Author : Nadia Mangiardi Fontana.
Committee: Cybersecurity Strategic Committee
Date: 04/11/2024
Nel complesso panorama della cybersecurity e della protezione dei dati, in cui ogni giorno emergono nuove sfide che mettono alla prova la nostra capacità di proteggere informazioni personali e infrastrutture digitali, il confronto con esperti del settore diventa essenziale in un’ottica di continuo aggiornamento e miglioramento.
Recentemente, il nostro comitato ha avuto l’opportunità di intervistare due figure di spicco nel mondo della sicurezza digitale, l’Avv. Guido Scorza1, membro del Collegio del Garante Privacy e Corrado Giustozzi2,esperto di cybersecurity, docente e divulgatore.
Tra i tanti argomenti sottoposti ai nostri intervistati, il focus principale è dato dall’approccio del legislatore europeo. La domanda se il diritto sia in grado di correre alla stessa velocità dell’evoluzione tecnologica sorge spontanea per qualsiasi operatore del diritto e non.
PRIVACY E CYBERSECURITY : IL LEGISLATORE EUROPEO E’ STATO ALL’ALTEZZA DELLE SFIDE?
La prima domanda posta ai nostri intervistati, in modo asincrono3, è stata : “Si è fatto abbastanza in passato per la tutela della privacy e della cybersecurity, considerando il contesto storico e le conoscenze disponibili all’epoca? Oppure si sarebbe potuto osare di più, anticipando i tempi?” .
I nostri esperti passano in rassegna risposte forti e parzialmente concordanti, tipiche di una valutazione ex post, che sono espressione della diversa formazione degli intervistati ma che partono da un orientamento comune, ossia il legislatore è intervenuto al meglio delle sue possibilità e conoscenze di cui disponeva al tempo.
Guido Scorza, da giurista e membro di una Autorità amministrativa indipendente, manifesta un approccio tipicamente da legislatore, sostenendo che sebbene si sia fatto molto si sarebbe potuto osare di più. Secondo Scorza, la produzione giuridica in materia è spesso stata tardiva rispetto alla velocità con cui le minacce digitali si sono evolute. Riconoscendo l’importanza di ciò che è stato fatto, ha evidenziato che un approccio meno rigido alla regolamentazione ha permesso alle minacce di evolversi più rapidamente, sfruttando uno spazio meno controllato.
Corrado Giustozzi ha sostenuto che, per il periodo storico in questione, si è fatto tutto ciò che era possibile. Ha portato ad esempio la normativa NIS (Network and Information Security)4, sostenendo che era appropriata e proporzionata rispetto alle conoscenze e alle minacce presenti all’epoca della sua introduzione. Giustozzi ha sottolineato come l’evoluzione normativa sia avvenuta in modo naturale, con l’introduzione della NIS 25,che ha adeguato il quadro normativo alle nuove esigenze e sfide, mostrando un chiaro progresso nel tempo6.
NORMARE L’INNOVAZIONE: REGOLAMENTAZIONE E LIBERTA’ NELL’ERA DELLA CYBERSECURITY
Nel corso dell’intervista, dopo una riflessione sui successi e le criticità dell’approccio normativo europeo negli ultimi anni, l’attenzione si è spostata sulle sfide e le opportunità future che ci attendono. In un’epoca segnata dall’evoluzione incessante della tecnologia, emergono nuovi interrogativi sul ruolo della regolamentazione e sull’equilibrio tra innovazione e sicurezza.
Guido Scorza ha difeso l’importanza di limitare e normare alcuni comportamenti fin da subito, sottolineando che, quando si parla di cybersecurity, non si tratta di salvaguardare diritti minori o secondari, ma di tutelare diritti fondamentali7, come il diritto al rispetto della vita privata e alla protezione dei dati personali. L’Avv. Scorza ha respinto l’idea di dare il “via libera a tutti” per poi sanzionare in un secondo momento eventuali abusi, affermando che certe pratiche devono essere proibite in partenza per evitare danni potenzialmente gravi. Un rischio di tale portata non è accettabile, vista la rilevanza dei diritti coinvolti, sostiene l’Avv. Scorza. La prevenzione e l’imposizione di limiti diventano pilastri fondamentali all’interno di questo contesto normativo.
Corrado Giustozzi ha espresso una critica verso il legislatore, sostenendo che, soprattutto nel campo della cybersecurity, vi sia una tendenza a vietare aprioristicamente determinate tecnologie per paura che possano essere usate per finalità illegittime, mentre invece sostiene che non bisognerebbe vietare le tecnologie ma identificare e sanzionare i comportamenti illegittimi. Giustozzi ha paragonato questa cautela ad uno scenario paradossale in cui non vengono inventate le automobili per paura di causare incidenti stradali. Certo, ha osservato, gli incidenti stradali accadono ma non per questo l’innovazione automobilistica si è fermata.
