Author: Maria Giulia Mariotti
Committee: Cybersecurity & Strategic Committee
Date: 06/06/2025
Il 10 aprile si è tenuta l’annuale conferenza finale del corso di eccellenza Steppo, con la presenza di prestigiose personalità che hanno portato il loro contributo per continuare il complesso lavoro di divulgazione che il corso si pone come obiettivo. Il Cybersecurity Strategic Committee ha presentato interventi da parte di 6 relatori, per sottolineare sempre di più la crescente importanza della cybersicurezza e della protezione dei dati personali nel mondo di oggi, ed in particolare il ruolo maggiore che dovrebbe assumere nell’ambito della Procura Europea.
– Avvocato Guido Scorza, Membro dell’Autorità Garante per la Protezione dei Dati Personali, Avvocato Cassazionista, Professore specializzato in diritto delle nuove tecnologie, privacy e proprietà intellettuale; Giornalista e divulgatore e socio fondatore di E-lex Law.
Il primo a prendere parola è stato l’avvocato Scorza che ha trattato la crescente responsabilità culturale che oggi si richiede nel convincere i cittadini dell’assenza di antagonismo fra privacy e sicurezza, poiché sono entrambi diritti fondamentali che essendo tali non devono entrare in conflitto tra loro, ma essere ambedue garantiti, ricordando il sistema di “bilanciamento” alla base della nostra Costituzione. Se il bilanciamento consente di comprimere un diritto nella misura minima necessaria per garantire l’esistenza o l’esercitabilità di un altro, allo stesso modo non si può chiedere ai cittadini di scegliere fra diritti fondamentali; di conseguenza, non si può scegliere fra privacy e sicurezza, poiché entrambe necessitano di essere garantite.
– Professor Marco Bacini, Chair del Comitato Cybersecurity & Strategic del Centro di Eccellenza Jean Monnet, Professore di Omnichannel Marketing presso l’Università LUM, Coordinatore del Comitato Tecnico Scientifico per la Trasformazione Digitale della Lombardia.
Il Professor Bacini nel suo intervento ha sottolineato l’impattante momento storico di trasformazione digitale della società che il mondo sta attualmente vivendo; questo cambiamento sta portando grandi innovazioni nei linguaggi e nelle modalità di comunicazione degli individui, e il driver principale di questa trasformazione è l’innovazione tecnologica, che ci sta trasportando verso una “società dell’informazione”, ossia una società post-industriale, in cui un bene immateriale, come l’informazione o il dato, oggi ha acquisito un valore superiore a quello di un prodotto materiale. La società è cambiata, e di conseguenza deve svilupparsi un nuovo approccio. L’intelligence ha la funzione di analizzare dati e metterli in correlazione in maniera strategica, cercando di costruire una analisi predittiva, in grado di dare supporto al decisore politico quando si parla di intelligence governativa, ed un supporto al decisore aziendale, poiché per compiere certe scelte è necessario avere adeguati dati e informazioni. Quindi fare intelligence significa occuparsi di geo-politica, strategia, economia, ma soprattutto della difesa degli asset strategici della nostra società. Il “ciclo di intelligence” è il metodo di funzionamento dell’intelligence stessa: ha inizio con una richiesta informativa, da parte del decisore, per poi giungere ad una raccolta di informazioni e dati, che vengono correlati, validati, e poi disseminati sotto forma di report, che sarà in grado di aiutare le scelte dei decisori. Questo approccio può essere applicato oggi anche in ambito cibernetico, con la differenza che in questo caso la ricerca informativa servirà per definire e anticipare le nuove minacce cibernetiche e tracciare il percorso delle medesime. Le minacce odierne sono però inedite rispetto al passato: sono minacce ibride, che vanno ad impattare anche le scelte della nostra società, e non solo quelle governative. Oggi fare cyberintelligence diventa una necessità e sicuramente EPPO dovrà implementare le sue ricerche con un approccio, che sia strategico e non più solo tradizionale. L’Agenzia per la Cybersicurezza Nazionale ha elaborato un piano Strategico che rileva come oggi non si può più parlare di sicurezza informatica, ma bisogna parlare di sicurezza del sistema paese; per far sì che ciò accada, è fondamentale che ci sia un supporto pubblico-privato, una maggiore diffusione culturale, una maggiore sicurezza del rischio e capacità di rispondere alle minacce cibernetiche e di prevenire il rischio. In conclusione, solo cambiando approccio potremo avere un’Italia resiliente; anche grazie all’attività di EPPO si potrà avere una sovranità europea vera e propria ed una Europa resiliente.
