Articolo pubblicato su altalex
Il Governo italiano, nel timore che gli operatori russi non siano in grado di fornire servizi e aggiornamenti ai propri prodotti o per scongiurare il rischio che attraverso di essi vi possa essere esfiltrazione di dati o potenziale veicolo di attacchi cibernetici, con l’articolo 29 del decreto 21 marzo 2022, n. 21 (“Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”) delinea alcuni rimedi da mettere in campo con urgenza contro i rischi derivanti dall’utilizzo di software russi.
L’articolo 29 del decreto-legge n. 21/2022
Il menzionato articolo, rubricato “rafforzamento disciplina cyber” al comma 3 fa espresso riferimento ai prodotti individuati tra quelli “volti ad assicurare le seguenti funzioni di sicurezza:
a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR);
b) «web application firewall» (WAF)”.
Con endpoint security si intende la sicurezza di tutti quei dispositivi che si collegano a una rete al fine di bloccare i tentativi di accesso e altre attività rischiose effettuati attraverso questi punti di ingresso, tra cui gli applicativi antivirus, antimalware e gli applicativi Edr. Questi ultimi hanno l’importante funzione di rilevare e mitigare le minacce informatiche, monitorando continuamente i dispositivi endpoint e analizzandone i dati.
I WAF, invece, hanno lo scopo di ridurre il rischio di compromissione di reti e sistemi mediante lo sfruttamento di vulnerabilità su applicazioni web, attraverso l’analisi automatica e l’eventuale filtraggio delle richieste web.
Tutte le menzionate categorie di prodotti devono essere indicate con circolare dell’Agenzia per la cybersicurezza nazionale.
Ebbene, rispetto ai menzionati prodotti e servizi, da cui dipende la sicurezza informatica nazionale, il comma 1, invita le Pubbliche Amministrazioni italiane “tempestivamente alla diversificazione dei prodotti in uso”.
Si tratta di un invito esplicito a censire i prodotti e servizi tecnologici da cui dipende la sicurezza informatica per sostituire quelli di provenienza russa.
Avranno maggiore agio quelle Pubbliche Amministrazioni che, in conformità ai principi del gdpr, avranno predisposto un elenco aggiornato degli asset informatici (hardware, software, mobile) in uso, attraverso il quale sarà più facile verificare la presenza di prodotti relativi alla sicurezza informatica di provenienza russa.
È fatto, quindi, obbligo di diversificare i prodotti acquistando altri prodotti o servizi per ciascuna delle categorie individuate con circolare dell’Agenzia per la cybersicurezza, allo scopo di superare la dipendenza dell’Italia (anche) dalle aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione russa.
A tal fine ed allo scopo di rimarcare l’urgenza del provvedere, il comma 2 del medesimo articolo statuisce che “le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all’acquisto di un ulteriore prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza, ovvero, laddove non sussistano o non siano comunque disponibili nell’ambito di tali strumenti, mediante la procedura negoziata senza previa pubblicazione del bando di cui all’articolo 63 del decreto legislativo 16 aprile 2016, n. 50, anche in deroga a quanto disposto dal comma 6, secondo periodo, del medesimo articolo 63”.
Stabilita, quindi la deroga alle ordinarie procedure d’acquisto, vi è un ulteriore meccanismo incentivante per le Pubbliche amministrazioni (alle quali è fatto obbligo di procedere con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente), ossia l’espressa previsione che dall’attuazione di quanto sopra, non derivano effetti che possano costituire presupposto per l’azione di responsabilità di cui all’articolo 1 della legge 14 gennaio 1994, n. 20.
Conclusioni
Non è difficile prevedere come la norma in commento possa avere un effetto dirompente sulla organizzazione delle Pubbliche amministrazioni italiane. Se da un lato, si potranno incontrare difficoltà nel censire (a patto di non averlo fatto prima) tutti i prodotti latu sensu legati alla sicurezza informatica in uso presso gli Uffici pubblici (comprese le sedi distaccate e i lavoratori in smart working), altre e maggiori saranno quelle legate alla sostituzione dei menzionati prodotti, con particolare riferimento alla business continuity.
Auspicando che i paventati pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche non si abbiano a verificare, è legittimo domandarsi quali potrebbero essere i risvolti di responsabilità per gli amministratori pubblici rimasti inerti, nell’eventualità che invece si verificassero delle esfiltrazioni di dati o attacchi cibernetici attraverso quei prodotti.