“I fatti di cronaca con oggetto violazioni della sicurezza delle reti e danni agli individui ascendono ancora una volta le colonne delle principali testate giornalistiche, ricordandoci che non solo la sicurezza nazionale ma anche le nostre libertà costituzionali corrono dei rischi profondi e sistemici”. Commenta così Rocco Panetta, avvocato ed esperto di internet, privacy e cybersecurity, in merito all’inchiesta “eyepiramid” che ha portato all’arresto di due fratelli, titolari di una società di consulenza finanziaria.
Avvocato Panetta, qual è il messaggio profondo che deve essere assimilato in seguito ad avvenimenti di tale portata e gravità?
Sicuramente che è avvenuto un salto di qualità, un mutamento qualitativo e quantitativo delle minacce a cui siamo esposti, come Stato e come individui. Se a questo cambiamento degli strumenti e della pervasività dell’offesa non si risponderà in modo uguale e contrario nel predisporre la difesa, parlare di mero rischio sarà a sua volta solo un retaggio del passato. Le regole ci sono, la protezione dei dati personali (oggi regolata dal Codice Privacy, dal 2018 dal Regolamento Europeo sulla Protezione dei Dati Personali, ndr) è regolata da norme evolute, ciò che manca è la consapevolezza che non si tratta di norme ancillari ma del vero Statuto di protezione dei moderni ordinamenti giuridici. Diritti, democrazia e libertà passano attraverso ciò che comunemente abbiamo imparato a chiamare “privacy”, ma che è molto ma molto di più della sola tutela della riservatezza.
E quali sono le norme chiave in casi come quello alla ribalta in questi giorni?
Senza dubbio quelle dirette a garantire la sicurezza delle reti, dei sistemi di cybercomunicazione e –come target ultimo – dei nostri dati. Basti pensare che dal parametro fisso delle “misure minime” di sicurezza ritenuto sufficiente dal legislatore del 2003 si passerà da maggio 2018 (quando entrerà in vigore il Regolamento, ndr) ad un parametro “mobile” costituito dalle “misure idonee” di sicurezza, rapportate al rischio concreto che i dati corrono. A primo avviso può sembrare un dettaglio, ma se letto congiuntamente all’intero impianto regolamentare corredato da sanzioni non più inseribili a bilancio come un rischio affrontabile (fino a €20mln o al 4% del fatturato, ndr), si tratta di una vera rivoluzione. Mancano solo alcune incognite da svelare perché questa diventi effettiva.
A cosa fa riferimento?
Innanzitutto alla capacità regolamentare delle Autorità Garanti Europee, inquadrate nella nuova architettura istituzionale pensata dal GDPR. Le professionalità, soprattutto in Italia, ma anche in diversi Paesi dell’UE, senza contare il ruolo dell’EDPS a Bruxelles, sono di primissimo rilievo, tutti ci auguriamo che siano in grado di coordinarsi virtuosamente. In tal senso anche l’implementazione della direttiva NIS richiederà la massima attenzione da parte del legislatore italiano. Il secondo aspetto è forse meno giuridico, ma comunque interconnesso, si tratta della percezione, anche mediatica, della materia: bisogna costruire la consapevolezza in tempi rapidi, perché rapida è l’evoluzione delle minacce; e questo vale a tutti i livelli: dalle cattedre universitarie agli uomini e le donne comuni, dall’imprenditoria al mondo delle professioni.
Tornando alla vicenda del Cyberspionaggio, cosa ne pensa dell’arsenale sanzionatorio del nostro ordinamento per casi come questo, lo ritiene adeguato?
Anche in questo caso il problema non è il vuoto normativo, le norme esistono e tendono a stratificarsi e – al di là dell’applicazione concreta data dalle corti – si può correre il rischio di smarrire profili rilevanti tra le pieghe dei tecnicismi del diritto, soprattutto sotto il profilo della ratio legis. Mi viene in mente l’articolato sanzionatorio penale del Codice Privacy, in questo caso i reati contestati sono quelli di: ‘accesso abusivo a sistema informatico’, ‘intercettazione illecita di comunicazioni informatiche’ e ‘procacciamento di notizie concernenti la sicurezza di Stato’. Questi bypassano la fattispecie di ‘trattamento illecito di dati’ in ragione della maggiore gravità. Tuttavia, sarebbe un errore ritenere la fattispecie come avulsa dal contesto, infatti, la soluzione del concorso apparente tra norme non deve far dimenticare che si è trattato di trattamenti illeciti di dati, talmente gravi da attivare la massima risposta sanzionatoria prevista in queste circostanze in caso di colpevolezza. Inoltre, un altro reato introdotto da tempo dal Codice Privacy rimane sullo sfondo come monito silenzioso per i provider di servizi, la mancata adozione delle misure minime di sicurezza. Anche in questo caso, l’introduzione delle “misure idonee” dovrebbe contribuire a far alzare il livello di guardia per tutti coloro che trattano dati come core business.
Il quadro delineato mi sembra molto chiaro, quali sono le azioni concrete per difendersi al meglio?
Il grafico del valore dei dati è in costante ed esponenziale ascesa, la raccolta delle informazioni si fa sempre più pervasiva, a questo il legislatore ha opposto un impianto regolatorio moderno, ciò che al momento sembra scarseggiare nel nostro Paese è la volontà di attori pubblici e privati di destinare le risorse adeguate alla sfida da affrontare. Gli investimenti in cybersecurity e compliance privacy tutelano infatti assets economici e valoriali non più collaterali ma assolutamente prioritari. La nomina dei DPO (Data Protection Officer), poi, deve assumere un rilievo primario nella governance aziendale, ricordando che essi devono essere primi riporti del Board e non possono essere relegati nei dipartimenti legale, It o compliance. Per far questo, tuttavia, le aziende devono essere selettive ed investire in professionalità alte e complesse. Non si dimentichi infatti che casi come quello di cui parliamo rappresentano solo la proverbiale punta dell’iceberg.
