Adobe<\/a>\u00a0utilizzati in Venezuela o quella che ha portato alla revoca dell\u2019accesso ai servizi Google a danno di Huawei. A prescindere dal merito, questi fatti sono indicativi di cosa pu\u00f2 accadere affidandosi a tecnologie sulle quali il Governo italiano non ha un pieno e assoluto controllo.<\/p>\n

Infine, dovrebbe essere garantita la possibilit\u00e0 per le aziende italiane di competere nel mercato della cybersecurity e di sviluppare in autonomia propri prodotti e servizi. L\u2019indicazione della preferenza verso il modello di gestione della propriet\u00e0 intellettuale proposto andrebbe in questa direzione.<\/p>\n

Un modo per raggiungere questi risultati sarebbe modificare l\u2019articolo 1 comma VII lettera e) aggiungendo un numero 1-bis) e un numero 1-ter):
\n1-bis Salve documentate esigenze, nell\u2019esercizio delle attivit\u00e0 di certificazione di prodotti, programmi per elaboratore e servizi utilizzati dalle amministrazioni, da fornitori di servizi essenziali e da enti anche privati inclusi nel perimetro nazionale di sicurezza cibernetica l\u2019Agenzia privilegia quelli basati su licenze di utilizzo e\/o condizioni di servizio che consentono di accededere, modificare e redistribuire il codice informatico utilizzato eseguite senza corrispettivi economici.
\n1-ter Salve documentate esigenza, nella certificazione di cui al precedente numero 1-bis l\u2019Autorit\u00e0 adotta scelte che non alterano il mercato nazionale della cybersecurity.<\/p>\n

IL POTERE INVESTIGATIVO DELL\u2019AGENZIA E DEL SUO PERSONALE<\/strong><\/p>\n

Il testo attuale dell\u2019articolo 7 comma I lettera f) non chiarisce il limite giuridico del potere attribuito al personale dell\u2019Agenzia di chiedere informazioni a soggetti privati anche esterni al perimetro. Per evitare possibili interferenze con incidenti che sono stati oggetto di denuncia e dunque coperti dal segreto istruttorio, sarebbe necessario stabilire che il personale dell\u2019Agenzia non ha poteri di polizia giudiziaria.<\/p>\n

Una soluzione potrebbe essere modificare il comma I lettera f) stabilendo che l\u2019Agenzia assume \u2013 nel rispetto delle norme sulle indagini preliminari e sulle intercettazioni preventive \u2013 tutte le funzioni in materia di cybersicurezza\u2026<\/p>\n

L\u2019ESTENSIONE DELLA GIURISDIZIONE DELL\u2019AGENZIA<\/strong><\/p>\n

L\u2019articolo 7 comma I lettera n) si occupa della prevenzione di attacchi, ma non \u00e8 chiaro se la norma si applichi solo all\u2019interno del perimetro nazionale di sicurezza cibernetica o anche al suo esterno. Il chiarimento potrebbe giungere modificando il comma I lettera n): Nel rispetto delle norme di cui al Regio Decreto 18 giugno 1931 n. 773 e del Codice di procedura penale sviluppa capacit\u00e0 nazionali\u2026 In questo modo si preserva formalmente l\u2019attivit\u00e0 di pubblica sicurezza della Polizia di Stato stabilendo un coordinamento normativo con le attivit\u00e0 di prevenzione criminale.<\/p>\n

IL COINVOLGIMENTO DELL\u2019AUTORIT\u00c0 GARANTE PER LA PROTEZIONE DEI DATI PERSONALI<\/strong><\/p>\n

Come nel caso del recepimento della direttiva NIS, anche il decreto 82 coinvolge l\u2019Autorit\u00e0 garante per la protezione dei dati personali in ambiti che sono di esclusiva pertinenza dell\u2019esecutivo e sottratti alla supervisione dell\u2019autorit\u00e0 indipendente. Sottoporre, come fa l\u2019articolo 7 comma V del decreto 82, l\u2019operato dell\u2019Agenzia all\u2019interazione con l\u2019Autorit\u00e0 garante dei dati personali \u00e8 una scelta non obbligatoria e controproducente perch\u00e9 sottopone la sicurezza nazionale ad un controllo non previsto da una norma superiore, non necessario e potenzialmente fonte di ritardi e inerzie operative. Sarebbe, invece, opportuno garantire l\u2019autonomia dell\u2019Agenzia sostituendo il comma 5 con questo testo: I trattamenti di dati personali eseguiti dall\u2019Agenzia nell\u2019esercizio delle proprie attribuzioni sono dichiarati di fondamentale interesse pubblico e \u00a0quando riguardano la sicurezza nazionale sono coperti dal segreto di Stato.<\/p>\n