– Colonnello Marco Menegazzo, esperto in materia di diritto dell’Unione Europea e Colonnello della Guardia di Finanza
Il Colonnello Menegazzo ha ricordato le fonti principali in cui si trova disciplinata la protezione di dati personali: Il Regolamento istitutivo di EPPO, al Titolo XIII parla di protezione di dati personali; Su 120 articoli, 43 sono dedicati alla protezione dati personali. Il Considerando 91 del Regolamento EPPO (dichiarazioni esplicative delle motivazioni e finalità del Regolamento), afferma che “occorre garantire in tutto il territorio dell’UE un’applicazione coerente ed omogenea delle norme relative alla tutela delle libertà e dei diritti fondamentali delle persone fisiche, con riguardo al trattamento dei dati personali”. Proteggere i dati personali significa quindi tutelare i diritti e le libertà delle persone, anche nell’ambito delle investigazioni sotto la direzione della Procura europea. Nella cornice del Regolamento EPPO vengono riportati tutti quelli che sono i principi, tra cui la distinzione e definizione dei dati, i principi generali, come ad esempio, il principio di accountability e gli obblighi di informativa. La parte del Regolamento relativa alla sicurezza è di fondamentale importanza: all’articolo 73 del Regolamento EPPO, come all’art. 29, si parla di sicurezza – EPPO deve essere in grado di proteggere i dati, conservarli in maniera corretta. Inoltre, nel caso di violazione dei dati personali, è previsto che entro 72 ore, se tali dati perdono integrità o disponibilità, deve essere effettuata una comunicazione al Garante. Se vi è rischio che questi possano essere dispersi; in casi di particolare gravità , la comunicazione va effettuata anche nei confronti dei diretti interessati. Questa particolare attenzione è necessaria poiché data l’importanza dei dati personali, i trattamenti non conformi alla normativa possono cagionare limitazioni dei diritti e libertà dei cittadini. La Procura Europea sta rivestendo un ruolo sempre più di impatto, anche per le investigazioni da nei confronti di organizzazioni criminali particolarmente efferate, come la ‘Ndrangheta: in questi casi, può accadere che nomi e cognomi si ripetano. È quindi necessario riflettere cosa possa significare “non identificare” correttamente un soggetto: la conseguenza sarebbe infatti non trattare correttamente quei dati personali. Questo potrebbe voler dire impostare una attività investigativa nei confronti di un soggetto che non ha commesso il reato, mettendo conseguentemente a rischio non solo i diritti di quel soggetto, ma tutta la struttura dell’indagine stessa.
– Alessio Vergnano, vice chair del Comitato Cybersecurity & Strategic e studente dell’Università Milano-Bicocca
Dopo aver sottolineato come l’introduzione del Prof. Bacini e del Colonello Menegazzo siano state utili per evidenziare il fondamentale ruolo che ad oggi assumono i dati fondamentali e quindi la necessità di trattarli correttamente, il focus si è spostato sul ruolo che l’Europa ha assunto negli ultimi anni, un ruolo di “garante”. A partire dal 2016, è stata introdotta una disciplina molto articolata e specifica, in diversi settori, come quello della cybersicurezza dei sistemi, dei prodotti, e degli strumenti finanziari, riferendosi quindi alle Direttive NIS, alla regolamentazione delle piattaforme con il Digital Market Act o Digital Service Act, o per ultimo IA Act. Attualmente i competitors maggiori nel mercato sono le potenze straniere – Cina, USA – che sembrano prediligere il mercato rispetto ai diritti fondamentali; anche all’interno dei confini europei si possono individuare antagonisti che impediscono di raggiungere la massima capacità che in realtà il mercato europeo potrebbe esprimere. Queste figure operano abusivamente in maniera scorretta, usando illegittimamente fondi e finanziamenti unionali destinati a favorire la crescita o il sostentamento delle attività economiche. Tutto ciò si verifica anche nel settore tecnologico, che durante la pandemia ha avuto una grandissima rilevanza. L’Unione si è proposta come garante di una regolamentazione orientata al bilanciamento dei diritti fondamentali, ma anche ad una crescita del mercato. È quindi necessario adattare tale approccio alla attuale situazione mondiale. Le operazioni scorrette che si verificano nel mercato dell’Unione avvengono principalmente tramite il mancato versamento degli oneri fiscali dovuti. Tali pratiche spesso, e quasi sempre in forma transfrontaliera, sfruttano la