A supporto del processo di digitalizzazione globale, anche la normativa di rifermento e le iniziative a tutela della sicurezza informatica sono in continuo aggiornamento.
L’Unione Europea, con mirate strategie, direttive e regolamenti, pone particolare attenzione verso le politiche di contrasto alla criminalità informatica.
Di seguito le ultime normative sull’argomento:
Direttiva NIS2 - Network and Information Security (UE 2022/2555)
Tra gli aggiornamenti più rilevanti da citare vi è la Direttiva NIS2, pubblicata nel 2022 ed entrata in vigore il 16 gennaio 2023. La norma, che sostituirà la precedente Direttiva europea NIS 1148 emanata nel 2016, è finalizzata al raggiungimento di un alto livello di cybersicurezza negli Stati membri dell’Unione.
La Direttiva NIS2 introduce nuovi obblighi, imponendo specifici requisiti per la gestione dei rischi e la segnalazione di attacchi informatici.
Essa amplia il numero di soggetti interessati, distinti tra Soggetti Essenziali (ossia società che forniscono servizi essenziali) e Soggetti importanti (ossia società che rientrano negli obblighi della Direttiva, ma non forniscono un servizio essenziale) definiti con un duplice criterio, basato sulla dimensione delle imprese e il settore di appartenenza.
Sono stati individuati 10 settori di attività definiti ad “alta criticità” e altri 7 settori “critici”.
Nell’ambito dei settori individuati, rientrano, tra i soggetti obbligati, tutte le grandi e medie imprese, a cui si aggiungono anche le piccole e microimprese se operano in settori chiave e, indipendentemente dalle dimensioni, anche i fornitori di servizi di comunicazione elettronica e di reti di comunicazione elettronica.
Per la Pubblica Amministrazione i criteri saranno definiti in fase di recepimento degli Stati Membri.
La Direttiva NIS2 rafforza gli obblighi già presenti nella NIS1 fornendo un elenco minimo delle misure di sicurezza che devono essere implementate: in sintesi le aziende devono dimostrare di adottare politiche e strategie di sicurezza adeguate.
Gli obblighi a cui si devono attenere riguardano: l’adozione di misure per la valutazione e la gestione dei rischi di attacco cyber; l’impegno a garantire la sicurezza della propria catena di approvvigionamento (supply chain); l’attuazione di misure tecniche e organizzative di prevenzione; il mantenimento della continuità operativa dell’impresa (backup, ripristino e gestione della crisi); la formazione in materia di sicurezza; la comunicazione all’Autorità nazionale competente o ai Computer Security Incident Response Teams (CSIRT) entro 24 ore degli incidenti informatici significativi che generano un impatto sull’operatività dell’impresa, perdite finanziarie, materiali o immateriali.
Con la NIS2 sono state previste anche misure di vigilanza (ispezioni, audit, richiesta di informazioni) e sanzioni pecuniarie amministrative in caso di inadempienza degli obblighi previsti, la cui entità è stabilita sulla base di un importo minimo predefinito o di una percentuale sul fatturato annuo per l’esercizio precedente, con differenze tra soggetti “essenziali” e “importanti”.
In sintesi, gli obiettivi della norma mirano a garantire la continuità dei servizi digitali in caso di attacchi cyber, rafforzando i requisiti in materia di gestione dei rischi e migliorando la capacità di risposta.
Regolamento (UE 2023/2854)
Il Regolamento UE 2023/2854, conosciuto come Data Act (G.U. dell’Unione Europea 22 dicembre 2023), ha come oggetto l’armonizzazione delle norme in materia di accesso ai dati e al loro utilizzo e dovrebbe entrare in vigore da settembre 2025.
I punti salienti riguardano: i meccanismi che consentono agli Enti pubblici di accedere ai dati del settore privato in caso di emergenze pubbliche; le tutele avverso il trasferimento illegale di dati in contesti transfrontalieri; in circostanze eccezionali, la possibilità di condividere i dati personali, nel caso in cui vi siano richieste di accesso ai dati in un contesto di business to government; misure che permettono agli utenti di dispositivi connessi di accedere ai dati generati da tali dispositivi oltre che dai servizi che siano ad essi collegati; trasparenza ed interoperabilità dei servizi cloud.
Direttiva CER – Resilience of Critical Entities (UE 2022/2557)
La Direttiva CER prevede, entro luglio 2026, l’individuazione e la designazione delle infrastrutture critiche europee per garantire la fornitura dei servizi essenziali e aumentare la resilienza dei soggetti critici, ossia quei soggetti che operano per la fornitura dei servizi vitali per la società e l’economia.
