Nella battaglia contro i cyber criminali è fondamentale disporre di un quadro giuridico aggiornato ed efficace.
Ci si chiede cosa non abbia funzionato e quali falle nel sistema abbiano consentito un’azione criminosa posta in essere per circa sei anni e delle dimensioni rilevate: 18.327 username archiviati, 1.793 password violate, per 87 Gigabite di dati, allocati in due server collocati negli Stati Uniti, senza che nessuno se ne sia accorto. Il compito principale spetta ora alla magistratura. Il giurista deve tuttavia interrogarsi su quali strumenti utilizzare per contrastare efficacemente i cyber criminali, verificando in primis se le regole vigenti siano adeguate.
Ritengo si debbano fare due cose, fra tutte.
1. Innanzi tutto occorre riesaminare la questione dei poteri delle forze di polizia in ambito cyber. Mi riferisco alla possibilità di utilizzare i cosiddetti strumenti di captazione elettronica, consentita per ora solo dalla Corte di Cassazione, Sezioni Unite, con una decisione dell’aprile 2016, limitatamente ai reati associativi. I tempi sono maturi perché la questione sia nuovamente portata all’attenzione del legislatore, che dovrebbe in tal caso prevedere rigorose condizioni di ammissibilità e regole puntuali per la sua gestione, da affidarsi esclusivamente a soggetti pubblici qualificati.
Gli Stati Uniti al riguardo costituiscono un buon esempio. Infatti, a partire dal 1° dicembre 2016, in seguito all’entrata in vigore di una modifica al codice di procedura penale (Rule 41) l’FBI ha la possibilità, sulla base di un mandato rilasciato da un giudice, di “infettare” a scopo investigativo un computer, ovunque questo si trovi, per fronteggiare i casi più gravi di criminalità informatica, come nel caso delle reti di computer zombie diventati parte della rete botnet.
2. L’altra importante iniziativa che ritengo debba essere assunta fin d’ora è l’avvio della trasposizione della Direttiva NIS (Network Information Security), da completarsi entro il 9 novembre 2018. Si tratta di una procedura complessa, che prevede fra l’altro l’individuazione degli operatori di servizi essenziali, che insieme ai fornitori di servizi digitali sono i soggetti riguardati dalle sue previsioni. Consentirà inoltre di mettere a punto la governance nazionale in tema di cybersicurezza, individuando ruolo e responsabilità di organismi pubblici e privati (nei settori di trasporti, banche e sanità), i gruppi di intervento per la sicurezza informatica in caso di incidente (CSIRT), ma soprattutto la possibilità di creare una specifica cyber Authority (che potrà essere più di una), dotata di risorse adeguate e rilevanti poteri regolamentari (compresi quelli sanzionatori e di enforcement).
Maurizio Mensi
Professore SNA e Luiss Guido Carli
responsabile @LawLab Luiss
