Il ransomware che ha colpito la rete informatica di Trenitalia/Ferrovie dello Stato, quindi di un’infrastruttura critica dell’Italia, sul piano giuridico nel nostro Paese non può essere riconosciuto come minaccia alla sicurezza nazionale. Fondamentalmente, perché manca la definizione di ‘evento cibernetico critico’, espressione usata dall’avvocato Stefano Mele sia nelle proposte emendative alla normativa in materia di ‘perimento di sicurezza nazionale cibernetica’ presentate al Copasir sia nel suo intervento alla recente Conferenza internazionale CyberSec2022.
“Per evento cibernetico critico”, ha spiegato Mele, “si deve intendere un attacco informatico che blocchi l’erogazione di un servizio o funzione essenziale per gli interessi dello Stato”.
Quando il cyber attacco dovesse avvenire nei confronti di queste infrastrutture critiche dell’Italia, allora, continua Mele, spiegando la sua proposta, “il presidente del Consiglio dei ministri deve avere la possibilità di classificare questo incidente cyber come una minaccia per la sicurezza nazionale e di conseguenza poter reagire all’attacco cibernetico”. Questo è l’elemento di novità: l’Italia deve poter anche rispondere a un cyber attacco per un evento cibernetico classificato “critico”.
“L’articolo 5 del perimetro di sicurezza nazionale cibernetica”, ha sottolineano Stefano Mele, “prevede solo una postura difensiva. In Europa siamo rimasti, probabilmente, l’unico Stato ad avere, scritto nero su bianco, solo la postura difensiva”.
Da qui la proposta emendativa dell’avvocato Mele, specializzato in cybersecurity law, alla normativa in materia di ‘perimento di sicurezza nazionale cibernetica:
“Introdurre il comma 2 all’articolo 5 che consenta al Presidente del Consiglio dei ministri, in presenza di un evento cibernetico critico, su deliberazione del Comitato interministeriale per la sicurezza della Repubblica, può disporre che lo stesso sia classificato come un pregiudizio per la sicurezza nazionale, disponendo anche, ove ritenuto necessario, che venga attuata ogni misura proporzionata per il suo contrasto al fine di tutelare la sicurezza nazionale”.
Bene. A fare tesoro di questa proposta dell’avv. Mele è stato il PD ed in particolare il deputato Enrico Borghi, componente del Copasir.
Ieri, dopo il cyber attacco ai sistemi informatici di Trenitalia/Ferrovie dello Stato, Borghi ha dichiarato all’Adnkronos che “È sempre più urgente assumere una postura differente come sistema-Paese, e non rimanere nella posizione di soggetto passivo che può limitarsi al più a difendersi”. “Come Partito Democratico”, ha annunciato, “abbiamo predisposto una proposta di legge sulla possibilità di rispondere agli attacchi cibernetici, che depositeremo nelle prossime ore”.
Riguardo alla proposta di legge, Borghi ha spiegato: “Al fine di rafforzare la posizione dell’Italia, siamo dell’idea di intervenire all’interno della normativa sul Perimento di Sicurezza Nazionale Cibernetica, al fine di classificare e ‘graduare’ in maniera differente questo genere di attacchi cibernetici – identificandoli come un ‘evento cibernetico critico’ – e di assicurare al Presidente del Consiglio dei ministri il potere di richiedere, ove ritenuto necessario, che venga attuata ogni misura proporzionata per il loro contrasto al fine di tutelare la sicurezza nazionale“.