struttura aperta del mercato europeo, che si basa su principi di libertà economica e libera circolazione delle merci. Le frodi fiscali sono i crimini principalmente contestati. Una delle più grandi indagini di EPPO è stata l’indagine “Moby Dick”, in cui si contestavano operazioni criminali ingenti, quali frodi fiscali per un danno di circa mezzo miliardo di euro. L’impatto di un tale danno economico si può notare ricordando che i fondi europei hanno un limite: di conseguenza, ad essere maggiormente svantaggiate saranno le imprese che svolgono attività lecite, poiché rischieranno di subire un calo di fondi e non potranno prosperare. Un altro esempio sono le indagini per richieste illecite di finanziamento per progetti di ricerca e sviluppo in ambito medico e informatico: in questi casi, i finanziamenti erano richiesti mediante la falsificazione di documenti aziendali e la manipolazione di procedure pubbliche. In conclusione, è stato ricordato come sia sempre più evidente che la presenza di un’autorità come la Procura europea in grado di svolgere indagini sull’intero territorio europeo (degli Stati che aderiscono), senza limiti di frontiera, collaborando comunque con autorità straniere extra-UE, in un mondo tecnologico, sia l’unica fondamentale soluzione. In assenza, il mercato europeo continuerebbe a scontare ritardo nello sviluppo e nel consolidamento; è quindi fondamentale un’efficace attività di EPPO, per ottenere un ambiente tecnologico equo per gli operatori economici, perseguendo invece coloro che traggono vantaggio da frodi IVA o dall’uso indebito di fondi europei. Da questa consapevolezza, si è pensato di creare in questo corso il Cybersecurity and Strategic Committee, con il fine di individuare i benefici di EPPO in un mercato come quello tecnologico, in vista di una evoluzione sempre maggiore.
– Giordana Ambrosino, vice-chair del Comitato Cybersecurity & Strategic e studentessa dell’Università Milano- Bicocca Data
Partendo dal contesto della transizione digitale che questo periodo storico sta testimoniando, è stato sottolineato come le reti digitali oramai sono parte delle vite quotidiane di noi cittadini, così come della democrazia; tali reti, tuttavia, sono in pericolo. Ad oggi, la linea di demarcazione tra sicurezza terrestre e sicurezza informatica è sempre più sottile, artificiale. Di conseguenza, dotare EPPO di strumenti e poteri in ambito cyber significa costruire un moltiplicatore di efficacia per la tutela stessa degli interessi dell’Unione. La “internal security” è oramai cyber sicurezza, perché il trattamento illegittimo dei dati non colpisce solo i numeri, ma mette a rischio anche la fiducia dei cittadini verso le istituzioni. Si può quindi scorgere un’opportunità, o forse una necessità, per l’Europa, di riconoscere un diritto fondamentale alla cybersicurezza – per proteggersi digitalmente. Questo mancato riconoscimento del diritto alla cybersicurezza rappresenta un problema non solo giuridico, ma anche di carattere culturale e sistematico, come affermato anche dall’Avvocato Scorza, perché il diritto alla sicurezza è riconosciuto all’articolo 6 della Carta di Nizza del 2000, che tuttavia non comprende esplicitamente una sicurezza digitale. Ad ogni modo, se questo aspetto non si considerasse ricompreso, nessun altro diritto legato alle infrastrutture digitali potrebbe essere effettivamente garantito. Parlando di diritto alla cybersicurezza, come diritto fondamentale, è necessario affrontare anche il suo corrispettivo naturale, ossia un dovere alla cybersicurezza, che non può ritenersi legato solo alle grandi società sul mercato, che hanno quindi i fondi necessari per proteggersi. Il legislatore europeo si è attivato con molteplici normative in materia; tuttavia, si tratta di grandi infrastrutture che hanno un ruolo critico, in quanto agiscono in settori strategici, come sanità, mobilità, pubbliche amministrazioni, ma ciò non è sufficiente poiché la cybersicurezza non può essere un mero obbligo normativo oppure un adempimento tecnico, ma deve essere un dovere collettivo. Gli attacchi informatici non colpiscono concretamente le grandi infrastrutture, ma manifestano il loro impatto a discapito dei fornitori di secondo e terzo livello; sono i piccoli soggetti coinvolti ad essere più vulnerabili, ed un singolo anello debole può compromettere tutto. La cybersicurezza deve quindi arrivare ad essere parte integrante del buon funzionamento di uno stato di diritto nella sua dimensione digitale.
