La tecnologia informatica sta evolvendo molto rapidamente e questo porta notevoli benefici, ma spesso per poter trarre un reale vantaggio da tali benefici è necessario imporre dei limiti affinché si abbia la certezza che non ci siano effetti collaterali negativi sulle persone, sulle imprese e anche sulla società civile. Tali limiti si traducono in normative che sono applicate ad ampio spettro, dalla cybersecurity all’efficienza, dal controllo delle emissioni all’archiviazione dei dati. Oggi chi opera nel mondo dell’ICT deve essere a conoscenza delle normative che regolano il settore, che molto spesso sono il recepimento di normative europee. Vediamo quali sono quelle con cui più spesso ci si deve confrontare.
La sicurezza IT, il settore più normato
L’ambito che per antonomasia deve avere delle regole è quello della sicurezza. Oggi il problema della cybersecurity ha assunto una rilevanza tale che deve essere affrontato in modo strutturale, non basta più erigere una protezione basandosi su un software antivirus o un firewall.
Gli attacchi sono sempre più mirati e raffinati e gli obiettivi più strategici. Nel 2023 gli incidenti censiti dal Clusit sono aumentati dell’11% a livello globale rispetto al 2022 (ma quelli verso l’Italia hanno registrato addirittura un +65%). La tendenza globale del primo semestre 2024 mostra una ulteriore crescita, molto significativa, pari al 23% rispetto al semestre precedente. In media, si sono verificati nel mondo 9 attacchi importanti al giorno; in Italia il 7,6% degli incidenti. La sanità è il settore più colpito a livello globale. Nel nostro Paese il più bersagliato è il settore manifatturiero (19%), ma gli attacchi alla sanità sono cresciuti dell’83% rispetto al primo semestre 2023.
Nell’88% dei casi gli attacchi sono perpetrati da cybercriminali che hanno come obiettivo principale l’ottenimento di denaro. Questo spesso avviene chiedendo un riscatto per consentire di poter di nuovo accedere ai dati “sequestrati”, essenzialmente tramite malware/ransomware (34% dei casi) o phishing (8%), bloccando l’attività di un’azienda o di una struttura sanitaria. I danni che possono causare questi attacchi sono enormi.
NIS2, la cybersecurity secondo la UE
Per cercare di limitare questo problema a livello UE è stata istituita nel 2016 la direttiva NIS (Network information security), con la quale sono state definite sia precise pratiche per la cybersecurity sia anche chi le deve adottare, in particolare strutture che si occupano di servizi essenziali. Dallo scorso 17 ottobre è in vigore la NIS2, versione corretta e attualizzata della direttiva, attraverso la quale la UE intende fare sì che le aziende che costituiscono il tessuto socioeconomico siano più affidabili riguardo la sicurezza IT. In tal senso, NIS2 amplia da alcune centinaia a decine di migliaia il numero delle aziende che devono adottare misure di protezione basate su un approccio che includa politiche di analisi dei rischi, gestione degli incidenti, continuità operativa, sicurezza della supply chain e altre disposizioni. Inoltre, chiarisce le responsabilità del management aziendale e i tempi di notifica degli incidenti (le aziende devono segnale quelli significativi entro 24 ore). In più, obbliga il management all’attuazione e alla supervisione della conformità alla direttiva. La trasgressione può causare multe e, in casi gravi di non conformità, la sospensione temporanea dalle funzioni manageriali.
NIS2 ha un diretto impatto anche sugli operatori del mondo IT. Infatti, si estende alla sicurezza della supply chain, richiedendo alle aziende di valutare le vulnerabilità dei propri fornitori e di adottare misure correttive quando necessario.
Da sottolineare che lo ISO 27001, standard che guida alla messa in pratica delle best practice sulla sicurezza delle informazioni, può essere un valido framework per attuare quanto previsto dalla NIS2.
La legge italiana sulla cybersicurezza 90/24 (GU n. 153 del 2 luglio 2024) può essere considerata un adeguamento a quanto stabilito dalla NIS2 perché stabilisce precise “disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”.
Regolamento Macchine, la sicurezza arriva anche nel manufacturing
Come detto, il manufacturing è il settore più colpito dai cybercriminali. Questo perché sempre di più le macchine e le fabbriche sono connesse e ciò comporta un’esposizione agli attacchi spesso favorita da software che non sono adeguatamente protetti. Così l’evoluzione tecnologica in ambito OT sta imponendo ai produttori una rapida revisione del loro modello di gestione dei rischi. Proprio per questo, nell’ottica di un comune approccio alla cybersecurity all’interno dei Paesi membri dell’UE, è stato emanato il Regolamento 2023/1230 (più noto come Regolamento Macchine), in vigore da luglio 2023.
