Author: Aleksandra Lombardo
Committee: Cybersecurity Strategic Committee
Date: 14/05/2025
INDICE
1. Il diritto fondamentale alla cybersicurezza: un riconoscimento che tarda ad arrivare; 2. La dissonanza tra il concetto di sicurezza e cybersicurezza; 3. Privacy e Cybersicurezza: due facce distinte della stessa medaglia; 4. Cybersicurezza: su cosa possiamo contare oggi?; 5. Cybersecurity e Procura Europea 6. Cybersecurity e CybeRights: prospettiva, deliverables e milestones.
1. Il diritto fondamentale alla cybersicurezza: un riconoscimento che tarda ad arrivare
Nel contesto attuale, non si può più parlare di sicurezza dell’individuo riconnettendola unicamente ad una sfera essenzialmente fisica. La crescente digitalizzazione delle attività quotidiane e la continua interconnessione tra individui, istituzioni e imprese rendono evidente come la protezione della dimensione digitale sia essenziale per garantire libertà, dignità e diritti fondamentali.
La Dichiarazione europea sui diritti e principi digitali[1] ha introdotto un quadro normativo che sancisce la necessità di un ambiente digitale sicuro, evidenziando il collegamento tra cybersicurezza e tutela dei diritti individuali. Tuttavia, mentre la privacy è ormai riconosciuta come un diritto inviolabile, la cybersicurezza non gode ancora di un riconoscimento fondamentale. Eppure, la protezione dell’identità digitale, dei dati personali e delle interazioni online è un elemento imprescindibile per garantire un’effettiva tutela dell’individuo nell’era digitale.
L’obiettivo di questo blog è esaminare il legame tra il quadro normativo europeo e la necessità di un riconoscimento esplicito della cybersicurezza come diritto fondamentale. A tal fine, si analizzerà distinzione tra i concetti di sicurezza e cyber-sicurezza, per poi approfondire il divario rispetto al già riconosciuto diritto fondamentale alla privacy e, infine, valutare gli strumenti attualmente disponibili per garantirne l’effettiva tutela. Approfondiremo le sfide normative e operative, le buone pratiche esistenti e le prospettive future di un tema che incide direttamente sulla tutela dei cittadini in un contesto sempre più digitalizzato.
2. La dissonanza tra il concetto di sicurezza e cybersicurezza:
Nell’analisi del processo che potrebbe portare al riconoscimento di un nuovo diritto fondamentale alla cybersicurezza, è necessario considerare il concetto già esistente di diritto alla sicurezza.
Una delle ipotesi più discusse per colmare la mancanza di una disciplina specifica in materia è l’integrazione della cybersicurezza all’interno del diritto fondamentale alla sicurezza.
Questo approccio estensivo consentirebbe di affrontare criticità rilevanti, come il riconoscimento internazionale, la creazione di infrastrutture adeguate e il bilanciamento tra sicurezza e libertà, sfruttando un modello giuridico già consolidato.
Tuttavia, questo orientamento incontra ostacoli significativi. La cybersicurezza e la sicurezza tradizionale richiedono regolamentazioni differenti, poiché tutelano ambiti distinti. L’interpretazione estensiva del concetto di sicurezza incontra limiti intrinseci che impediscono di includere automaticamente la dimensione digitale.
Il diritto alla sicurezza è sancito da diverse fonti normative internazionali. Partendo dall’articolo 6 della Carta dei diritti fondamentali dell’Unione Europea (Carta di Nizza, 2000) ,che riprende le garanzie offerte dall’articolo 5 della Convenzione Europea dei Diritti dell’Uomo (CEDU),si afferma che:
«Ogni individuo ha diritto alla libertà e alla sicurezza. Nessuno può essere privato della libertà, se non nei casi e nei modi previsti dalla legge[2]».
E allo stesso modo, l’articolo 3 della Dichiarazione Universale dei Diritti Umani stabilisce che:
«Ogni individuo ha diritto alla vita, alla libertà e alla sicurezza della propria persona[3]».
