Mentre andiamo in stampa non sono ancora noti gli esiti o tantomeno i perimetri d’indagine del procedimento “Eyepiramid” sulla centrale di cyberspionaggio attiva a Roma, coinvolta nell’intercettazione sistematica di comunicazioni di personaggi politici e finanziari di alto bordo. Pur essendo chiari i probabili tornaconti del dossieraggio illegale e dell’uso di informazioni riservate nei cenacoli finanziari e politici nostrani, sarebbe piuttosto miope immaginare che una centrale “degna di un servizio segreto di stato” - come si legge nell’istruttoria - possa esser stata messa su e gestita per cinque anni da due privati per qualche scalata più rapida ai ranghi della Massoneria (bei tempi, viene da dire, quelli di Guenon, Evola e Garibaldi).

Anche perché l’ENAV, la BCE, la Segreteria di stato vaticana, gli Studi legali capitolini e - perché no - l’ambasciata italiana in Messico c’entrano piuttosto poco con biglie nere e bianche, a ben vedere.

È di poche settimane fa la notizia dell’hackeraggio di milioni di dati ed indirizzi email sul portale Yahoo e su siti di dating online. Il tutto a pochi mesi dal fenomeno mondiale dell’estorsione tramite malware Cryptolocker, capace di infettare milioni di pc in ogni parte del pianeta iniettando un dispositivo atto a congelare il sistema centrale salvo sbrinarlo tramite riscatto in valuta Bitcoin.

Per quanto le implicazioni penali dei casi appaiano sostanzialmente diverse, e per ogni giurista valga il brocardo romano “suum cuique tribuere”, la domanda che sorge è il perimetro regolamentare applicabile, ossia il sistema di norme posto a suggello degli obblighi regolamentari a carico degli operatori di reti di comunicazioni, stabilito in modo inequivoco che ogni attacco cibernetico non può che passare per le reti fisse e mobili di comunicazioni gestite, che costituiscono un servizio pubblico fornito in regime di autorizzazione.

La posizione degli operatori di rete in questi casi è, per così dire, ambivalente.

Da un lato sussistono chiari obblighi a loro carico di non discriminazione ed oggettività di condotta, direttamente confliggenti con un principio generale di sorveglianza sull’uso che si voglia fare delle loro reti. Secondo i canoni della net neutrality da ultimo rimarcata dalla FCC americana, i gestori non possono bloccare l’accesso a contenuti leciti, applicazioni o dispositivi non dannosi che circolano sulla Rete, secondo un principio generale di difetto di governance di Internet (no blocking, in USA emesso a seguito del caso 2015 Verizon). Tantomeno possono ridurre o digradare il traffico Internet per l’accesso a contenuti leciti, applicazioni o dispositivi non dannosi (no throttling), proprio nel rispetto della neutralità della Rete.

Il che pone a loro carico un chiaro argine (e quindi parallelamente un principio protettivo di responsabilità) sulle verifiche sul contenuto o allegati di un file trasmesso.

Sembrerebbe quindi implicitamente che, sempre parlando in termini generali (è ovvio, infatti, che il principio di responsabilità varia anche a seconda del tipo di rete gestita eventualmente sottoposta ad attacco: ad es. è probabile che le reti di accesso ENAV o BCE, ad esempio, siano gestite da operatori in regime di appalto speciale, con ciò che ne dovrebbe conseguire in termini di diligenza nell’adozione di sistemi di protezione da malware), un operatore di rete vada esente da responsabilità, nonostante i reati siano perfezionabili unicamente tramite le infrastrutture gestite.

Tuttavia secondo principi generali di diligenza, peraltro applicabili anche in casi analoghi (si pensi, ad es., alle autostrade, dove i difetti di progettazione o di manutenzione stradale comportano possibili correità dei gestori di tali infrastrutture in caso di incidenti tra vetture in transito) la regolamentazione di settore impone specifici obblighi di tenuta e gestione in sicurezza delle reti a carico degli operatori, proprio a tutela dei clienti serviti e dei loro dati.

Da tempo la regolamentazione e la giurisprudenza intervenute sul tema (in particolare – paradossalmente - la seconda, ma il tema ci porterebbe assai lontano) equipara Internet ad un servizio di telecomunicazioni al pari dell’offerta di servizi di rete fissa, mobile o larga banda. La Rete non costituisce più, in sintesi, un sistema informativo distinto dalle telecomunicazioni, ed ogni gestore di infrastruttura deve innanzitutto dotarsi di strumenti protettivi a tutela dei servizi prestati e dell’incolumità dei clienti, anche eventualmente per garantire de minimis la limitazione di ogni danno possibile.

Nel caso della centrale di cyberspionaggio di Roma, l’attività illecita investe due distinte fattispecie, costituite da: i) l’intercettazione illecita di comunicazioni informatiche in modalità sistematica tramite spyware e ii) violazione della privacy ed uso illecito di dati personali.