Per individuare tali soggetti, gli Stati membri dovranno effettuare valutazioni periodiche dei rischi, al fine di aumentare la capacità di prevenzione e resistenza ad eventuali attacchi.
In sostanza, la norma definisce le misure da adottare affinché i soggetti individuati riescano a mantenere in funzione le loro attività garantendo la fornitura dei servizi essenziali.
Mentre nella precedente Direttiva Europea 2008/114/CE venivano individuati due soli settori, energia e trasporti, nella nuova viene incluso un numero molto più ampio per un totale di undici settori: bancario; acque potabili e reflue; alimentare; sanità; infrastrutture digitali e dei mercati finanziari; spazio (sono coinvolti solo alcuni Enti della P.A.).
La Direttiva, oltre a rendere obbligatoria l’individuazione dei soggetti critici al fine di rinforzarne la resilienza, mira anche a definire le procedure di cooperazione, nonché le sanzioni in caso di violazioni delle disposizioni normative.
Infine, impone di procedere in tempi brevi (entro 24 ore) alla notifica all’Autorità competente degli incidenti che possono inibire la fornitura dei servizi (Regolamento della Commissione Europea n. 2450/2023).
Direttiva PSD2 - Payment Services Directive (UE 2015/2366)
Il 13 gennaio 2018 è entrata in vigore nel nostro ordinamento la direttiva europea nota come PSD2, che disciplina i servizi di pagamento digitali effettuati con qualsiasi strumento: online, bancomat, App, ecc.
Essa stabilisce un insieme chiaro e completo di regole che si applica sia ai tradizionali Istituti finanziari, che ai provider di servizi di pagamento innovativi. Tali regole hanno l’obiettivo di fare in modo che questi player possano competere equamente, portando ad una maggiore efficienza e trasparenza dei servizi di pagamento, rafforzando così la fiducia dei consumatori verso il mercato.
Per evitare furti di dati bancari e frodi, nella direttiva è stata introdotta la Strong Customer Authentication (SCA), che garantisce una maggiore sicurezza per chi effettua pagamenti on-line attraverso la verifica dell’identità attraverso più fattori di autenticazione.
Dal 14 settembre 2019 la SCA è entrata in vigore in tutta Europa, pertanto diventa un requisito obbligatorio l’autenticazione mediante due elementi a scelta su tre di quelli proposti così come indicato nella norma: “un’autenticazione basata sull’uso di due o più elementi, classificati nelle categorie della conoscenza (qualcosa che solo l’utente conosce), del possesso (qualcosa che solo l’utente possiede) e dell’inerenza (qualcosa che caratterizza l’utente)”.
Ad esempio, due tra i seguenti elementi: la password per la conoscenza, lo smartphone per il possesso e l’impronta digitale per l’inerenza.
I pagamenti non conformi all’autenticazione cosiddetta “forte” dovranno essere rifiutati dall’istituto bancario di chi effettua l’operazione.
Il meccanismo di autenticazione è applicato anche al commercio elettronico, proprio al fine di contrastare le frodi on-line che ogni anno in Europa registrano danni superiori al miliardo di euro.
Infatti, le frodi di maggior valore sono quelle relative ai pagamenti online mediante carte di credito e, si calcola che ogni anno, nella sola Europa, superino il miliardo di euro.
Direttiva PSD3 - Payment Services Directive
E’ stato avviato l’iter legislativo per la PSD3 che si propone di migliorare e ampliare gli obiettivi delle direttive precedenti, PSD1 del 2007 e PSD2 del 2015 fornendo un quadro aggiornato per il settore dei pagamenti.
L’obiettivo è quello di sviluppare e mantenere un mercato unico dei servizi di pagamento nell’UE, al fine di garantire lo stesso livello di protezione dei consumatori in tutti gli Stati membri.
Tra le novità da evidenziare rispetto alla PSD2 si segnalano: l’ampliamento dei requisiti Strong Customer Authentication – SCA; la prevenzione delle frodi “spoofing”; miglioramenti nella gestione dell’open banking. Con la nuova Direttiva, si propone di ottimizzare l’applicazione delle regole e concedere all’Autorità Bancaria Europea nuovi poteri a difesa dei consumatori, nonché riunire in un unico pacchetto la normativa prevista per la moneta elettronica e i servizi di pagamento.
L’emanazione del decreto legislativo di recepimento in Italia è prevista nel 2026.
Sul sito del Consiglio dell’Unione Europea è possibile avere un quadro completo della cronistoria relativa alle politiche adottate e regolamentate dall’Unione in merito alla sicurezza informatica, dal 2016 ad oggi.