Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
La cybersecurity in Italia sta vivendo un momento di grande cambiamento, con norme più rigide e un aumento della consapevolezza sull'importanza della protezione dei sistemi
Da qualche anno l’attività del legislatore europeo e nazionale è concentrata sul tema della cybersicurity e diversi sono ormai le norme che disciplinano tale settore, imponendo obblighi precisi ed offrendo, se giustamente interpretate, nuove opportunità. Nei media, nelle Università e nella politica, la sicurezza informatica viene considerata elemento centrale per garantire la protezione dell’intero sistema Paese ed il suo sviluppo. Tutto ciò porterebbe a ritenere che finalmente, dopo anni in cui la materia era fondamentalmente relegata a questione per pochi, il settore viva adesso solo di luce, mentre le ombre siano abbandonate per sempre. Ciò è in parte vero, in parte no.
Non vi è dubbio che l ‘entrata in vigore di un quadro normativo europeo altamente integrato faccia vivere alla sicurezza informatica un momento “felice”. La cyber security viene vista oggi non più solo con approccio reattivo, ma anche, e soprattutto, come un qualcosa che va a ridefinire completamente la governance aziendale. Non si può più concepire un’ azienda degna di tale nome senza un’adeguata protezione dei suoi sistemi
Queste le luci.
Nonostante quanto premesso, tuttavia, lo specialista della sicurezza digitale in Italia si trova ad affrontare, direi inevitabilmente, problemi che prima non vi erano o comunque non venivano ritenuti centrali. In primo luogo deve spiegare ai vertici che la situazione è cambiata e che le disposizioni di legge impongono una modifica totale di impostazione. In secondo luogo rischia sempre più in prima persona, perché se da un lato deve far di tutto per mettere in sicurezza i sistemi, dall’altro deve stare attento che ciò non lo esponga a rischi giuridici, anche penali. Le severe sanzioni e i rigorosi requisiti di gestione del rischio derivanti dal recepimento della Direttiva NIS 2 e del Regolamento DORA e delitti come l’accesso abusivo a sistema informatico, che non riconosce ancora una tutela per l’attività di ricerca etica delle vulnerabilità, non contribuiscono certo a “far dormire sonni tranquilli “
Queste le ombre.
Non c’è dubbio che oggi anche il soggetto animato dalle migliori intenzioni si trovi in una posizione di forte vulnerabilità giuridica per lo svolgimento della sua attività . Nonostante la diffusione globale dei programmi di Bug Bounty (campagne pubbliche in cui le aziende offrono ricompense in denaro a chi scopre falle nei loro sistemi)e delle politiche di Coordinated Vulnerability Disclosure (Divulgazione Coordinata delle Vulnerabilità che definisce la procedura standard per segnalare in modo protetto e privato i difetti software prima che diventino di dominio pubblico conformi agli standard ISO), l’ordinamento penale italiano mantiene un orientamento particolarmente rigido che , inevitabilmente, spaventa.
Basta prendere per tutti l’art. 615-ter c.p. che punisce l’accesso abusivo a un sistema informatico senza distinguere tra le finalità malevole di un black hat e l’intento difensivo di un white hat. Se tu entri in un sistema senza esserne autorizzato, o ti muovi fuori dai limiti contrattuali, puoi incorrere in una contestazione penale ,con tutte le conseguenze che questo comporta. D’altra parte tale rigore è stato ulteriormente consolidato dalla Legge 90 del 2024 e dalla pacifica giurisprudenza della Corte di Cassazione, esponendo i penetration tester al rischio di incriminazione anche per minimi scostamenti dalle regole d’ingaggio contrattuali.
Più tollerante è l’impostazione prescelta da altri Paesi dove sembra vi sia maggiore comprensione per coloro che si muovono con finalità non malevole. In Germania il quadro normativo offre una rinuncia parziale all’azione penale condizionata al rispetto delle linee guida del CERT-Bund, l’organo operativo per la sicurezza informatica nazionale. L’autorità giudiziaria tedesca non inquisisce l’hacker etico se la sua attività e la segnalazione della falla seguono rigorosamente i canali protetti e i tempi stabiliti dal governo per la pubblica amministrazione.
Tuttavia, la struttura del CERT-Bund risulta parzialmente sovraccarica e limitata ai sistemi governativi, lasciando fuori le aziende private. Per i sistemi privati, i protocolli di segnalazione gestiti dalle singole società non vincolano l’autorità giudiziaria, esponendo il ricercatore al rischio di un processo qualora l’azienda decida comunque di sporgere denuncia. Differente è l’indirizzo degli Stati Uniti che adottano un modello centralizzato molto più protettivo, dove il Dipartimento di Giustizia ha emesso direttive vincolanti che vietano categoricamente di perseguire penalmente le ricerche condotte in buona fede sia sul settore pubblico, sia su quello privato. Vengono previste, inoltre, esenzioni triennali specifiche nella Legge sul copyright per chi analizza i software a scopi difensivi.