Come si legge nel rapporto Clusit, da tempo esistono standard consolidati per lo sviluppo di software strutturalmente solido, come ISO-5055 (che copre le aree relative alla sicurezza, all’efficienza, alla robustezza e alla manutenibilità), come peraltro esistono standard specifici per lo sviluppo di sistemi IoT, quali IEEE 2700-2017, IEEE P1451.99, IEEE P2020, IEEE P2520 e IEEE P2846. Tuttavia, sino a non molto tempo fa, l’aderenza a tali standard era lasciata all’iniziativa del singolo costruttore o del singolo system integrator. Il Regolamento Macchine tenta invece di rispondere all’esigenza di un riferimento comune per lo sviluppo di macchine e automazioni nelle quali le nuove tecnologie, come l’IoT, siano inserite rispettando determinati standard di qualità e sicurezza. Il software assume così un ruolo essenziale per la sicurezza delle macchine stesse. Questo comporta che, oltre al marchio CE, deve essere associata sia una dichiarazione di conformità UE nei confronti del Regolamento, sia istruzioni operative specifiche così da avere un’efficace gestione dei rischi potenziali cui potrebbero incorrere le macchine e le componenti IoT durante il funzionamento.
Regolamento DORA: la nuova resilienza digitale per la finanza
Per rafforzare la resilienza digitale nel settore finanziario, l’Unione Europea ha introdotto il 17 gennaio 2025 il Regolamento DORA (Digital operational resilience act). Parte del Regolamento UE 2022/2554, DORA mira a garantire la continuità operativa di istituzioni e fornitori ICT, armonizzando le normative sulla cybersecurity.
DORA impone un framework uniforme per affrontare cyberattacchi, guasti tecnologici e vulnerabilità informatiche. Si applica a banche, assicurazioni, prestatori di servizi di pagamento, infrastrutture di mercato e fornitori ICT critici. Le aziende devono adottare strategie di gestione del rischio, segnalare tempestivamente gli incidenti di sicurezza e sottoporsi a test di resilienza, inclusi test di penetrazione avanzati. Inoltre, devono garantire la supervisione dei fornitori di servizi tecnologici e condividere informazioni sulle minacce emergenti. La mancata conformità comporta sanzioni severe e restrizioni operative. DORA rappresenta un cambio di paradigma nella sicurezza digitale del settore finanziario, imponendo standard elevati e vigilanza costante.
GDPR: la norma europea per la protezione dei dati
Entrato in vigore il 25 maggio 2018, il Regolamento Generale sulla Protezione dei Dati (General data protection regulation – GDPR) è un caposaldo dell’archiviazione nell’Unione Europea e rappresenta una svolta fondamentale nella gestione della privacy e della sicurezza dei dati personali. Con un approccio basato sulla trasparenza, la responsabilizzazione e il controllo da parte degli utenti, la normativa impone rigorosi obblighi a tutte le organizzazioni che trattano dati di cittadini europei, indipendentemente dalla loro ubicazione geografica.
Uno dei principi chiave del GDPR è la tutela dei diritti degli individui, che possono richiedere accesso, modifica o cancellazione delle proprie informazioni personali. Le aziende sono tenute a raccogliere e trattare i dati solo per finalità esplicite e legittime, garantendo il rispetto del principio di minimizzazione e adottando misure di sicurezza adeguate e avendo l’obbligo di notificare eventuali violazioni entro 72 ore all’autorità di controllo competente. Inoltre, il regolamento introduce il concetto di portabilità dei dati, consentendo agli utenti di trasferire le proprie informazioni da un servizio all’altro senza impedimenti.
AI Act classifica l’intelligenza artificiale
Un discorso a sé va fatto per l’intelligenza artificiale, per la quale è stata definito l’AI Act. È una normativa europea che garantisce lo sviluppo e l’uso sicuro dell’AI, bilanciando innovazione e tutela dei diritti fondamentali. La crescente diffusione di sistemi di intelligenza artificiale in settori critici come sanità, finanza e sicurezza pubblica ha infatti reso necessaria l’introduzione di regole chiare per mitigare i rischi e assicurare la trasparenza nell’utilizzo di queste tecnologie.
Il regolamento classifica i sistemi di AI in base al livello di rischio, adottando un approccio basato sulla valutazione dell’impatto che queste tecnologie possono avere sugli individui e sulla società. Sono vietati i sistemi che presentano un livello di rischio inaccettabile per la sicurezza delle persone, come quelli utilizzati per definire una classificazione in base al comportamento sociale o alle caratteristiche personali. I sistemi considerati ad alto rischio, come quelli impiegati nella sorveglianza biometrica o nei processi di selezione automatizzata del personale, sono soggetti a requisiti stringenti in termini di trasparenza, governance e sicurezza. In particolare, il regolamento impone obblighi di conformità per garantire che l’AI sia sviluppata in modo etico, rispettando il principio di non discriminazione e l’affidabilità dei risultati. Meccanismi di sorveglianza, verifica e certificazione a livello europeo garantiscono che le applicazioni AI rispettino i requisiti normativi prima della loro immissione sul mercato. Le autorità nazionali e un organismo UE di supervisione hanno il compito di monitorare l’applicazione del regolamento e sanzionare eventuali violazioni.