La sicurezza pur avendo, anche a livello storico, un riconoscimento come diritto naturale e inalienabile tuttavia non gode di una definizione univoca neanche a livello costituzionale. Le interpretazioni si dividono tra una dimensione soggettiva, intesa come: “lo stato psicologico dei membri della collettività, i quali si devono sentire protetti nella loro integrità personale e patrimoniale[4]” e una dimensione oggettiva, che la identifica come la condizione effettiva di tutela dei diritti fondamentali. In questo senso, la sicurezza non è solo una percezione individuale, ma rappresenta la possibilità concreta per le persone di esercitare le proprie libertà. Affinché la sicurezza sia effettiva, essa deve assumere una forma multidimensionale. Questo porta a chiedersi: perché non estendere il concetto di sicurezza anche alla cybersicurezza, ricomprendendo così la tutela dell’individuo nel cyberspazio?
L’elemento centrale di ostacolo nel riconoscimento della cybersicurezza come diritto autonomo è il legame tradizionale tra sicurezza e protezione fisica.
L’articolo 6 della Carta dei diritti fondamentali dell’UE, prima già citato, si concentra sulla sicurezza in termini di libertà personale, intesa come diritto a non essere detenuti o imprigionati senza giusta causa. Questo orientamento esclude una protezione efficace contro le minacce informatiche, rendendo difficile un’estensione diretta del concetto di sicurezza alla sfera digitale.
“L’articolo è infatti orientato alla protezione della libertà fisica della persona, ossia il diritto dell’individuo a non essere privato arbitrariamente della propria libertà personale, e quindi a non essere detenuto, imprigionato o soggetto a restrizioni fisiche senza una giustificazione legale adeguata[5].”
Questo approccio non tiene conto della realtà contemporanea: la sicurezza di un individuo non può più essere separata dal suo spazio digitale. Un attacco informatico, il furto d’identità digitale o un ransomware che blocca dispositivi essenziali per il lavoro possono generare danni paragonabili a quelli derivanti da una violazione della sicurezza fisica.
Pertanto, dovendo tenere in considerazione quanto emerge, sebbene l’integrazione della cybersicurezza nel diritto fondamentale alla sicurezza possa sembrare una soluzione praticabile, i limiti interpretativi e normativi impongono di esplorare vie alternative per garantire una tutela adeguata nell’era digitale.
3. Privacy e Cybersicurezza: due facce distinte della stessa medaglia.
Prima di ripercorrere la possibilità di costruire un nuovo concetto, o diritto, avente ad oggetto proprio la cybersicurezza, è importante evidenziare come mai questo non possa essere invece interconnesso alla disciplina del diritto alla privacy, già riconosciuto come fondamentale sia a livello europeo che nazionale.
Partendo dal diritto alla privacy, troviamo una prima tutela a livello costituzionale, all’art 15, in cui si enuncia «La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili[6]», dove quindi si intende la privacy sotto la concezione di riservatezza delle comunicazioni, estendendola sicuramente ai mezzi di comunicazione digitale.
Guardando sempre i fondamenti costituzionali non si possono escludere, per un’analisi piena della tutela di questo diritto, gli articoli 2 e 13 Cost. Nel primo, infatti, è previsto il riconoscimento e la garanzia dei diritti inviolabili della persona, inclusa la riservatezza[7], considerando la privacy come diritto inviolabile, poiché connesso alla dignità e libertà dell’individuo. Il secondo, invece, tutelando la libertà personale, include la protezione della sfera privata[8], considerando la sua violazione, così come la compromissione della riservatezza dei dati, una limitazione della libertà individuale stessa.
Spostandoci invece a livello europeo, troviamo come fondamento due articoli della Carta dei diritti fondamentali dell’Unione europea, agli articoli 7 rubricato “Rispetto della vita privata e della vita familiare” e 8 rubricato “Protezione dei dati di carattere personale”[9], ed il Regolamento Generale sulla Protezione dei Dati[10], dove si rafforza l’idea di privacy come protezione della vita privata e dei dati personali.
