Requiem for the accountability : la tradizione è dura a morire

Il concetto di accountability è noto ai più, soprattutto tra chi legge questo contributo, ma è opportuno farne una breve sintesi, quantomeno come “cappello” introduttivo al tema di cui si andrà a discutere.

L’accountability viene definita in diversi modi:

• “the fact of being responsible for what you do and able to give a satisfactory reason for it” (https://dictionary.cambridge.org/dictionary/english/accountability)
• “The accountability principle requires you to take responsibility for what you do with personal data and how you comply with the other principles.” (https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/data-protection-principles/a-guide-to-the-data-protection-principles/accountability-principle/)

Nel linguaggio quotidiano il concetto si può riassumere nella frase “io (legislatore) ti dico dove devi arrivare, come ci arrivi lo decidi tu purché me lo motivi”. A titolo esemplificativo: vige l’obbligo di adottare misure tecniche adeguate, quali siano queste misure lo stabilisci tu, purché motivi le ragioni per cui le hai ritenute adeguate.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Questo principio è di origine anglosassone, poco conosciuto e ancor meno praticato nella tradizione giuridica dell’Europa continentale fino all’arrivo del GDPR. Gli Stati continentali, infatti, hanno creato e applicato, da secoli, un sistema di diritto c.d. positivistico, che assume la “natura ‘positiva’ del diritto, ossia il suo essere positum («posto») da un’autorità legislatrice umana o, comunque, a opera esclusiva dell’uomo” (https://www.treccani.it/enciclopedia/positivismo-giuridico_(Dizionario-di-filosofia)/).

In parole comuni: “io (legislatore) ti dico cosa fare e come farlo, oppure cosa non fare” (ad esempio, non andare a più di 90km/h, non importa se la strada è libera, rettilinea e non ci sono pericoli, se vai a 92 km/h orari, ti sanziono).

Quando ho approcciato per la prima volta il concetto dell’accountability, mi fecero questo esempio, molto utile, in tema privacy: il codice della privacy del 2003 prevedeva delle “misure minime” di sicurezza, il GDPR prevede l’adozione di misure adeguate. Quindi, nel primo caso c’era una “to do list”, nel secondo caso c’è una “done list”.

L’introduzione di questo nuovo principio giuridico non è stata semplice. Spesso nelle Organizzazioni, dopo la spiegazione teorica, veniva rivolta la domanda: si ma quindi? Cosa dobbiamo fare?

Il GDPR, come noto, è in vigore dal 2018. Nel frattempo sono state adottate molte altre normative europee, soprattutto in ambito digitale e tutte hanno fatto proprio il concetto di accountability come “faro guida” per la conformità normativa.

Tuttavia, mentre l’Unione Europea sembrava andare in una direzione, una serie di fonti nazionali ha, poco per volta, rimesso in secondo piano l’applicazione del principio di accountability, ristabilendo, più o meno consapevolmente, la supremazia dell’approccio più positivista del cosa fare o non fare, con il quale i nostri sistemi giuridici hanno più confidenza. Ed è certamente un caso che, dal 2018 anno del GDPR, l’unico Stato europeo a tradizione anglosassone ha lasciato l’Unione Europea.

La direttiva c.d. NIS2 n. 2022/2555, in materia di sicurezza informatica, adottata dall’Unione nel 2022, al suo articolo 21 dispone che i soggetti rientranti nel perimetro NIS2 “adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza”. Invero al suo comma n. 2, l’articolo indica misure minime introdotte con la formula “comprendono almeno gli elementi seguenti” e ne fa un’elencazione. La maggior parte di queste misure riguardano documenti e politiche organizzative, la cui genericità consente di mantenere un minimo di autonomia decisionale. Tuttavia altre misure, parimenti inserite nell’elenco, ad esempio l’obbligo di formazione alla dirigenza e l’adozione di MFA, rappresentano misure molto specifiche e puntuali.

Un provvedimento che, di certo, ha avuto il merito di rendere manifesto il ritorno ad un approccio più normativo e meno “accountable” è stato la determinazione ACN 164179 del 14 aprile 2025. Con questo documento l’Agenzia per la cybersicurezza nazionale ha stabilito che “per l’adempimento degli obblighi di cui agli articoli 23, 24, e 25 del decreto NIS, i soggetti NIS, sono tenuti ad adottare le misure di sicurezza di base”[1], allegate al provvedimento. Queste altro non sono che una dettagliat(issim)a check list di 86 (OTTANTASEI!) controlli per i soggetti importanti e 115 (CENTOQUINDICI!) controlli per i soggetti essenziali.

Ultimo in ordine di tempo è il provvedimento adottato dal Garante per la Protezione dei Dati Personali, n. 243 del 29 aprile 2025. Con questa decisione l’Autorità ha decretato che il tempo massimo, adeguato, per la conservazione dei file dei metadati delle e-mail è di 21 giorni, mentre il periodo di conservazione dei file di log è di 90 giorni. In questo modo si è, di fatto, introdotta una regola e un termine fisso, validi per ciascuna Organizzazione indipendentemente dall’attività, dalla dimensione, ecc, derogabili solo per motivate ragioni.

Invero, applicando la logica dell’accountability, la determinazione del periodo massimo di conservazione dovrebbe avvenire all’esito di una valutazione del rischio al fine di determinare il periodo adeguato. L’ operazione dovrebbe essere svolta dal Titolare del trattamento dei dati personali, mentre con questo provvedimento l’Autorità Garante si è assunta il compito di effettuare la valutazione determinando un periodo massimo che deve valere per ciascuna Organizzazione.

A ciò si aggiunga che, ai sensi dell’art. 58 par. 2 l’Autorità Garante ha indicato una serie di misure correttive che sono, nei fatti, diventate una lista di misure che qualunque Organizzazione sarà chiamata ad adottare, considerato che la loro adeguatezza è stata già “certificata” dall’Autorità.

Il principio di accountability, quindi, nel nostro sistema se non è morto ampiamente agonizzante e con questo contributo non si vuole certo esprimere un giudizio. Anche un sistema più “positivistico” ha i suoi vantaggi, ad esempio in termini di chiarezza e determinatezza normativa che, spesso, è ciò che le Organizzazioni cercano. Certamente andrebbe presa una decisione, e scelta una strada continuando a percorrerla con decisione, senza prendere delle deviazioni che conducono ora su una via, ora su un’altra.

[1] https://www.acn.gov.it/portale/nis/modalita-specifiche-base

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Andrea Capelli

Avvocato, consulente e formatore presso realtà pubbliche e private in materia di informatica giuridica, protezione dei dati personali e sicurezza informatica