Questo contributo rappresenta il primo di un ciclo di tre articoli dedicati a esplorare il delicato rapporto tra chi opera nel settore della sicurezza informatica e l’intelaiatura normativa vigente. In questo primo appuntamento analizzeremo le responsabilità penali in cui possono incorrere le diverse figure professionali della cybersecurity alla luce delle recenti riforme legislative.
La rapida e inarrestabile evoluzione delle tecnologie dell’informazione ha determinato una metamorfosi profonda dei paradigmi di protezione dei beni giuridici. In un contesto in cui la sovranità digitale e la robustezza sistemica delle infrastrutture critiche sono diventate priorità di sicurezza nazionale, la figura del professionista della sicurezza informatica emerge come un attore centrale. Questo professionista è investito di responsabilità che travalicano il mero ambito tecnico per approdare a quello giuridico-penale. Il quadro normativo italiano, recentemente rinvigorito dalla Legge 90/2024 e dal recepimento della Direttiva NIS 2 tramite il D.Lgs. 138/2024, delinea un sistema sanzionatorio complesso in cui l’operatore IT non è solo il difensore del sistema, ma può diventarne responsabile legale per azione o omissione.
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha adottato lo European Cybersecurity Skills Framework (ECSF) definito dall’ENISA per classificare le figure professionali del settore. Questa catalogazione funge da parametro per l’identificazione della posizione di garanzia e del perimetro di diligenza richiesto in sede giudiziaria.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il Chief Information Security Officer (CISO) rappresenta il vertice della gestione e assume una posizione di garanzia ai sensi dell’art. 40, comma 2, del Codice Penale. Questa norma sancisce l’equivalenza tra il non impedire un evento che si ha l’obbligo giuridico di evitare e il cagionarlo direttamente. Se il CISO omette di segnalare vulnerabilità critiche o di richiedere investimenti necessari pur consapevole del rischio imminente, può essere chiamato a rispondere degli effetti dannosi di un eventuale attacco.
Allo stesso modo, il Cybersecurity Risk Manager risponde di una sottostima negligente delle minacce che può alimentare profili di colpa professionale in caso di incidente. La responsabilità si estende anche alle figure operative come il Cyber Incident Responder e il Digital Forensics Investigator. Mentre il primo deve mitigare l’offesa senza causare danneggiamenti ai dati o violare la segretezza, il secondo deve garantire l’integrità delle prove digitali per non esporre il professionista a reati di falso o inquinamento probatorio.
L’art. 615-ter c.p.costituisce il pilastro della tutela penale del domicilio informatico e punisce chiunque si introduce o si mantiene in un sistema protetto contro la volontà del titolare. Per i professionisti della sicurezza la questione riguarda spesso il superamento dei limiti autorizzativi interni. La Corte di Cassazione, con la sentenza delle Sezioni Unite n. 41210 del 2017, ha stabilito che l’accesso è abusivo ogni volta che il soggetto abilitato viola le esplicite disposizioni del titolare o agisce per scopi ontologicamente estranei alle finalità per cui il potere gli è stato conferito.
Questo principio ha implicazioni dirette per gli amministratori di sistema. Un tecnico che acceda ai log di navigazione di un collega per curiosità personale, o un amministratore che estragga database aziendali per favorire un concorrente, commette reato anche se le sue password glielo consentirebbero tecnicamente. L’abuso della qualità di operatore del sistema costituisce inoltre una circostanza aggravante che eleva la pena e trasforma la procedibilità da querela a d’ufficio. Anche la detenzione di strumenti dual-use o offensivi ricade sotto l’art. 615-quater c.p. e la loro liceità risiede esclusivamente nella finalità difensiva e nell’autorizzazione contrattuale.
Il penetration testing professionale è un’attività simulata la cui liceità dipende interamente da una costruzione giuridica basata sul consenso e sul contratto. Ai sensi dell’art. 50 c.p. non è punibile chi lede un diritto col consenso della persona che può validamente disporne. Tuttavia il consenso deve essere preventivo, informato e specifico riguardo al perimetro e alle tecniche. Un tester che decide autonomamente di estendere il test a segmenti di rete non inclusi nel contratto commette il reato di accesso abusivo.
Un rischio simile emerge nell’attività di monitoraggio dei SOC che può collidere con la tutela della segretezza delle comunicazioni garantita dall’art. 617-quater c.p. La giurisprudenza distingue tra dati di traffico e dati di contenuto. Mentre il trattamento dei primi è generalmente ammesso per finalità di sicurezza, la captazione dei contenuti richiede il rispetto delle garanzie del codice di procedura penale o dello Statuto dei Lavoratori.
Durante l’incident response l’accesso casuale a dati sensibili può escludere il dolo, ma il mantenimento o la rivelazione di tali dati configura un reato autonomo. Persino la difesa attiva o l’hack back sono prassi controverse poichè in Italia il monopolio dell’uso della forza appartiene allo Stato e la legittima difesa informatica è difficilmente invocabile dal privato.
La Legge 90/2024 ha introdotto modifiche strutturali al Codice penale per contrastare la cybercriminalità organizzata. Le pene per l’accesso abusivo sono state inasprite fino a dieci anni, arrivando a dodici per i sistemi di interesse pubblico. È stata introdotta un’aggravante specifica per la cyber extortion legata ai ransomware, il che impone ai CISO di coordinare ogni trattativa per il riscatto con l’Autorità Giudiziaria per evitare accuse di favoreggiamento. La riforma ha anche rafforzato il sistema sanzionatorio del D.Lgs. 231/2001 per le società.
Se un analista ruba dati a un concorrente a vantaggio dell’azienda, l’ente risponde con sanzioni pecuniarie che possono superare il milione di euro. Anche la gestione delle vulnerabilità tramite bug bounty o disclosure richiede ora protocolli rigorosi per evitare accuse di danneggiamento. Infine l’avvento dell’intelligenza artificiale ha spinto il legislatore a intervenire preventivamente integrando nel Codice penale fattispecie legate all’uso distorto degli algoritmi come l’art. 612-quater c.p. contro la diffusione illecita di deepfake. In questo scenario la perizia tecnica deve essere sempre accompagnata dalla conformità legale. Documentare ogni decisione tramite il principio di accountability e definire chiaramente le Rules of Engagement sono gli unici strumenti per mitigare il rischio di trasformarsi da difensori in imputati.
La sicurezza informatica non può più essere considerata una disciplina puramente tecnica svincolata dalle conseguenze giuridiche. La complessità del quadro normativo attuale impone al professionista moderno una solida consapevolezza dei propri doveri e dei limiti imposti dalle norme penali.
L’eccellenza nell’esecuzione degli interventi tecnici deve essere sempre accompagnata da una rigorosa tracciabilità delle azioni svolte poichè in sede giudiziaria la capacità di documentare che si è operato secondo le migliori pratiche di settore sarà l’unico vero scudo contro le accuse di negligenza o di errore professionale. Solo attraverso l’integrazione di protocolli operativi sicuri e una gestione contrattuale trasparente il difensore dei sistemi può proteggere anche se stesso, evitando che l’adempimento di un dovere o la gestione di un’emergenza si trasformino in un paradosso giudiziario.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cybercrime
Cybercrime
Vulnerabilità
Cyber Italia
Vulnerabilità