Ci sentiamo veramente al sicuro?
A prima vista sembrerebbe di sì: tutti usiamo quotidianamente la tecnologia senza remore (o almeno la maggior parte di noi), i social e le app, come dire che, ormai, molte delle nostre attività si svolgono in uno spazio cibernetico. Ci semplifichiamo la vita, liberandoci il prezioso e insostituibile tempo che non basta mai. Al pari dello spazio fisico, il cyberspace, è vulnerabile, esposto ad attacchi malevoli e la percezione della sua sicurezza è un fattore di utilizzo imprescindibile. Ce ne accorgiamo non appena riceviamo un messaggio strano sulle nostre password, o sospettiamo l’uso dei dati personali del nostro profilo. Una brutta sensazione che si muove tra la fiducia che scricchiola e l’essere stati “violati”.
Un tempo i settori più esposti ad attacchi informatici erano la difesa e le telecomunicazioni, perché più informatizzati; la massiva estensione della digitalizzazione ha ampliato il raggio d’azione e, senza dubbio, il settore finanziario rimane un ghiotto bersaglio per chi vuole trarre profitto o minare la fiducia a livello sistemico.
Anche se non sembra, l’attività legislativa della Commissione Europea in questo ambito è ampia e prioritaria. Dopo il recepimento della direttiva UE NIS 2016/1148 sulla sicurezza delle reti e dei sistemi informativi, (asse portante per l’organizzazione nazionale di misure di protezione a carico dei maggiori operatori di servizi essenziali per l’economia e di servizi digitali), altri obblighi potrebbero derivare dall’approvazione del Cybersecurity Act, presentato nel 2017, che attribuisce all’Unione Europea il potere di certificare la sicurezza dei dispositivi e dei relativi software. Obiettivo: rafforzare la resilienza dell’Unione agli attacchi informatici.
L’approvazione del Cybersecurity Act avrebbe due conseguenze rilevanti: l’introduzione di una certificazione unica europea della sicurezza cibernetica di hardware e software e il rafforzamento del ruolo dell’Agenzia europea per la sicurezza delle reti e dell’informazione (European Network and Information Security Agency, ENISA), che diventerebbe responsabile delle certificazioni.
Il ruolo ricoperto dall’ENISA ad oggi è quello di supportare in termini tecnici gli Stati membri e le istituzioni europee nella funzione relativa alle politiche di sicurezza informatica, lasciando, in ogni caso, la gestione operativa degli incidenti informatici di competenza esclusiva degli Stati membri. Consulenza tecnica, insomma, che si trasformerebbe anche in incidenza operativa.
Nel merito, il Cybersecurity Act introduce un quadro di regole per l’istituzione di schemi europei per la certificazione dei prodotti e servizi digitali ICT, predisposti dall’ENISA e poi adottati dalla Commissione. La novità è che tale certificazione sarà riconosciuta e valida in tutti i Paesi dell’UE. Va precisato che l’utilizzo della certificazione e, quindi, la richiesta è di tipo volontario, ma a, mio parere, se tale proposta diventa Regolamento creerà uno spartiacque a favore di chi se ne avvale, richiedendola, e chi no. L’esistenza di una certificazione è sempre un elemento distintivo e avvicina gli utenti, in termini di fiducia.
Entro l’anno il Cybersecurity Act dovrebbe diventare realtà. Vedremo se la certificazione rimarrà volontaria o diventerà obbligatoria, dato che va nella direzione di inserire la sicurezza informatica già nella fase di progettazione dei prodotti ICT.
Il Mercato Unico digitale della sicurezza informatica avanza.
Maria Luisa Visione