Come in diversi campi , anche in tale ambito possiamo vedere “ il bicchiere mezzo pieno” o “mezzo vuoto “
“Bicchiere mezzo pieno”.
La cyber security diventa centrale in ambito normativo e, quindi, aziendale , per cui vi sono nuove opportunità in termini di consulenza ed attività direttamente riconducibili alla protezione dei sistemi.
“Bicchiere mezzo vuoto”.
Le nuove disposizioni attribuiscono responsabilità della governance in modo diretto e non delegabile agli organi di amministrazione e direzione. Gli amministratori rischiano sanzioni personali interdittive e l’incapacità temporanea a svolgere funzioni dirigenziali in caso di violazione delle regole di gestione del rischio informatico. Parallelamente, il Chief Information Security Officer riveste una complessa posizione di garanzia ai sensi dell’articolo 40 c.p. e può rispondere civilmente e penalmente per omesso impedimento del danno in caso di negligenza.
Per comprendere come la situazione sia radicalmente mutata, e crescenti siano i timori di incorrere in responsabilità, basti pensare che l’ Agenzia per la Cybersicurezza Nazionale ha censito oltre ventimila organizzazioni all’interno del perimetro di applicabilità, suddivise tra soggetti essenziali e soggetti importanti. Per i primi sono richieste quarantatré misure complessive declinate in centosedici requisiti tecnici dettagliati, con sanzioni amministrative massime che possono raggiungere i dieci milioni di euro o il due per cento del fatturato globale annuo.
Questo scenario dimostra come la transizione verso la conformità alla NIS 2 non rappresenti più un semplice adempimento tecnico, ma un delicato bilanciamento strategico tra lo sviluppo di nuove competenze professionali e la gestione di rischi legali personali senza precedenti per i vertici aziendali.
Nel momento in cui la direttiva NIS 2 e la successiva normativa nazionale impongono determinati comportamenti alle imprese individuate, aumenta il rischio che le stesse possano dover rispondere ai sensi del Decreto Legislativo 231 del 2001, laddove il reato è stato commesso proprio per mancanza delle adeguate misure di sicurezza necessarie.
Da questo punto di vista, se già adottato, è il caso che il Modello di Organizzazione e Gestione venga rivisto e corretto alla luce delle recenti novità normative , ricordando come la costante giurisprudenza affermi che il Modello 231 non esonera la società da responsabilità amministrativa se si riduce a un’ implementazione meramente formale, richiedendo invece una continua integrazione operativa delle misure di sicurezza fisica e logica, costantemente verificate da un Organismo di Vigilanza dotato di reali poteri ispettivi e flussi informativi tempestivi.
E’ agevole, inoltre, rilevarecomel’adeguamento tempestivo e sostanziale ai nuovi standard di sicurezza diventi fondamentale anche sul piano civilistico. Posto che le attività di trattamento dei dati personali su larga scala o mediante architetture cloud, vengono considerate attività pericolose ai sensi dell’articolo 2050 c.c., con inversione dell’onere probatorio, nel senso che è l’azienda a dover fornire la prova di aver adottato tutte le misure idonee ad evitare l’evento, l’accertamento della violazione degli obblighi NIS 2 o DORA, finisce per essere impiegato dal Giudice come elemento decisivo per determinare la colpa civile e quantificare il risarcimento del danno.
Lo sviluppo della cyber security nel nostro Paese è legato anche agli investimenti, ma non solo.
Sotto il primo profilo rileva come lo Stato italiano ha stanziato circa seicento milioni di euro nel biennio 2025-2026 tramite fondi PNRR, ministeriali e regionali FESR. Queste risorse finanziano voucher e contributi a fondo perduto fino al cinquanta per cento per l’acquisto di tecnologie di sicurezza, penetration test e consulenze specialistiche.
Tuttavia, nonostante l’ingente stanziamento di risorse economiche, si osserva come molti esperti siano costretti a lasciare l’Italia in quanto permangono profonde questioni strutturali e burocratiche che frenano il reale rafforzamento di questo settore. In molti casi le imprese continuano ad impiegare gli investimenti secondo logiche puramente formali, percependo la sicurezza informatica come un costo imposto per evitare sanzioni, piuttosto che come un valore strategico fondamentale.
A questa diffusa resistenza culturale si aggiunge l’ostacolo di una burocrazia complessa nell’accesso ai fondi pubblici, che scoraggia soprattutto le piccole e medie realtà dall’avviare percorsi di digitalizzazione sicura. Se questo è in molti casi lo scenario di fondo, di certo non aiuta il fatto che le norme risultano ancora penalizzanti per chi si occupa di sicurezza, non essendo ancora presente una tutela legale per chi si occupa di ricerca etica e persistendo un divario retributivo significativo rispetto ai mercati esteri.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]