UE, cybercrime e 5G

1. L’approccio UE all’azione di contrasto al cybercrime


Le politiche di contrasto alle attività illecite e dolose basate sull’uso di sistemi informatici (comprese le iniziative in materia di disinformazione: vedi infra) sono state trattate nei più recenti Consigli europei, in occasione dei quali i leader dell’UE hanno, tra l’altro, chiesto la conclusione dei procedimenti legislativi dei principali strumenti normativi proposti dalla Commissione europea, e dato impulso a nuove iniziative nel campo della cibersicurezza (per approfondimenti si vedano i temi web su: Consiglio europeo 28-29 giugno 2018, Consiglio europeo 17-18 ottobre 2018; Consiglio europeo 13-14 dicembre 2018; Consiglio europeo 20-21 giugno 2019).


2. Le minacce alle reti e ai sistemi informatici


La prima categoria di illeciti è considerata di particolare rilievo, attesa l’importanza delle reti e dei sistemi informatici rispetto al funzionamento delle infrastrutture critiche (tra tutte, il sistema dei trasporti, le strutture ospedaliere, quelle energetiche), la cui sicurezza attiene peraltro al normale svolgimento della vita democratica di un Paese. L’intervento dell’UE al riguardo si è sviluppato su diversi piani, inclusa la politica estera, di sicurezza e di difesa europea, stante la natura di vera e propria minaccia ibrida di alcune tipologie di attacchi informatici. [1]


In particolare, con la Direttiva (UE) n. 2016/1148, sulla sicurezza delle reti e dell’informazione (direttiva NIS) (recepita in Italia con il decreto legislativo 18 maggio 2018, n. 65), l’Unione europea ha posto le basi per un miglioramento della cooperazione operativa tra Stati membri in caso di incidenti di cibersicurezza e della condivisione delle informazioni sui rischi (cfr. supra).


La direttiva definisce obblighi di sicurezza per gli operatori di servizi essenziali (in settori critici come l’energia, i trasporti, l’assistenza sanitaria e la finanza) e i fornitori di servizi digitali (mercati online, motori di ricerca e servizi di cloud); inoltre, ogni Paese dell’UE è tenuto a designare una o più autorità nazionali con il compito, tra l’altro, di monitorare l’applicazione della direttiva, nonché a elaborare una strategia per affrontare le minacce informatiche.


L’UE ha recentemente consolidato tale quadro mediante l’adozione del regolamento sulla cibersicurezza (cosiddetto cybersecurity act) [2], recante una serie di disposizioni per:


· il rafforzamento dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) che si intende trasformare nell’Agenzia UE per la cibersicurezza;


· l’introduzione di sistemi europei di certificazione della cibersicurezza dei prodotti e dei servizi TIC nell’Unione (che consisterebbero in una serie di norme, requisiti tecnici e procedure).


Nello stesso ambito, inoltre, il 17 aprile 2019, il Parlamento europeo ha adottato la propria posizione in prima lettura circa la proposta di regolamento istitutiva di un centro europeo di ricerca e di competenza sulla cibersicurezza, affiancato da una rete di centri analoghi a livello di Stati membri.


Tra gli obiettivi chiave della proposta, il miglioramento del coordinamento dei finanziamenti disponibili per la cooperazione, la ricerca e l’innovazione in tale ambito. La proposta è in attesa dell’adozione da parte del Consiglio dell’UE. Disposizioni volte alla sicurezza delle reti sono altresì contenute nel Codice delle comunicazioni elettroniche. [3]


3. Cibersicurezza e 5G


Il 5G viene considerato cruciale per una connettività di alta qualità nell’intero territorio dell’Unione, ai fini del completamento del mercato unico digitale e a sostegno dell’innovazione in tutti settori.


In particolare, si ricorda che la citata Direttiva (UE) n. 2018/1972, che istituisce il Codice delle comunicazioni elettroniche, prevede che entro il 2020 tutti gli Stati membri dell’UE assegnino le frequenze necessarie per l’introduzione della rete 5G.


A tal proposito si ricordano:


· la risoluzione non legislativa (2019/2575 (RSP), adottata dal Parlamento europeo il 12 marzo 2019, sulle "minacce per la sicurezza connesse all’aumento della presenza tecnologica cinese nell’Unione e sulla possibile azione a livello di Unione per ridurre tali minacce". Nell’atto di indirizzo si esprime forte preoccupazione in relazione alla possibilità che le infrastrutture cinesi per le reti 5G possano avere incorporate delle ‘backdoors’ in grado di consentire a fornitori ed autorità cinesi un accesso non autorizzato ai dati personali e alle telecomunicazioni nell’UE. La legislazione cinese contempla una definizione estesa della sicurezza nazionale tale da comportare l’obbligo per le imprese di cooperare con lo Stato, pertanto vi è il timore che i fornitori di dispositivi di un paese terzo come la Cina possano costituire un rischio per la sicurezza dell’Unione europea;


· la comunicazione congiunta [4] del "UE - Cina una prospettiva strategica" della Commissione europea e dell’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza, nella quale si sottolinea la necessità di un approccio comune per la cibersicurezza delle reti 5G;


· la raccomandazione [5] del 26 marzo 2019, con la quale la Commissione europea (in attuazione dell’indirizzo espresso dal Consiglio europeo del 22 marzo 2019 a favore di un approccio concertato alla sicurezza delle reti 5G) propone un approccio comune dell’UE ai rischi per la sicurezza delle reti 5G, basato su una valutazione coordinata dei rischi e su misure coordinate di gestione dei rischi, su un quadro efficace per la cooperazione e lo scambio di informazioni e su una conoscenza comune della situazione delle reti di comunicazione.