Ciò che emerge, in particolare nel contesto europeo, è una tutela che, sebbene estesa, si applica principalmente ai casi di violazione nel trattamento dei dati personali, nella comunicazione digitale e negli ambiti lavorativi, scolastici e sanitari. Ne deriva, dunque, una protezione che risulta insufficiente rispetto alla portata ben più ampia del diritto alla cybersicurezza.
Il diritto alla cybersicurezza, anche alla luce della definizione fornita dall’art 2, comma 1, del Cybersecurity Act[11], non si limita alla protezione delle reti e dei sistemi informativi, ma si estende anche alla salvaguardia delle persone esposte a minacce informatiche. Il suo obiettivo è garantire una “vita digitale sicura”, un principio che, tuttavia, non trova ancora riconoscimento tra i diritti fondamentali dell’UE, restando disciplinato esclusivamente da normative tecniche quali la NIS2[12] ed il Cybersecurity Act.
È quindi chiaro che un rapporto strumentale tra misure di cybersicurezza e diritto alla privacy sia funzionale, ma sicuramente non sufficiente per coprire i vuoti normativi esistenti che gravano sulle libertà degli individui. Questa analisi pone un’ulteriore spinta verso il riconoscimento ad un diritto autonomo e indipendente.
4. Cybersicurezza: su cosa possiamo contare oggi?
Tenendo a mente gli ostacoli per il riconoscimento di un tale diritto quali l’assenza di una giurisprudenza consolidata, la difficoltosa definizione del contenuto giuridico particolarmente tecnico e dinamico, la mancanza di un consenso internazionale, dobbiamo però tenere in considerazione le opportunità garantite dai mezzi a nostra disposizione oggi.
A livello normativo, l’Europa presenta la Direttiva NIS[13], abrogata dalla nuova Direttiva NIS2 [14], e il Cybersecurity Act[15]. Sebbene questi strumenti non attribuiscono un diritto soggettivo alla cybersicurezza, si concentrano sulla protezione delle reti e dei sistemi informativi, nonché sulla certificazione UE in materia. Il loro obiettivo primario, pur non risolvendosi nella tutela diretta delle persone fisiche e giuridiche, è volto a garantire la sicurezza del cyberspazio a livello europeo e indirettamente dei singoli cittadini.
Negli ultimi anni la cybersecurity è diventata più pervasiva anche in ambiti trasversali. Da questa considerazione nascono Regolamenti come il D.O.R.A. (in ambito finanziario), il Cyber Resilience Act (in sicurezza dei prodotti digitali) e altri ancora.
Un altro grande passo in avanti è stato fatto grazie alla strategia per il Decennio Digitale. In particolar modo rileva la Dichiarazione europea sui diritti e principi digitali [16], che si pone come papabile ispirazione nella definizione del contenuto effettivo di un nuovo diritto fondamentale alla cyberiscurezza. Infatti, tale dichiarazione, per quanto non sia vincolante per gli Stati membri o privati, rappresenta un documento a cui le Corti europee (in particolare la CGUE) possono far riferimento come fonte d’interpretazione costituzionale della Carta[17].
Ma quali sono i principi enunciati dalla Dichiarazione? Il capitolo 1 mostra la centralità dell’individuo nella trasformazione digitale, come uno spostamento di focus dalla cybersicurezza come obbligo degli operatori di adottare strumenti di sicurezza informatica ad una vera e propria garanzia per l’individuo.
Il punto b) in particolar modo preme sulla necessità di “adottare le misure necessarie per garantire che i valori dell’UE e i diritti degli individui, così come riconosciuti dal diritto dell’UE, siano rispettati sia online che offline.” Quindi l’esigenza di non dover subire un regresso nei diritti a causa della trasformazione digitale – perché se questa porta con sé un ampliamento dello spazio in cui l’individuo si muove, non si può continuare ad escludere un ampliamento anche delle garanzie verso questi spazi, riconoscendo quindi l’illiceità di determinate condotte oltre che off line anche online.