Nel primo caso si ricade nel reato di intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617 quater c.p.), perpetrato laddove si intercettino fraudolentemente comunicazioni relative ad un sistema informatico o telematico o intercorrenti tra più sistemi. Salvo che il fatto costituisca più grave reato, la stessa pena si applica laddove si riveli, mediante qualsiasi mezzo di informazione al pubblico, in tutto o in parte, il contenuto delle comunicazioni.

Nel secondo caso (privacy) le politiche di sicurezza obbligatorie per operatori di comunicazioni comportano anche il rispetto alle disposizione di cui alle direttive del “Pacchetto Telecom” recepite dall’Italia attraverso il D. Lgs. 259/03 e la Direttiva 2002/58/CE, relativa al trattamento dei dati personali e al trattamento della vita privata nel settore delle comunicazioni elettroniche, che riflette le esigenze di tutela dei dati personali, alla luce dell’evoluzione tecnologica delle reti di comunicazione elettronica. Ogni operatore di rete è tenuto in tal senso al rispetto delle disposizioni sulla sicurezza relative al trattamento dei dati personali sensibili e non, sia telefonici sia telematici, ad esempio indicando nel Documento Programmatico sulla Sicurezza (“DPS”) ex art. 34 e All. B al Decreto Legislativo 30 giugno 2003, n. 196 la situazione attuale in cui si trova sul piano protettivo la propria rete e relativi sistemi di protezione.

Oltre a costituire reati-presupposto ai sensi del D.Lgs. 231/2001, e quindi passibili di forme di responsabilità amministrativa degli operatori di rete in caso di perpetrazione di reati posti in essere nel proprio interesse da posizioni apicali aziendali, tali fattispecie possono quindi essere anche scongiurabili o circoscrivibili anche mediante adozione di modelli gestionali intelligenti di rete. Tra gli obblighi dinamici di “gestione sicura” delle reti operate posti a carico degli operatori possono annoverarsi le disposizioni ISO/IEC in vigore, partendo da 27002:2005 (Information technology – Security Techniques – Code of Practice for Information Security Management e ISO 27001:2005, recante “Information – Security Management System – ISMS)”, per la gestione della sicurezza in generale.

Tali misure riguardano anche la tutela dei dati personali degli utenti dei servizi di rete e di connettività erogati, e risultano in linea con le disposizione del Codice per la protezione dei dati personali e delle disposizione del Garante per la protezione dei dati personali indicate a carico degli operatori di comunicazioni.

Va infine considerato che tra gli obblighi di compliance nella predisposizione e messa in opera di politiche specifiche di protezione risultano anche quelli sul disaster recovery (tale è da intendersi un “blocco” del sistema effettuato, ad es., tramite malware Cryptolocker), come specificato nella Raccomandazione del Consiglio dell’OCSE del 25 luglio 2002 (“Linee Guida dell’OCSE sulla sicurezza dei sistemi e delle reti d’informazione:verso una cultura della sicurezza”). Tale Raccomandazione chiaramente individua i seguenti principi a carico delle imprese di rete: responsabilità diretta degli operatori per la sicurezza dei sistemi e delle reti; principio di valutazione dei rischi (attendibilità, verificabilità, ecc.); principio di concezione e applicazione della sicurezza quale elemento essenziale dei sistemi e delle reti d’informazione; gestione della sicurezza (anche dinamica con riguardo all’evoluzione del portafoglio servizi e configurazione di reti ed apparati serventi); principio della rivalutazione della sicurezza dei sistemi e delle reti d’informazione.

Detti principi sono rinvenibili anche nella Risoluzione delle Nazioni Unite A/RES/58/199 del 23.12.2003 (“Creation of a global culture of cyber-security and the protection of critical information infrastructures”) e nella Risoluzione del Consiglio UE del 2001 (“Resolution on Network and information security”), che sostanzialmente rinviano, quanto all’attuazione pratica, ai principi delle disposizioni ISO citate. La stessa Agenzia europea per la sicurezza informatica e delle reti (ENISA) ha identificato gli obblighi specifici nel documento generale Network Security Information Exchange, (“NSIE”, del settembre 2009), focalizzato sui temi della sicurezza e della resilienza. Il NSIE ha da tempo indicato i principi relativi alle misure adottabili in tema di protezione e limitazioni di vulnerabilità dai cyber attacchi, estendendo sin dal 29 aprile 2010 una serie di obblighi specifici a carico degli operatori di reti per determinati tipi di servizi offerti (in particolare nel cloud computing, real time detection and diagnostics, wireless networks, sensor networks e supply chain integrity).

Le parti offese potranno quindi riferirsi a tali norme obbligatorie.