LO STATUS GIURIDICO DEL PERSONALE DELL\u2019AGENZIA<\/strong><\/p>\n

L\u2019articolo 12 del decreto 82 si occupa del personale dell\u2019Agenzia ma non ne indica lo status giuridico. In analogia con quanto accade per Aise e Aisi sarebbe opportuno che il personale dell\u2019Agenzia perdesse le qualifiche di ufficiale di polizia giudiziaria, di pubblica sicurezza e quello militare pur conservando l\u2019anzianit\u00e0 nel ruolo in caso di ritorno agli uffici di appartenenza. Questo al fine di evitare l\u2019obbligo di denuncia o di rapporto e consentire all\u2019Agenzia una gestione pi\u00f9 efficiente della prevenzione e del contrasto degli attacchi informatici. La soluzione sarebbe aggiungere un comma 7-bis che applichi al personale dell\u2019Agenzia le prerogative dell\u2019articolo 23 della L. 124\/07: 7-bis. Al personale dell\u2019Agenzia si applica l\u2019articolo 23 della legge Legge 3 agosto 2007, n. 124.<\/p>\n

CONCLUSIONI<\/strong><\/p>\n

La legge di conversione del decreto 82 ha la possibilit\u00e0 di rinforzare l\u2019impianto giuridico e la funzione politica della strategia nazionale sulla cybersecurity. Costruire delle fondamenta normative solide \u00e8 il modo migliore per garantire la resilienza della complessa infrastruttura giuridica che in parte gi\u00e0 esiste ma che, in altra parte, dovr\u00e0 essere sviluppata. Quanto pi\u00f9 le premesse sono chiare e coerenti, tanto pi\u00f9 le conseguenze saranno efficaci e immediatamente applicabili.<\/p>\n

Dovendo scegliere quale punto rinforzare se ce ne fosse uno solo a disposizione, la scelta cadrebbe necessariamente sulla normativizzazione della sicurezza nazionale. Un presupposto essenziale per una difesa efficace dei nostri confini elettronici.<\/p>\n

FONTE<\/strong>:https:\/\/formiche.net\/2021\/07\/decreto-82-2021-cybersecurity-agenzia\/<\/a><\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

di FORMICHE (Andrea Monti) La legge di conversione del decreto legge che istituisce l\u2019Agenzia per la cybersecurity interviene anche su ambiti pi\u00f9 estesi. \u00c8 l\u2019occasione per stabilire una definizione giuridica di interessi e sicurezza nazionale. L\u2019analisi di Andrea Monti, professore incaricato di Digital Law, Universit\u00e0 di Chieti-Pescara Molto si \u00e8 detto sull\u2019importanza politica del decreto legge 82\/2021, molto meno sui suoi contenuti giuridici e su ci\u00f2 che potrebbe essere migliorato. Se, da un lato, sono...<\/p>\n","protected":false},"author":98,"featured_media":37176,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"jetpack_post_was_ever_published":false,"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","enabled":false},"version":2}},"categories":[32],"tags":[],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/appelloalpopolo.it\/wp-content\/uploads\/2017\/12\/formiche.png","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/p7ZaJ4-hdE","_links":{"self":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts\/66194"}],"collection":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/users\/98"}],"replies":[{"embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=66194"}],"version-history":[{"count":1,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts\/66194\/revisions"}],"predecessor-version":[{"id":66195,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/posts\/66194\/revisions\/66195"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=\/wp\/v2\/media\/37176"}],"wp:attachment":[{"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=66194"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=66194"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/appelloalpopolo.it\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=66194"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}