La sicurezza del cyberspazio è poi un dovere che deve attenere anche ai singoli individui, e non solo alle autorità. Una ulteriore opportunità si prospetta nel colmare il cyber gap nelle competenze della Procura Europea, per consentire ad Eppo di avere un impatto ancora più importante.
– Professor Corrado Giustozzi, Cultore della materia per il Comitato Cybersecurity & Strategic, Ex membro del gruppo consultivo dell’Agenzia dell’Unione Europea per la sicurezza informatica (ENISA) (2010-20), membro del consiglio di amministrazione di Clusit (2015-24), socio fondatore e responsabile della strategia di Rexilience, giornalista e divulgatore.
Il Professor Giustozzi ha concluso i lavori volendo ricordare come l’Unione Europea ha redatto il 10 marzo 2013 una cyber strategy, un documento formale d’indirizzo che vincola gli Stati membri ed ha l’obiettivo di proteggere i diritti e le libertà dei cittadini europei nello spazio cibernetico comune. La Commissione propose questo documento insieme alla bozza di quella che sarebbe diventata la Direttiva NIS. Sulla Direttiva NIS gli Stati membri hanno discusso, per diverso tempo, mentre per la Cyber strategy è stato subito possibile giungere ad un accordo. L’Unione Europea ha tardato nello stilare questo documento, poiché negli USA un simile progetto era stato redatto già nel 2011, per proteggere gli interessi degli Stati Uniti d’America nel cyber space. I diritti e le libertà sono tra i valori fondanti dell’Unione; quindi la fiducia dei cittadini è la consapevolezza che i loro diritti non verranno calpestati finché si troveranno nello spazio europeo, fisico o cibernetico. I nostri diritti devono essere tutelati e noi dobbiamo avere fiducia nelle istituzioni. Questa deve essere la base della democrazia. Per questo motivo la sicurezza, come strumento di democrazia, di tutela delle nostre vite, fisiche e virtuali, è qualcosa per cui i giuristi e tecnici dovrebbero collaborare per creare nel modo più trasparente possibile un sistema sicuro di norme e tecnologie. Il cyberspace non è solo compito delle forze dell’ordine, ma riguarda tutti, e quando queste normative obbligano i cittadini ad aumentare la sicurezza, essi non devono rimanere inerti. Esattamente come nel caso della sicurezza fisica. Il Professor Giustozzi ha terminato il proprio intervento invitando ad accelerare l’integrazione europea su tutti i punti di vista, senza tralasciare nessun aspetto. Nel sistema giudiziario, ad esempio, l’ostacolo principale è la transnazionalità del cybercrime; i criminali si avvantaggiano dall’assenza di confini nel cyberspace, risultando facile trovarsi in una nazione, e commettere reati in altre, senza doversi spostare fisicamente. Questo complica il lavoro di chi deve investigare e reprimere i colpevoli. Eppo è un passo avanti fondamentale, ma non deve essere limitato ai soli reati finanziari. È necessario instaurare una procura europea del cybercrime: l’Italia in parte ha fatto ciò con la legge n. 90/2024 con cui ha ricondotto alcuni reati nell’ambito cybercrime alla Procura distrettuale e alla Procura nazionale anti-mafia, per avere un campo d’azione più ampio. Questo aspetto è ancora più rilevante in un ambito sovranazionale, per cui ciò che il Professor Giustozzi auspica è che la buona esperienza con EPPO porti a migliorare gli strumenti di cooperazione giudiziaria internazionale in ambito di cybercrime. Attualmente a nostra disposizione vi è solo la convenzione di Budapest, del 2001, sottoscritta dall’Italia nel 2008; è quindi il momento di evolversi, così come si evolve sempre la criminalità.