Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Dopo aver analizzato nei precedenti contributi il perimetro dei reati informatici e i rischi legati alle manovre di difesa attiva, è necessario compiere un ultimo passo verso la comprensione della cybersecurity moderna ovvero il passaggio dalla responsabilità per fatto proprio alla responsabilità per omessa gestione dei flussi informativi. Con l’entrata in vigore del Decreto Legislativo 138/2024, che recepisce la Direttiva NIS 2, il quadro normativo italiano ha subito una scossa tellurica che sposta l’asse della punibilità dal singolo tecnico ai vertici aziendali. Come avvocato impegnato nella difesa di professionisti e aziende, e come docente che osserva l’evoluzione delle norme, rilevo che la gestione del dato non è più solo una questione di privacy, ma il cuore di una nuova “posizione di garanzia” che può sfociare in pesanti conseguenze penali.
La grande novità della NIS 2 risiede nell’erosione dello scudo societario dietro cui spesso si celavano i dirigenti. La norma stabilisce un principio di responsabilità personale degli organi di gestione per l’inottemperanza agli obblighi di sicurezza. Sotto il profilo penale, questo si traduce in un potenziale richiamo dell’articolo 40, comma 2, del Codice Penale secondo cui ” il non impedire un evento dannoso che si ha l’obbligo giuridico di evitare, equivale a cagionarlo. Se un CISO o un amministratore delega la gestione dei flussi di dati a sistemi inadeguati o non monitora correttamente le terze parti (Supply Chain Security), la violazione che ne consegue non è più solo un illecito amministrativo, ma la prova di una negligenza che può fondare una responsabilità per reati colposi di evento.
La NIS 2 impone obblighi rigorosi di segnalazione degli incidenti significativi allo CSIRT nazionale entro tempistiche estremamente ristrette. In Italia, la manipolazione o l’occultamento di tali flussi informativi può intersecarsi con le nuove disposizioni della Legge 90/2024. Se un professionista, al fine di evitare danni reputazionali all’azienda, altera i log o ritarda intenzionalmente la comunicazione di un attacco a un’infrastruttura critica, rischia di incorrere in fattispecie di falso o di intralcio alle funzioni delle autorità di vigilanza. La trasparenza del flusso di dati verso le autorità non è più una facoltà, ma un dovere la cui violazione può essere interpretata come concorso nei danni causati dalla propagazione dell’attacco ad altri enti.
Uno dei pilastri della nuova direttiva è il controllo della sicurezza lungo l’intera catena di approvvigionamento. Il professionista IT non può più limitarsi a blindare il proprio perimetro, ma deve assicurarsi che i flussi di dati verso fornitori e partner siano protetti. Giuridicamente, questo significa che la “colpa nell’organizzare” o la “colpa nello scegliere” il fornitore (culpa in eligendo) assume una rilevanza penale se da tale scelta deriva una compromissione di sistemi di interesse pubblico. Un’esternalizzazione compiuta senza i dovuti audit tecnici può essere vista come una violazione degli obblighi di diligenza professionale, alimentando profili di responsabilità per i reati di danneggiamento o interruzione di pubblico servizio in caso di paralisi dei sistemi.
Il monitoraggio dei flussi richiesto dalla NIS 2 per individuare intrusioni deve essere bilanciato con il divieto di intercettazione fraudolenta di cui all’articolo 617-quater del Codice Penale. Il professionista si trova in un vicolo cieco. Da un lato la legge gli impone di analizzare il traffico per proteggere l’ente, dall’altro lo punisce se questa analisi sfocia nella captazione dei contenuti delle comunicazioni private. Per evitare il rischio penale, è indispensabile che le procedure di analisi dei flussi siano “compliance-by-design”, ovvero configurate in modo da trattare metadati tecnici ed escludere i contenuti, supportate da una rigorosa policy aziendale che renda l’attività trasparente e non fraudolenta.
Il concetto di accountability, mutuato dal GDPR e rafforzato dalla NIS 2, diventa la principale arma di difesa nel processo penale. Quando un magistrato analizza le cause di un incidente informatico, il professionista deve essere in grado di dimostrare non solo che il sistema era sicuro, ma che il processo decisionale sui flussi di dati è stato diligente. Documentare ogni valutazione del rischio, ogni patch non applicata per giustificati motivi tecnici e ogni segnalazione inviata ai vertici aziendali è l’unico modo per spezzare il nesso di causalità tra l’omissione e l’evento dannoso. La sicurezza legale, in questo nuovo scenario, si costruisce con la tracciabilità delle scelte gestionali.
In conclusione di questo ciclo di approfondimenti, emerge chiaramente come la cybersecurity sia diventata una branca del Diritto penale applicata alla tecnologia. La Direttiva NIS 2 segna il passaggio definitivo da una sicurezza “reattiva” a una “preventiva e responsabile”, dove la gestione dei flussi di dati è l’elemento che determina la liceità o l’illiceità di una condotta.
Il professionista della sicurezza deve dunque vestire i panni del gestore del rischio legale, consapevole che ogni asset informativo protetto o trascurato è un tassello della propria responsabilità davanti alla legge.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Diritti
Cyber Italia
Cyber Italia
Cybercrime
Cyber Italia