Approvato con i voti della sola maggioranza e l'astensione delle opposizioni, e nato con lo scopo di "assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati", dopo il voto alla Camera che ne ha sancito l'ok definitivo, il cosiddetto decreto sulla cybersicurezza (DECRETO-LEGGE 21 settembre 2019, n. 105) è ormai effettivamente una legge.
Il provvedimento prevede nuove misure relative alla sicurezza informatica, istituisce il Perimetro nazionale sulla sicurezza cibernetica e amplia il potere di veto anche su "atti e operazioni" delle aziende che detengono asset strategici, ampliando il Golden Power del Governo anche al 5G. Ma oltre al 5G le norme introdotte con il nuovo decreto riguardano anche la borsa e hanno fatto nascere alcuni dubbi relativi a quella che si potrebbe definire una sorta di "penalizzazione" per le aziende extra-europee. L’applicazione sarà graduale e inizialmente faranno parte del computo le 100 realtà più strategiche.
Cos'è il Golden Power e perché il suo ampliamento potrebbe creare polemiche
Il cosiddetto Golden Power, è un potere speciale esercitabile dal Governo italiano per proteggere (e quindi blindare) una società che ha "rilevanza strategica per l'interesse nazionale". Potere speciale del quale chiunque abbia seguito la vicenda Tim-Vivendi avrà sicuramente già sentito parlare, e che lo Stato potrà applicare a tutte le società (quindi non solo quelle a partecipazione statale o ad altri enti pubblici) operanti nei settori strategici della difesa e sicurezza nazionale, nonché a tutte quelle che possiedono asset di rilevanza strategica nei settori dei trasporti, dell'energia e delle comunicazioni. Una protezione cioè, che potrebbe essere applicata alle reti e gli impianti necessari ad assicurare l'approvvigionamento minimo e l'operatività dei servizi pubblici essenziali, i beni e i rapporti di rilevanza strategica per l'interesse nazionale.
Nel dettaglio, con il decreto sulla cybersicurezza, l'ambito in cui le norme in tema di poteri speciali esercitabili dal Governo potranno essere esercitate viene esteso anche ai settori ad alta intensità tecnologica. Per entrare più nel dettaglio, viene ampliato il perimetro di beni che potranno essere inclusi nell'applicazione del Golden Power, nel caso in cui sussista un pericolo per la sicurezza e l'ordine pubblico. E fino all'entrata in vigore delle norme secondarie, che nasceranno con lo scopo di individuare singolarmente i settori rilevanti, saranno assoggettati a notifica al Governo gli acquisti, da parte di aziende esterne all'Unione Europea, di partecipazioni in società che detengono beni come le infrastrutture e le tecnologie critiche legate alla gestione dei dati e alla Cybersicurezza. Ed è una novità retroattiva: le autorizzazioni già rilasciate, inoltre, potranno essere riviste se non in linea con le disposizioni, oppure potranno essere richieste misure aggiuntive necessarie al fine di assicurare idonei livelli di sicurezza.
Ed è proprio questo il punto forse più controverso di questo decreto sulla cybersicurezza, perché, in soldoni, da oggi in poi il Governo avrà l'ultima parola sui contratti con aziende extra UE (come, ad esempio Huawei) e potrebbe accettarli, bloccarli, oppure imporre prescrizioni o condizione. Un potere che potrebbe far nascere una discriminazione tra operatori europei e non europei, e che sembra rispondere a logiche geopolitiche piuttosto che a necessità legate alla sicurezza dell'infrastruttura di comunicazione.
Ragionare al di là dei confini geografici è un fattore essenziale per la creazione e la gestione di un ecosistema digitale: dando un potere così grosso al Governo, qualora non fosse esercitato con una chiara cognizione di causa, di fatto potrebbe dare il via a squilibri che più che rendere le infrastrutture più sicure, potrebbero rallentarne l'evoluzione.
In soldoni, da oggi il Presidente del Consiglio Giuseppe Conte sarà come Vladimir Putin e in caso di "un rischio grave imminente per la sicurezza nazionale" avrà il potere di disattivare i modo totale o parziale apparati e prodotti "impiegati nelle reti, nei sistemi o per l’espletamento dei servizi interessati".
Il Golden Power "potenziato" influenzerà anche il 5G
Nel decreto sulla cybersicurezza appena approvato, si parla anche (e soprattutto) di 5G. Con la legge da poco in vigore, viene previsto anche il potere di limitare il raggio d'azione di specifiche aziende operanti nel settore delle nuove reti cellulari a banda ultra-larga, e anche il veto su atti o operazioni effettuate da società provenienti da fuori l'Unione Europea. Ed è chiaro, anche se nel testo non sono presenti diretti riferimenti specifici ad aziende come ZTE o Huawei, sono proprio questi i colossi tecnologici per i quali operare in territorio nazionale potrebbe diventare un'operazione (ancora) più complessa.
Aumenta l'importanza del Csirt
Con il nuovo decreto cambiano anche le procedure di segnalazione degli incidenti o dei problemi relativi alla sicurezza dei sistemi informatici ed informativi. In caso di incidente rientrante nel Perimetro di sicurezza nazionale e cibernetica, le Amministrazioni Pubbliche e gli operatori nazionali (pubblici o privati) hanno ora l'obbligo di notificare quanto accaduto al Csirt (acronimo di computer security incident response team), che avrà poi il compito di inoltrare le informazioni ricevute al Dipartimento delle informazioni della sicurezza (il cosiddetto Dis) che si occuperà di coordinare e controllare i processi di monitoraggio e gestione di eventuali attacchi informatici o falle di sicurezza nelle infrastrutture nazionali.
Cambiano gli standard di sicurezza, ma non si parla di PMI
Novità anche per quanto riguarda le misure di sicurezza che dovranno adottare, nel Perimetro di sicurezza nazionale cibernetica, le Amministrazioni Pubbliche e gli operatori nazionali, che dovranno tener conto degli standard definiti dall'Unione Europea e a livello internazionale, ed assicurare elevati livelli di sicurezza e prevenzione per la salvaguardia delle reti, dei sistemi informativi e dei sistemi informatici.
Resta ancora un grande punto interrogativo per quanto riguarda le certificazioni dei beni e dei servizi che le piccole e medie imprese saranno costrette ad ottenere per rientrare nel nuovo Perimetro di sicurezza definito dal decreto, ed anche se nell'aria c'è l'ipotesi dell'arrivo di alcune agevolazioni fiscali, al momento non è stato stipulato nessun accordo.
È stato ridefinito il concetto di "soggetto esterno all'UE"
E collegandosi direttamente all'ampliamento del Golden Power, con le ultime modifiche apportate al testo poi approvato alla Camera, viene chiarito e ridefinito il concetto di "soggetto esterno all'unione europea". Un concetto chiaro nella versione precedente del decreto e che si può riassumere in tre punti fondamentali:
- Qualsiasi persona giuridica che abbia stabilito la sede legale o dell’amministrazione o il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, e che risulti controllata, direttamente o indirettamente, da una persona fisica o da una persona giuridica esterna all'Unione Europea.
- Qualsiasi persona fisica o persona giuridica che non abbia la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo o che non sia comunque ivi stabilita.
- Qualsiasi persona fisica o persona giuridica che abbia stabilito la residenza, la dimora abituale, la sede legale o dell’amministrazione ovvero il centro di attività principale in uno Stato membro dell’Unione europea o dello Spazio economico europeo, o che sia comunque ivi stabilita, qualora sussistano elementi che indichino un comportamento elusivo rispetto all’applicazione della disciplina di cui al presente decreto.