È stato sviluppato anche un AI Act Compliance Checker per aiutare le PMI e le startup a comprendere meglio se potrebbero avere obblighi legali ai sensi dell’AI Act o se potrebbero implementare l’Act solo per far risultare più affidabile la propria attività. Questo strumento può aiutare ad avere un’indicazione sugli obblighi che un sistema può dover affrontare.
Sostenibilità: le regole per limitare l’impatto ambientale del digitale
La crescente digitalizzazione e l’ampio ricorso al cloud (amentato anche in virtù dell’uso dell’AI) ha portato a un rilevante incremento del consumo energetico, richiedendo alle aziende l’adozione di soluzioni più sostenibili e conformi alle normative ambientali. Ricordiamo che nell’ottobre 2020 la Commissione Europea ha annunciato un pacchetto legislativo per ridurre entro il 2030 le emissioni di gas serra almeno del 55% e per realizzare una UE neutrale dal punto di vista climatico entro il 2050.
Uno degli strumenti normativi più rilevanti è la direttiva europea sulla Rendicontazione di Sostenibilità Aziendale (Corporate sustainability reporting – CSRD), che obbliga le aziende a divulgare informazioni dettagliate sulle proprie strategie, politiche e azioni in ambito ESG (Environmental, social, governance), compresa la gestione dell’impatto digitale. Questa direttiva si integra con il regolamento sulla Tassonomia UE, che classifica le attività economiche sostenibili, volta a indurre le imprese IT a ridurre il proprio consumo di risorse e a implementare strategie di efficienza energetica.
Il settore IT è inoltre influenzato dal regolamento sulla progettazione ecocompatibile dei prodotti sostenibili (Ecodesign for sustainable products regulation – ESPR). Entrato in vigore nel luglio 2024, stabilisce requisiti di progettazione, al fine migliorare significativamente la sostenibilità di tutti i prodotti immessi sul mercato dell’UE, potenziandone la circolarità, le prestazioni energetiche, la riciclabilità e la durabilità. Dal canto suo, l’Energy efficiency directive (EED) impone standard di efficienza per data center e infrastrutture digitali, obbligando le aziende a monitorare e ridurre il proprio impatto ambientale.
Anche normative ISO forniscono riferimenti chiave per la gestione ambientale e la sostenibilità IT. La ISO 14001 definisce standard per la gestione ambientale aziendale, mentre la ISO 50001 si concentra sulla gestione dell’energia, aiutando le imprese a ottimizzare i consumi nelle infrastrutture digitali.
Il codice per informatizzare la Pa
Riguardo la digitalizzazione della Pa italiana, va ricordato il ruolo del Codice dell’Amministrazione Digitale (CAD): è infatti un testo unico che riunisce e organizzale norme riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese. Questo significa, in pratica, che definisce che tutti i documenti amministrativi devono nascere informatici e devono essere trattati dalle Pa in un sistema affidabile di gestione documentale. Istituito nel 2005, nel tempo ha subito una serie di modifiche, per essere sia adattato alle evoluzioni tecnologiche sia razionalizzato nei contenuti. Oggi, tra l’altro, garantisce maggiore certezza giuridica alla formazione, gestione e conservazione dei documenti informatici prevedendo che non solo quelli firmati digitalmente – o con altra firma elettronica qualificata – ma anche quelli firmati con firme elettroniche diverse possano, a certe condizioni, produrre gli stessi effetti giuridici e disporre della stessa efficacia probatoria senza prevedere l’intervento di un giudice caso per caso. L’obiettivo è attribuire a cittadini e imprese i diritti all’identità e al domicilio digitale, alla fruizione di servizi pubblici online e mobile oriented, a partecipare effettivamente al procedimento amministrativo per via elettronica e a effettuare pagamenti online.
I vantaggi della compliance per gli operatori IT
I vendor e i loro partner sono i primi a dover aderire agli standard normativi. Lo devono fare in quanto aziende che operano in un settore normato come quello dell’IT, ma anche quali fornitori. Infatti, il controllo della supply chain ha assunto un ruolo centrale nelle strategie delle imprese di ogni dimensione.
Tuttavia, questa necessità può rivelarsi anche un’opportunità strategica. Infatti, la possibilità di dimostrare la compliance offre alcuni importanti vantaggi.
- Maggiore competitività sul mercato le aziende conformi alle normative sono più affidabili agli occhi di clienti e investitori.
- Più facile espansione verso nuovi mercatila compliance con normative internazionali consente di operare a livello globale senza limitazioni.
- Riduzione dei costi legati alle sanzionievitare multe per il mancato rispetto delle normative è essenziale per una gestione economica sostenibile.
- Sicurezza dei dati rafforzata l’adozione di best practice per la protezione dei dati riduce il rischio di violazioni e attacchi informatici.