“La cybersecurity è un tema che si inserisce in una regolamentazione più ampia che riguarda la società digitale. In questo panel affrontiamo il tema della gestione delle vulnerabilità. Abbiamo un problema di over regulation a livello europeo?” Ha chiesto il moderatore del panel Antonio Iannuzzi dell’Università degli Studi Roma Tre.
“Dobbiamo avere una piena coscienza dell’importanza della cybersicurezza sotto diversi profili, da quelli tecnici a quelli normativi, ovviamente, ed è quantomeno importante per alzare i livelli di resilienza del paese.
Assistiamo a livello europeo a un’attenta attività di formazione sotto diversi aspetti che riguardano la cybersicurezza. Nel mondo digitale è necessaria la regolazione, perché si tratta di processi da poter regolare e controllare e soprattutto ormai non si può più immaginare di digitalizzare un Paese se non attraverso un concetto di sicurezza che deve partire dalla sicurezza di default.
A livello nazionale, l’Agenzia per la cybersicurezza nazionale ha anche un compito specifico, quello di mantenere aggiornato il quadro normativo, anche attraverso un meccanismo di espressione di pareri obbligatori, ma non vincolanti, sulla formazione. Non solo, anche di fare in modo che i meccanismi sia del ricevimento sia dell’adeguamento possano assicurare una effettiva armonizzazione tra i diversi quadri regolatori. Pensiamo alla NIS2 che ci consente un’armonizzazione rispetto alla normativa nazionale più stringente che abbiamo, che è quella sul perimetro di sicurezza nazionale cibernetica.
Dobbiamo occuparci di divulgazione coordinata con le abilità. Perché è la normativa che ce lo impone, con un’esigenza specifica che tutti i software e tutti gli hardware presentano alla fine delle vulnerabilità che possono essere errori di progettazione o errori di configurazione, che poi è quello che gli attccanti sfruttano”, ha detto Gianluca Ignagni, Capo di Gabinetto, Agenzia per la Cybersicurezza Nazionale.
“Ritengo che dovremmo criminalizzare, quindi rendere penalmente rilevanti, tutte le condotte di intrusione nei sistemi, perché sono atti criminali e lo dice anche la NIS2, che li cataloga come atti malevoli. Ora, il sistema cyber regge ed è performante se si elimina l’hacker, ma l’hackeraggio può essere anche etico.
Perché criminalizzare il ragazzo che si vuole misurare nella ricerca di vulnerabilità, senza arrivare fino in fondo, cioè senza creare danni o incidenti? Il sistema va sfidato per tenerlo su. Serve una scelta equilibrata, che non porti all’esasperazione della cybersecurity.
Un altro problema da considerare è una mancanza che è insita nella NIS2, cioè la regolamentazione dell’attività dei privati, non solo delle istituzioni.
forse dovete cominciare ad attenzionare i privati e in qualche maniera, in casi specifici, alleggerire la responsabilità penale. La Francia con la sua agenzia nazionale di sicurezza prevede la possibilità di attività hacker etica, di sfida del sistema, senza arrivare fino in ondo, quindi senza creare danni. È un sistema giuridico diverso, ma io credo si debba anche qui iniziare a ragionare in questi termini”, ha affermato Donatella Curtotti, Membro dell’Osservatorio dell’Unione Camere Penali Italiane su “Scienza, Processo e Intelligenza artificiale”.
“Verso i nostri dati c’è un interesse criminale altissimo. L’accesso ai nostri sistemi informatici è il target più significativo dell’attività cybercriminale, anche di carattere mafioso e di organizzazioni terroristiche. Attività legate all’acquisizione di informazioni sensibili. Su questo siamo ormai tutti abbastanza consapevoli. Oggi le informazioni sono uno strumento di potere, non solo Nazionale, ma internazionale, quindi la tenuta delle strutture informatiche è una delle priorità per la sicurezza del Paese.
Dopo anni di ritardo, l’Italia ha effettuato un significativo incremento di investimenti in questo settore, ma rimaniamo un target molto attenzionato e di fatto siamo ancora uno dei Paesi che subisce il maggior numero di attacchi a livello mondiale”, ha sottolineato Antonio Ardituro, Cons. Sostituto Procuratore Nazionale Antimafia e Antiterrorismo.
Andrea Casu, Commissione Trasporti, Poste e Telecomunicazioni, Camera dei Deputati, ha concluso il panel affermando che: “Siamo in ritardo in termini di cultura della cybersicurezza. La questione è cruciale, perché è un tema di competenze ed educazione.
Altro grande tema è di come scrivere norme che garantiscano anche la legittima difesa anche in ambito cibernetico, perché da questo punto di vista il rischio che noi abbiamo, l’abbiamo visto anche nei confronti di alcune forme di difesa attiva, è che alla fine noi scriviamo norme che rischiano di complicare fortemente la vita a chi prova a difendersi. Perché a volte in una dimensione cybersecurity difendere vuol dire contrattaccare. Noi abbiamo le nostre istituzioni sotto attacco ormai da tanti giorni, ma rispondere in maniera attiva potrebbe voler dire addirittura violare dei sistemi di altri paesi e quindi aprire anche dei potenziali conflitti.
Alla fine il rischio è che noi scriviamo norme e aumentiamo le sanzioni, ma con queste pene rischiamo di non colpire chi ci attacca, ma paradossalmente chi subisce gli attacchi”.
English (US)