Il crimine digitale ha raggiunto livelli talmente elevati da essere una minaccia per tutta la comunità internazionale costretta, negli ultimi tempi, ad affrontare attacchi informatici sempre più dannosi. Da diverso tempo, tutti i principali siti internazionali in materia di cybercrime, cyber espionage e information warfare considerano le aggressioni digitali una ‘nuova grande emergenza’ che bisogna contrastare con appropriate politiche di sicurezza informatica.
La mancanza di un idoneo apparato normativo in materia ha generato conseguenze davvero disastrose nella lotta al cybercrime e solo recentemente la Comunità europea ha deciso di trattare l’argomento legiferando in materia di Cyber security: si tratta della Direttiva ‘NIS’ (Network and Information Security), la prima vera legislazione europea dedicata esclusivamente alla sicurezza informatica; del Regolamento ‘GDPR’ (General Data Protection Regulator), che mira, invece, a rafforzare la protezione e l’esportazione dei dati personali all’interno dei confini comunitari; e del Regolamento ‘eIDAS’ (electronic Identification Authentication and Signature), dedicato alle transazioni elettroniche sicure.
Nello specifico, la Direttiva europea n. 1148 del 6 luglio 2016, nota come ‘Direttiva NIS’, rappresenta un importante punto di riferimento per la lotta al crimine digitale e per la sicurezza delle transazioni economiche digitali. La Direttiva persegue sostanzialmente tre obiettivi: migliorare la cyber sicurezza in Europa, aumentare il livello di cooperazione tra gli Stati membri e obbligare coloro che forniscono servizi essenziali a gestire adeguatamente ogni possibile rischio informatico. Per far fronte a ciò, ogni Stato deve, però, dotarsi di una strategia nazionale di cyber security designando una o più autorità competenti che assicurino che le disposizioni della Direttiva europea vengano attuate ed osservate. Ogni Stato membro dell’Unione Europea deve, perciò, istituire un ‘CSIRT’ (Computer Security Incident Response Team), ossia una squadra di esperti capace di rispondere (e risolvere) ad ogni incidente informatico che possa colpire (e danneggiare) i sistemi informatici cosiddetti ‘critici’ e che sia in grado di fornire tempestivamente informazioni e avvisi sul loro verificarsi. La Direttiva NIS prevede anche la creazione di un gruppo di cooperazione, che faciliti i rapporti tra gli Stati membri.
La priorità del legislatore comunitario è stata, infatti, quella di implementare l’affidabilità della struttura economica della Comunità europea, obbligando tutti i fornitori di servizi telematici, che operano nei singoli Stati membri, a conformarsi a determinati standard di sicurezza. La Direttiva si rivolge a coloro che forniscono servizi indispensabili per uno Stato e che vengono gestiti e offerti utilizzando internet e la diffusa tecnologia digitale; soggetti pubblici e privati che operano, ad esempio, nel settore bancario, in quello sanitario, nei trasporti, che forniscono acque potabili, energia elettrica o che operano nell’ambito dei mercati finanziari. Il NIS si rivolge anche a coloro che offrono servizi tipicamente digitali, come servizi di e-commerce o di cloud computing.
Tuttavia, ciò che dovrebbe essere la normativa europea più importante in materia di protezione cibernetica, di fatto, lascia ai singoli Stati un ampio margine di discrezionalità per la sua applicazione; una discrezionalità dettata soprattutto da aspetti economici e che ne vanifica quasi del tutto l’obbligatorietà. I singoli Stati europei, infatti, devono sì migliorare la propria sicurezza informatica entro e non oltre il 9 maggio del 2018, ma possono provvedervi ognuno a suo modo, mancando, nella Direttiva, riferimenti specifici a standard, strumenti e software da impiegare. La situazione attuale suggerisce piuttosto di investire nello sviluppo di una diffusa cultura di sicurezza informatica, in un’adeguata formazione, uniche e vere risorse capaci di potenziare effettivamente le difese telematiche di un paese. La sicurezza informatica, infatti, non è un problema solo dell’Europa o di singoli Stati, ma di tutti.
I-Forensics Team