Invece, a parere di Giustozzi, nello sviluppo delle nuove tecnologie c’è spesso una tendenza a vietare l’utilizzo o addirittura la creazione di certi strumenti, per preservare diritti la cui violazione è solo potenziale, incerta e una mera possibilità. Questa impostazione restrittiva, a suo avviso, sta già limitando l’evoluzione tecnologica e potrebbe continuare a farlo in futuro. Invero, ritiene necessario e doveroso evitare e sanzionare fin dalla nascita quelle innovazioni che fin da subito appaino lesive dei diritti e quindi illegittime (pensiamo ad una intelligenza artificiale creata appositamente per compiere frodi).
L’UNIONE EUROPEA COME MODELLO GLOBALE NELLA TUTELA DEI DIRITTI DIGITALI: La Visione Condivisa di Giustozzi e Scorza sul Ruolo dell’Europa.
Corrado Giustozzi e Guido Scorza, seppur con idee differenti sull’approccio normativo e di gestione delle nuove tecnologie ritenuto più efficiente, concordano pienamente riguardo la dimensione europea della cybersecurity e della protezione dei dati e sul ruolo delle agenzie europee, in particolare sul futuro che si prospetta in materia di tutela della privacy. Entrambi gli esperti condividono nello statuire che l’Unione Europea ricopra un ruolo cruciale nel delineare un quadro normativo e operativo tale da garantire, ora e ancora di più nell’imminente futuro, la tutela e il rispetto dei diritti digitali dei cittadini.
I nostri intervistati credono fermamente che, con la collaborazione di tutte le Istituzioni europee preposte alla sicurezza, alla privacy e alla cybersecurity, si possa raggiungere un equilibrio tra l’innovazione tecnologica e la tutela dei diritti fondamentali. Giustozzi ha sottolineato l’importanza di una collaborazione transnazionale per affrontare in maniera efficace le sfide poste dalle minacce esistenti. A suo avviso, l’Europa può rappresentare un modello globale per la gestione delle infrastrutture critiche e la prevenzione delle minacce informatiche, grazie a un coordinamento sempre più stretto tra gli Stati membri e le Istituzioni europee come ENISA8 (Agenzia dell’Unione Europea per la Cybersecurity) e le varie CERT nazionali.
Dall’altro lato, il componente del Collegio del Garante Privacy nella persona dell’Avvocato Scorza ha evidenziato che, a livello europeo, sono già stati fatti passi significativi in materia di protezione dei dati personali e cybersecurity, evidenziando la necessità di continuare a sviluppare un quadro normativo che garantisca non solo la sicurezza delle infrastrutture digitali, ma anche la protezione effettiva dei diritti dei cittadini. Secondo lui, istituzioni come il Garante Europeo della Protezione dei Dati (EDPS), in sinergia con enti nazionali, hanno un ruolo chiave nel monitorare e rafforzare la compliance alle normative europee, come il GDPR. L’Avv. Scorza ha insistito sull’importanza di una visione integrata tra privacy e sicurezza, e su come, solo attraverso una regolamentazione chiara e uniforme a livello europeo, si possa ottenere una prevenzione efficace e giusta delle minacce informatiche.
Il raggiungimento di una giusta prevenzione e protezione dalle minacce digitali è possibile solo con un’azione concertata e integrata tra tutti i livelli: legislativo, tecnico e operativo. A loro avviso, la cooperazione tra Stati membri, le istituzioni europee, agenzie e gli organismi di sicurezza è fondamentale per costruire una rete di difesa che sia all’altezza delle sfide globali poste dal mondo digitale. Inoltre, entrambi sottolineano che, nel lungo periodo, una strategia europea coesa permetterà di garantire un rispetto sempre più completo dei diritti dei cittadini, senza rinunciare allo sviluppo tecnologico e all’innovazione.
Questo punto di incontro tra le loro visioni, basato su una fiducia nella capacità dell’Europa di creare un contesto sicuro e al contempo innovativo, rappresenta una speranza condivisa per il futuro della cybersecurity e della privacy nel contesto europeo.
La rapida evoluzione tecnologica sta portando a significativi investimenti per favorire l’innovazione e migliorare la sicurezza digitale, con fondi dedicati al settore della cybersecurity; tuttavia, con l’incremento di queste risorse, diventa cruciale una supervisione efficace per assicurare che tali fondi vengano utilizzati in modo lecito e conforme agli obiettivi dichiarati.
