Il contesto in cui si inserisce – dal punto di vista istituzionale – l’approvazione del nuovo decreto in materia di sicurezza cibernetica (che abroga il previgente DPCM 24 gennaio 2013) rende manifesta, in termini teleologici, prima ancora che organizzativi e normativi, la valenza strategica per la sicurezza nazionale di un sistema coordinato efficace e affidabile in grado di fronteggiare, con estrema competenza e immediatezza, emergenze sinora ritenute, nell’accezione comune, inusuali, se non marginali dal punto di vista operativo.

Il provvedimento, sulla scia degli obiettivi delineati dalla Direttiva cd. NIS (2016/1418 del Parlamento Europeo e del Consiglio del 6.7.2016) – il cui recepimento, al di là del termine del 9.5.2018 fissato all’art. 25, appare auspicabilmente improcastinabile alla luce della rapida e prevedibile evoluzione di eventi in grado di porre intrinsecamente in crisi gli ordinari assetti nazionali e interstatuali – segna il passo verso una nuova frontiera dal punto di vista metodologico e degli assetti organizzativi: il rafforzamento, nell’ambito operativo del programma nazionale di cyber security, del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) e del Nucleo di Sicurezza Cibernetica (NSC) – ricondotto nell’alveo del Dipartimento per le Informazioni per la Sicurezza (DIS) – rappresenta una risposta a una esigenza che supera definitivamente la rilevanza di natura meramente tecnica della funzionalità (e, per converso, vulnerabilità) delle reti, evidenziando il carattere strategico per la sicurezza nazionale dei sistemi sia pubblici sia privati, i quali andranno sottratti a qualsivoglia potenziale crisi indotta da attacchi esterni (profili sinora sottovalutati anche dall’opinione pubblica, la cui sensibilizzazione costituisce il primo step da affrontare nel quotidiano).

Il Decreto, nell’attribuire al direttore generale del DIS il compito di definire linee di azione che dovranno portare ad assicurare i necessari livelli di sicurezza dei sistemi e delle reti di interesse strategico (onde eliminare le vulnerabilità anche con il “coinvolgimento del mondo accademico e della ricerca, con la possibilità di avvalersi di risorse di eccellenza, così come una diffusa collaborazione con le imprese di settore“), dà sostanzialmente atto della natura degli interessi sottesi che, in quanto tali, protranno soggiacere evidentemente (e comprensibilmente), laddove si rendesse necessario a un regime giuridico rafforzato (anche sul piano della natura «classificata»), posto che (come ribadito dalla Corte Costituzionale, cfr. da ultimo sent. 40/2012) la classificazione della natura delle informazioni affonda la sua base di legittimazione nell’esigenza di salvaguardare supremi interessi riferibili allo Stato-comunità, ponendosi quale «strumento necessario per raggiungere il fine della sicurezza», esterna e interna, «dello Stato e per garantirne l’esistenza, l’integrità, nonché l’assetto democratico»: valori che trovano espressione in un complesso di norme costituzionali, e particolarmente in quelle degli artt. 1, 5 e 52 Cost. (sentenza n. 110 del 1998; in prospettiva analoga, sentenze n. 106 del 2009, n. 86 del 1977 e n. 82 del 1976).

Ormai lasciato alle spalle il web 2.0 e il 3.0, il web 4.0 (il vero spartiacque, in termini cibernetici, rispetto ai primi, verso una totale interoperabilità di tutti i sistemi di trasmissione delle informazioni) e, ancor di più, la rapida evoluzione verso web 5.0 (in cui l’interazione si estende anche alla sensorialità e, dunque, alla partecipazione emotiva del soggetto – così
Ajit Kambil, (2008) “What is your Web 5.0 strategy?”, Journal of Business Strategy, Vol. 29 Iss: 6, pp.56 – 58: «Web 5.0 a sensory emotive space where we are able to move the web from an emotionally flat environment to a space of rich interactions»), rappresentano delle frontiere che impongono scelte giuridiche, operative e strategiche di maggiore impatto, a tutela della persona nelle sue multiformi espressioni – e dunque nei sistemi ordinamentali frontalieri e transfrontalieri in cui si estrinsecano le relative attività.