Questi strumenti legali rappresentano un solido punto di partenza, che potrebbe essere utilizzato per l’attuazione del diritto alla cybersicurezza, analogamente a quanto avvenuto sulla protezione dei dati e il successivo riconoscimento del diritto fondamentale alla protezione dei dati personali da parte della Corte di Giustizia dell’Unione europea.
5. Cybersecurity e Procura Europea.
La cybersecurity, come sopra delineato, deve diventare un asset fondamentale per l’intera Unione europea, al fine di evitare frammentazione di mercato e soprattutto per evitare una frammentazione dei diritti tutelati.
La cybersecurity e la Procura Europea sono dunque legati non solo per il loro ruolo nell’unire maggiormente gli Stati europei, ma proprio per tutelare qualunque cittadino europeo, allo stesso livello; soprattutto in un’epoca in cui i crimini finanziari che vedono come mezzo le nuove tecnologie prendono sempre più piede.
EPPO e la cybersecurity non possono fare altro che diventare l’uno imprescindibile per l’altro, al fine di evolvere assieme.
6. “Cybersecurity e CybeRights: prospettiva, deliverables e milestones”
Quanto detto in questo articolo è stato oggetto di discussione al Congresso tenutosi presso l’Università di Cagliari lo scorso 17 dicembre.
La Prof.ssa Benedetta Ubertazzi, responsabile del Centro d’Eccellenza Steppo, ha presenziato al Congresso portando l’attenzione proprio sulla tematica della necessità di un riconoscimento come diritto fondamentale dell’uomo del diritto alla cybersicurezza.
[1] https://digital-strategy.ec.europa.eu/it/library/european-declaration-digital-rights-and-principles
[2] Carta dei diritti fondamentali dell’Unione Europea (Carta di Nizza), 2000
[3] Dichiarazione Universale dei Diritti Umani, 1948
[4] G. Trombetta, Diritto alla sicurezza o sicurezza dei diritti? Brevi riflessioni
intorno a una recente proposta di legge costituzionale, in “Forum di Quaderni Costituzionali”, 9 novembre 2021, p. 160
[5] Fuster G., “Towards a Right to Cybersecurity in EU Law? The Challenges Ahead”, p. 3
[6] Italia. Costituzione della Repubblica Italiana. 1948. Art. 15.
[7] Italia. Costituzione della Repubblica Italiana. 1948. Art. 2.
[8] Italia. Costituzione della Repubblica Italiana. 1948. Art. 13.
[9] Unione Europea. Carta dei diritti fondamentali dell’Unione Europea. 2000. Art. 7-8.
[10] Unione Europea. Regolamento (UE) 2016/679, Regolamento generale sulla protezione dei dati (GDPR). 27 aprile 2016. Gazzetta ufficiale dell’Unione europea, L 119/1.
[11] Unione Europea. Regolamento (UE) 2019/881, Cybersecurity Act. 17 aprile 2019. Gazzetta ufficiale dell’Unione europea, L 151/15.
[12] Unione Europea. Direttiva (UE) 2022/2555, Direttiva NIS2. 14 dicembre 2022. Gazzetta ufficiale dell’Unione europea, L 333/80.
[13] Unione Europea. Direttiva (UE) 2016/1148, Direttiva NIS. 6 luglio 2016. Gazzetta ufficiale dell’Unione europea, L 194/1.
[14] Unione Europea. Direttiva (UE) 2022/2555, Direttiva NIS2. 14 dicembre 2022. Gazzetta ufficiale dell’Unione europea, L 333/80.
[15] Unione Europea. Regolamento (UE) 2019/881, Cybersecurity Act. 17 aprile 2019. Gazzetta ufficiale dell’Unione europea, L 151/15.
[16] Commissione Europea. Dichiarazione europea sui diritti e principi digitali per il decennio digitale. 2023. Bruxelles.
[17] Fuster G., “Towards a Right to Cybersecurity in EU Law? The Challenges Ahead”, p. 5