In questo contesto, la Procura Europea gioca un ruolo fondamentale in quanto essa è stata istituita per combattere le frodi e le irregolarità finanziarie all’interno dell’Unione Europea ed è responsabile di vigilare sull’uso appropriato dei fondi destinati allo sviluppo tecnologico e alla sicurezza informatica. La sua presenza è essenziale per monitorare che i capitali europei non vengano deviati o utilizzati in modo improprio, garantendo che ogni euro stanziato porti valore aggiunto e rafforzi la sicurezza dei cittadini.
Oggi la tecnologia e la cybersecurity sono di importanza strategica per la sovranità digitale dell’Europa e l’EPPO assicura che gli investimenti siano conformi alla legge e rispondano agli standard etici e giuridici previsti, proteggendo così le risorse pubbliche e promuovendo una crescita tecnologica sana e legittima.
Attraverso un costante controllo e la sua capacità di intervenire in modo mirato e deciso, la Procura Europea garantisce che i fondi destinati alla rivoluzione tecnologica e alla cybersecurity non solo abbiano un impatto significativo, ma siano anche gestiti con trasparenza e correttezza.
1https://www.garanteprivacy.it/home/trasparenza/organizzazione/organi-di-indirizzo-politico-e-amministrativo/il-collegio/guido-scorza. L’avvocato Guido Scorza, giornalista e professore di diritto delle nuove tecnologie e privacy. Attualmente componente del Collegio del Garante per la protezione dei dati personali, ha ricoperto ruoli di grande responsabilità, tra cui consigliere giuridico per il Ministro per l’Innovazione e rappresentante vicario del Governo italiano presso il GAC dell’ICANN. La sua esperienza si concentra sulla regolamentazione dell’intelligenza artificiale e della privacy.
2https://www.theinnovationgroup.it/speakers/corrado-giustozzi/?lang=it i Corrado Giustozzi consulente strategico, docente e divulgatore, è uno dei maggiori esperti di cybersecurity in Italia. Con una carriera che spazia dalla fondazione del primo Internet service provider italiano alla consulenza per l’Agenzia per l’Italia Digitale, Giustozzi è un’autorità nel campo della sicurezza delle informazioni, della cyberwarfare e della protezione delle infrastrutture critiche.
3 Le sessioni si sono svolte attraverso la piattaforma digitale Google Meet, garantendo la possibilità di interagire a distanza con gli intervistati. Le interviste hanno avuto luogo in date differenti: 26 settembre 2024 per Corrado Giustozzi e 1 ottobre 2024 per Guido Scorza, con ciascun partecipante intervistato singolarmente.
4 Direttiva NIS 1 (2016): European Parliament and Council. (2016). Directive (EU) 2016/1148 concerning measures for a high common level of security of network and information systems across the Union. Official Journal of the European Union, L194, 1-30. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016L1148
5 Direttiva NIS 2 (2022): European Parliament and Council. (2022). Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and repealing Directive (EU) 2016/1148 (NIS 2 Directive). Official Journal of the European Union, L333, 80-136. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32022L2555
6 La Direttiva NIS 1 (Direttiva 2016/1148), adottata nel 2016, è stata la prima normativa europea a fissare un quadro comune per garantire un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea. La NIS 1 si concentrava principalmente su alcuni settori chiave, come l’energia, i trasporti, la sanità e le infrastrutture digitali, imponendo obblighi di sicurezza agli operatori di servizi essenziali (OES) e ai fornitori di servizi digitali. La Direttiva NIS 2 (Direttiva 2022/2555), adottata nel 2022, è un aggiornamento significativo della NIS 1. Uno degli aspetti principali emersi con la NIS 2 è l’estensione del campo di applicazione a un numero molto più ampio di soggetti rispetto alla direttiva precedente. La NIS 2 include infatti nuovi settori critici, come i fornitori di servizi postali e di gestione dei rifiuti, il settore pubblico, la produzione alimentare, i fornitori di servizi cloud, i data center e le reti di comunicazione. Questa direttiva introduce anche misure di sicurezza più stringenti e rafforza i meccanismi di cooperazione tra gli Stati membri. La differenza principale evidenziata nel corso delle interviste è proprio questa estensione della platea di soggetti coinvolti dalla normativa NIS 2, rispetto alla NIS 1, che permette una protezione più ampia e completa delle infrastrutture critiche e dei servizi essenziali a livello europeo.
7 CARTA DEI DIRITTI FONDAMENTALI DELL’UNIONE EUROPEA (2000/C 364/01), artt. 7 e 8
https://www.europarl.europa.eu/charter/pdf/text_it.pdf
8 ENISA