Il perimetro di sicurezza nazionale cibernetico: nuova sfida per general counsel e compliance officers

(di Fabrizio De Feo)
03/03/21

Nel difficile momento di ricostruzione che seguirà alla grande crisi economica provocata dalla pandemia, uno dei beni più preziosi che un Paese custodisce sono le informazioni, che vanno difese tanto quanto si difendono i confini nazionali nel caso di una guerra. È di questo che si tratta quando si parla di cyber security, e da qualche mese a questa parte il nostro Paese sta facendo grandi passi avanti per proteggere il nostro “programma interno” di sicurezza che corre sul web.

Se ne è parlato venerdì 26 febbraio ad un webinar organizzato da Lexout, società che offre servizi legali e professionali in outsourcing, e The Skill, Studio di comunicazione specializzato in comunicazione legale. Protagonisti Aigi, Associazione Italiana Giuristi d’Impresa, e Aitra, Associazione Italiana Trasparenza e Anticorruzione.

Nutrito e competente il parterre degli ospiti, hanno fatto gli “onori di casa” l’avvocato Giuseppe Catalano – presidente Aigi (company secretary e head of corporate affairs Assicurazioni Generali Spa), l’avvocato Giorgio Martellino (presidente Aitra – responsabile Sezione Centro Aigi nonché general counsel di Avio Spa) e il professor Francesco Bruno (founding partner di B - Società tra avvocati e componente dell’advisory board di Lexout).

Alla tavola rotonda, moderata da Pietro Galizzi (head of legal and regulatory affairs di Eni Gas e Luce Spa e socio Aigi), hanno partecipato l’avvocato Gianluca Cattani (advisory board Lexout), il professor Roberto Baldoni (vicedirettore generale Dis con delega alla Cybersecurity), il dottor Fabio Mulazzani (business and continuity officer dell’Autorità europea per la sicurezza alimentare), l’ingegner Massimiliano Vegni (Ad di It systems Srl), l’avvocato Antonio Enrico Agovino (membro del direttivo Aitra e head of compliance di Inwit spa). 

A dare un quadro normativo, anche con le recenti introduzioni fatte dal governo in tema di sicurezza è stato il professor Baldoni, che ha spiegato come da dicembre sia partita una campagna nazionale improntata all’aggiornamento dei "beni Ict": in sostanza si tratta di mettere in sicurezza tutte le reti che supportano informazioni di carattere esclusivo, determinanti per il Paese. Se da un lato il d.lgs. 231/2001 sulla responsabilità degli enti in capo a reati che si verificano all’interno dell’azienda per omessa vigilanza costringe aziende pubbliche e private a mettersi a norma anche rispetto a possibili attacchi informatici, dall’altro era necessario andare nello specifico della cybersicurezza con quattro Dpcm e un Dpr che contribuiscono all’individuazione di quelle reti che sono particolarmente esposte e che vanno protette perché contengono informazioni sensibili.

Lo scorso dicembre molte aziende che si interfacciano con varie parti dello Stato hanno ricevuto una lettera che le invita a presentare entro sei mesi, quindi entro giugno, una mappa completa delle reti che supportano informazioni potenzialmente sensibili. Il Dipartimento di Sicurezza provvederà subito dopo a imporre un sistema di sicurezza che garantisca di blindare queste informazioni: Il mondo che abbiamo davanti è complesso, se lo vogliamo navigare dobbiamo fare cose complesse. Il perimetro di sicurezza nazionale cibernetico nasce per mettere in sicurezza le funzioni essenziali del Paese, quelle che se si dovessero bloccare porterebbero a dei problemi di sicurezza nazionale – spiega – A normare questo studio del rischio ci sono 4 dpcm e un dpr, è il lavoro di circa 200 persone tra tecnici ed esperti normativi. Su tutti i decreti c’è accordo intergovernativo, poi si passa ai pareri delle Camere, della Corte dei Conti e del Consiglio di Stato e alcuni di questi sono in dirittura d’arrivo – continua – per la sicurezza informatica sono determinanti le ispezioni alle misure di sicurezza, la misurazione e gestione in merito alla risposta degli incidenti, e infine entra in gioco il Centro valutazione certificazione nazionale in via di realizzazione al Mise – ha spiegato il professor Baldoni – questa è un’occasione per noi per costruire una base di competenze su cui giocheranno gli equilibri geopolitici.

