Pubblichiamo un post di Claudia Biancotti e Riccardo Cristadoro, Senior Economist e Senior Director del Dipartimento di Economia e Statistica della Banca d’Italia* –

A fronte dei fallimenti del mercato descritti nel post precedente è necessario disegnare politiche economiche correttive per elevare il livello di sicurezza informatica complessiva del sistema economico. Purtroppo in questo campo la ricerca è partita tardi e la raccolta di dati affidabili, essenziali per uno studio rigoroso del fenomeno, è ancora ai suoi albori.

Gli strumenti del diritto penale potrebbero sembrare la risposta più naturale di fronte ad atti di criminalità informatica e in molte giurisdizioni sono in effetti stati aggiornati. Tuttavia sono spesso di difficile applicazione dato che è complesso individuare i colpevoli di un attacco informatico e pressoché impossibile perseguirli nel caso non raro di aggressioni transfrontaliere.

La ricerca ha comunque già individuato alcuni aspetti del problema assai rilevanti: regole ottimali di responsabilità civile in caso di attacchi informatici, l’effetto di incentivi fiscali all’adozione di misure di sicurezza, i pro e i contro dell’estensione del diritto di legittima difesa al cyberspace.

Una scena del film “Catch me if you can”

Negli ultimi anni l’attività legislativa per innalzare la cybersecurity è stata intensa, sia nei paesi avanzati sia nei principali emergenti. Nel 2018 nell’Unione Europea entreranno in vigore tre importanti disposizioni: la Security of Network and Information Systems Directive (NIS-D), che stabilisce requisiti minimi di sicurezza per operatori di infrastrutture critiche e fornitori di servizi essenziali; la General Data Protection Regulation (GDPR) che, al fine di tutelare la privacy, impone l’adozione di elevati standard difensivi a chi tratta dati personali su supporto informatico; la nuova Payment Services Directive (PSD-2), che tra le altre cose obbliga i gestori di servizi di pagamento a rafforzarsi sotto il profilo cyber e a rimborsare i clienti che siano stati vittime di furti tramite attacco informatico, anche se è stato attaccato il terminale del cliente e non quello del gestore (1).

Queste misure, seppure necessarie, hanno ancora un ambito di applicazione limitato. I requisiti NIS-D e PSD2 si applicano solo a certi settori e soggetti, quelli GDPR solo ai sistemi informatici dove sono archiviate informazioni sensibili. Mancano norme generali che interessino il complesso dell’economia: un’impresa può essere danneggiata a causa delle vulnerabilità informatiche di soggetti terzi (clienti, fornitori, o anche altri con cui non è in rapporti commerciali) e in molte giurisdizioni, tra cui l’Italia, anche con le nuove direttive europee non avrebbe modo di rivalersi senza affrontare un iter giudiziale lungo e incerto.

Il disegno di policy di ampio respiro è, al momento, pregiudicato dalla carenza di dati statisticamente validi, prodotti sulla base di una metodologia documentata in modo trasparente e disponibili per la ricerca. La maggior parte delle cifre citate dai media in tema di frequenza e costo degli attacchi è prodotta da soggetti che vendono servizi difensivi. Anche se tali informazioni hanno comunque un valore, soprattutto quando segnalano nuove minacce, sono viziate da un conflitto d’interesse.

L’importanza della qualità dei dati è stata recentemente sottolineata dai ministri dell’economia e dai governatori delle banche centrali dei paesi G7 nel comunicato conclusivo della riunione di Bari del maggio scorso: “Riconosciamo che gli incidenti cyber rappresentano una minaccia crescente per le nostre economie e che sono necessarie risposte di policy appropriate, estese al complesso del sistema produttivo. [… Queste] politiche devono essere fondate su dati affidabili, imparziali, completi e largamente accessibili. Ci rivolgiamo quindi alle Organizzazioni Internazionali e alle istituzioni governative perché migliorino, in cooperazione con il settore privato, la condivisione di informazioni sulla cyber security. Le definizioni, le metodologie di raccolta e la condivisione di dati, laddove appropriato, dovrebbero essere coordinate e coerenti tra paesi e settori, in modo che i risultati siano comparabili”.

La rilevazione di dati sugli incidenti cyber pone alcune sfide metodologiche. Ad esempio, le imprese hanno forti incentivi reputazionali a non dichiarare gli attacchi subiti, quando non sono obbligate dalla legge a farlo. Inoltre, è molto importante misurare l’impatto degli incidenti più gravi, ma questi ultimi sono difficili da rilevare a meno che non si usino strumenti campionari pensati appositamente per gli eventi rari. [continua nel post successivo]

*Le opinioni espresse dagli autori nell’articolo sono personali e non impegnano in alcun modo l’istituzione di appartenenza

NOTA

1. Fanno eccezione i casi di dolo da parte del cliente e, in alcune circostanze, quelli di colpa grave.