Il Decreto Aiuti bis potenzia la norma sulla cybersecurity

Con la diffusione del Decreto Aiuti bis dello scorso 9 agosto 2022, vengono rese operative per la prima volta in Italia le disposizioni in materia di cyber intelligence.

Le disposizioni sono contenute nell'art. 37 DL 115/2022, denominato “Disposizioni in materia di intelligence in ambito cibernetico”, che delinea il confine operativo e normativo in materia di cybersecurity, introducendo nuove regole relative al potenziamento della raccolta di informazioni da mettere a disposizione delle strutture istituzionali competenti nella gestione di possibili attacchi a infrastrutture informatiche sensibili.

La norma affida alla presidenza del Consiglio il potere di adottare misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale.  

La sicurezza cibernetica

La sicurezza cibernetica è divenuta negli ultimi dieci anni, un campo di azione del nostro Sistema di Intelligence. Lo scorso anno infatti è stata istituita l'Agenzia per la Cybersicurezza Nazionale (ACN), che ha l'obiettivo di garantire il coordinamento di tutte le iniziative in materia di cybersecurity a livello nazionale. L'ultima guerra in Ucraina ha ancora di più inasprito le tensioni in materia di cybersecurity e fatto emergere i vari punti deboli dei sistemi informatici. Il problema principale di tali attacchi, provenienti dallo Cyberspace è proprio quello di capire la provenienza degli attacchi, quasi sempre dislocati in più Stati esteri e definire il perimetro della giurisdizione penale.

Nell'ultimo position paper presentato dall'Italia viene rimarcato come in un ambiente virtuale devono trovare applicazione le norme, anche consuetudinarie, che regolano i rapporti tra Stati. Con l'introduzione dell'articolo 37, si dispone quindi che le attività difensive potranno essere svolte senza limiti territoriali e di finalità, anche all'interno del Paese e qualunque sia la minaccia. Le azioni saranno conseguentemente attribuite all'Agenzia informazioni e sicurezza esterna e all'Agenzia informazioni e sicurezza interna, con il coordinamento del Dipartimento dell'Informazione per la sicurezza (DIS) e del Ministero della difesa.

In pratica sarà onere del Presidente del Consiglio di ordinare all'AISE (Agenzia informazioni e sicurezza esterna) e all'AISI (Agenzia informazioni e sicurezza interna) di premere il “tasto rosso”. Prima della pubblicazione dell'art. 37, le norme in materia di attività informativa per la tutela della Repubblica non consentivano azioni offensive, ma soltanto la possibilità di commettere alcuni reati nell'ambito della copertura giuridica offerta dalle garanzie funzionali per poter acquisire informazioni di interesse della Repubblica.

L'art. 37 del Decreto Aiuti bis prevede nel dettaglio l'avvio del procedimento di autorizzazione, le caratteristiche e i contenuti generali delle misure che possono essere autorizzate in rapporto al rischio per gli interessi nazionali coinvolti, secondo criteri di necessità e proporzionalità. La norma specifica infine che anche l'attività di contrattacco cyber, in attuazione di obblighi assunti a livello internazionale, prevede il supporto di un Paese alleato vittima di un cyber attacco come previsto dal art. 5 del Trattato NATO, secondo il quale il mutuo soccorso tra i Paesi alleati è ora possibile anche in caso di attacchi informatici.