Alcune delle società che sono state chiamate dal Dipartimento di sicurezza a mettere in atto una serie di azioni per proteggere le loro informazioni sensibili, sono società che entrano nel sistema di appalti del Paese, la lettera ricevuta potrebbe per molti aspetti essere poco chiara, sarà previsto un chiarimento? Non esiste ancora una versione pubblica del Dpr – risponde Baldoni – noi abbiamo cercato di tenere conto di tutte le problematiche relative agli appalti sia per i privati che dei soggetti pubblici, come per esempio la Consip, qualche problema comunque dovremmo essere in grado di gestirlo, stiamo cercando di costruire un sistema che funzioni e che porti valore al sistema pase. Cercheremo di risolvere i problemi, ci saranno ripercussioni immediate anche sul piano economico.

Dalle parole ai fatti, come si costruisce un impianto di cyber security corretto ed efficace? Il primo passo per mettere in atto un piano di sicurezza è un approccio “olistico” di una security convergente – spiega Fabio Mulazzani – le società devono incrementare le proprie competenze e conoscenze sulla cybersecurity, il metodo deve essere inteso come multidisciplinare e non concentrarsi solo sugli ambiti tecnici – continua l’esperto – sono molti i settori che devono essere considerati quando si parla di security convergente: in questo quadro di perimetro di cybersecurity nazionale, che rimanda a un piano europeo, ogni società deve fare la propria parte incrementando le proprie competenze. Una delle difficoltà maggiori che tutti noi abbiamo è quella di rendere più semplice e più efficiente la comunicazione: dobbiamo comunicare in modo chiaro e preciso, abolendo per quanto è possibile il tecnichese. La nostra organizzazione è come un castello che va difeso, e difendere il proprio castello vuol dire pensare alle fondamenta, mettendo in atto dei sistemi di reingegnerizzazione. Non si deve guardare solo alle reti, ma a tutto il piano aziendale – aggiunge ancora Fabio Mulazzani.

Sono molti gli aspetti di sicurezza che conosciamo poco e che dovremmo applicare alle imprese – ha sottolineato inoltre Gianluca Cattani – l’Italia è all’avanguardia sulla cyber security, e non dimentichiamo che su questo piano hanno un valore importante anche gli appalti, la cui normativa sulla sicurezza è di derivazione comunitaria. Inoltre – aggiunge ancora Cattani – le aziende devono già iniziare a predisporsi al cambiamento: in sei mesi andranno mappati i beni Ict, cioè reti o servizi informatici che interagiscono con le funzioni essenziali dello Stato.

Ma quali sono queste imprese che devono organizzare da capo la loro sicurezza cibernetica? A rispondere è sempre Cattani: Parliamo di imprese che servono l’Interno, la Difesa, l’Energia, le Telecomunicazioni, la Finanza: nel caso di attacco cibernetico è l’intero Paese a pagarne le spese e anche un solo attacco può essere molto pericoloso. Pensiamo al comparto della salute, alla fornitura e distribuzione di acqua potabile o energia: questi sono servizi essenziali ed oggi è tutto elettronico… magari la diga una volta si muoveva a manovella, adesso tutto funziona con un accesso informatico.

Il focus, infine, si è spostato sui costi, come ha spiegato l’ingegner Massimo Vegni: Il perimetro nazionale di sicurezza cibernetica è percepito con una certa ansia perché ci porta a regole nuove. Tutto nasce dal fatto che ci sono dei “cattivi” che hanno come obiettivo le nostre infrastrutture strategiche e le nostre aziende strategiche, sia per rubare i dati che per manipolarli. La mappatura delle reti sensibili non è un lavoro semplice e spesso noi ci confrontiamo con apparati dei quali non conosciamo i termini di sicurezza. Ma il rischio di sconvolgimenti cibernetici coinvolge altri aspetti: gli attacchi non derivano solo da privati, ma anche da Stati stranieri che hanno la possibilità di spiarci, che ottengono un beneficio dall’avere informazioni sensibili. Per queste sfide va coinvolto il top management, perché affrontarle vuol dire dover impiegare risorse consistenti, che deve capire come quell’investimento sia un’opportunità di mettere in sicurezza le nostre imprese, ha sottolineato ancora Vegni.

Non dimentichiamo poi gli aspetti procedurali penali e civili, per quanto riguarda sia i modelli 231 che il perimetro di sicurezza cibernetico, come bene ha spiegato l’avvocato Antonio Enrico Agovino: Con l’ideazione di questo nuovo perimetro di sicurezza cibernetica assumono nuova rilevanza i reati informatici che – come hanno ben notato gli addetti ai lavori – sono sempre stati visti come al gradino più basso tra i reati ricompresi nel d.lgs. 231/2001, oggetto tra l’altro di scarsa giurisprudenza.