Ha senso, pertanto, ed è inevitabile transitare verso un nuovo assetto organizzativo della tutela, purché, tuttavia, si accresca sia il livello complessivo di consapevolezza, sia il grado di coinvolgimento – cd. information sharing –  a ogni livello, di tutti i soggetti, pubblici e privati, siano essi, ai sensi della Dir. UE 2016/1418, fornitori di servizi essenziali o fruitori di servizi digitali (in quanto tali chiamati ad incrementare le risorse investite nella sicurezza cibernetica, nonché ad individuare e formare figure intermedie preposte alla tutela della sicurezza, cd. consulenti per la sicurezza cibernetica). La criticità del sistema appare infatti evidente, nel suo apparato, nell’ultimo anello della catena, che va rafforzato e reso per l’appunto resiliente, secondo quel grado individuato già a livello comunitario dalla Direttiva NIS: l’ obiettivo è quello di assicurare la business continuity e la loro compliance con gli standard e i protocolli di sicurezza adottati a livello internazionale.

L’art. 346 del Trattato sul Funzionamento dell’Unione europea dispone che nessuno Stato membro è tenuto  a fornire informazioni la cui divulgazione sia dallo stesso considerata contraria agli interessi essenziali della propria sicurezza; ne discende che la Direttiva 2016/1418 lascia impregiudicata l’autonomia di adottare le misure necessarie per  assicurare la tutela  degli interessi essenziali della sua sicurezza, salvaguardare l’ordine pubblico e la pubblica sicurezza e consentire la ricerca, l’individuazione e il perseguimento dei reati. Tuttavia, non può sottacersi la indifferibilità di misure ulteriori e rafforzate, volte a garantire gli obiettivi prefissi in sede comunitaria, che, si auspica, verranno compiutamente affrontati con l’integrale recepimento della Direttiva (che non può tardare).

La pervasività dell’interconnessione della rete telematica passa attraverso un ulteriore consolidamento dell’“affidabilità e sicurezza” (locuzioni utilizzate dal legislatore europeo) del sistema.

Come evidenziato nel preambolo della Direttiva NIS, la portata, la frequenza e l’impatto degli incidenti a carico della sicurezza si incrementano per  numero e qualità, sino a rappresentare non già solo una grave minacciga per il funzionamento delle reti e dei sistemi informativi, ma un concreto nocumento per l’«armonioso funzionamento del mercato» unico. Tenendo conto della dimensione transnazionale le gravi perturbazioni di tali sistemi, intenzionali o meno, e indipendentemente dal luogo in cui si verificano, possono ripercuotersi sui singoli Stati membri e avere conseguenze in tutta  l’Unione.

Occorrono ancora azioni volte ad attuare le finalità di quel gruppo di cooperazione che sia concretamente efficace e inclusivo, che, superando la fase meramente programmatica e organizzativa, passi attraverso azioni positive che, da un lato realizzino l’obiettivo finale per cui tutti  gli Stati membri possano disporre realmente di un livello minimo di capacità (dotandosi di una strategia volta a garantire un livello elevato di sicurezza delle reti e dei sistemi informativi sul loro territorio) e, dall’altro, fissare normativamente, per gli operatori di servizi essenziali e ai fornitori di servizi digitali, ineludibili obblighi in materia di sicurezza e notifica volta a promuovere una cultura della gestione dei rischi e a garantire la segnalazione degli incidenti più gravi.

La cibersicurezza, in definitiva, oggi rappresenta dunque un orizzonte dinamico cui tendere le vele con nuove misure efficaci e improcastinabili, superando la frontiera della tautologia e delle astratte affermazioni di principio prive di approfondimento operativo, avendo chiaro l’obiettivo che essa rappresenta un nucleo essenziale per la tutela dei diritti in un ambito significativamente caratterizzato da obiettivi strategici per la sicurezza nazionale e la competitività del paese nel contesto nazionale e transfrontaliero.