La Commissione europea ha reso noto che, dando seguito alla raccomandazione, 24 Stati membri dell’UE hanno presentato le valutazioni nazionali dei rischi, che dovrebbero confluire nella prossima fase, costituita dalla valutazione dei rischi a livello dell’UE il cui completamento è previsto entro il 1° ottobre.


Le valutazioni nazionali dei rischi offrono una panoramica dei seguenti elementi: principali minacce e attori che incidono sulle reti 5G; grado di sensibilità di componenti e funzioni delle reti 5G e di altre risorse;·vulnerabilità di vario tipo, di ordine tecnico ma non solo, ad esempio quelle potenzialmente derivanti dalla catena di approvvigionamento del 5G.


La raccomandazione prevede che entro il 31 dicembre 2019 il gruppo di cooperazione NIS previsto dalla citata direttiva sulla sicurezza delle reti e dell’informazione approvi un insieme di misure di attenuazione per affrontare i rischi individuati nelle valutazioni a livello di Stati membri e dell’UE.


4. L’uso dei sistemi informatici a fini criminali


L’intervento normativo dell’UE più recente in tale settore è la Direttiva (UE) n. 2019/713 relativa alla lotta contro le frodi e le falsificazioni di mezzi di pagamento diversi dai contanti.


Gli elementi chiave della direttiva, sostitutiva della precedente decisione quadro 2001/413/GAI del Consiglio, sono: l’ampliamento della portata dei reati, che secondo il nuovo regime include, tra l’altro, le transazioni mediante valute virtuali; l’armonizzazione delle definizioni di alcuni reati online, quali la pirateria informatica o il phishing; l’introduzione di livelli minimi per le sanzioni più elevate per le persone fisiche; norme in materia di competenza giurisdizionale riguardo le frodi transfrontaliere; il miglioramento della cooperazione in materia di giustizia penale; la prevenzione e le attività di sensibilizzazione per ridurre i rischi di frodi.


Nell’ambito degli strumenti per la cibersicurezza, la Commissione europea ha, altresì, presentato proposte legislative volte a migliorare l’acquisizione transfrontaliera di prove elettroniche per i procedimenti penali.


Si tratta di una proposta di regolamento [6] relativo agli ordini europei di produzione e di conservazione di prove elettroniche nei procedimenti penali, e di una proposta di direttiva [7] che stabilisce norme armonizzate sulla nomina dei rappresentanti legali ai fini dell’acquisizione di prove nei procedimenti penali. Le proposte sono tuttora all’esame delle Istituzioni legislative europee.


La materia è stata da ultimo trattata dall’UE anche per i profili di politica estera. A tal proposito, il 6 giugno 2019, il Consiglio dell’UE ha conferito alla Commissione europea due mandati per svolgere negoziati internazionali intesi a migliorare l’accesso transfrontaliero alle prove elettroniche nelle indagini penali, da un lato, con gli Stati Uniti, dall’altro con particolare riguardo al secondo protocollo aggiuntivo alla Convenzione di Budapest del Consiglio d’Europa sulla criminalità informatica. I mandati includono disposizioni recanti garanzie a tutela dei diritti fondamentali in materia di protezione dei dati, privacy e diritti procedurali delle persone.


5. L’impiego dei sistemi informatici per la diffusione di contenuti illegali. Politiche di prevenzione e contrasto alla radicalizzazione e al linguaggio di odio.


È tuttora oggetto di iter legislativo la proposta di regolamento COM(2018)640 presentata dalla Commissione nel settembre del 2018 al fine di eliminare rapidamente i contenuti terroristici dal web.


La proposta mira a introdurre un termine vincolante di un’ora per l’eliminazione dalla rete dei contenuti di stampo terroristico a seguito di un ordine di rimozione emesso dalle autorità nazionali competenti. Sono altresì previsti: un quadro di cooperazione rafforzata tra prestatori di servizi di hosting, Stati membri ed Europol, per facilitare l’esecuzione degli ordini di rimozione; meccanismi di salvaguardia (reclami e ricorsi giurisdizionali) per proteggere la libertà di espressione su Internet e per garantire che siano colpiti esclusivamente i contenuti terroristici; un apparato sanzionatorio per i prestatori di servizi nel caso di mancato rispetto (o ancora, di omissione sistematica) degli ordini di rimozione.


Sulla proposta il Parlamento europeo, il 17 aprile 2019 ha approvato la propria posizione in prima lettura. Il neoeletto Parlamento europeo sarà incaricato di negoziare con il Consiglio dell’UE il testo definitivo del regolamento. In tale settore, si ricorda che l’unità IRU (Internet Referral Unit), istituita nel 2015 in seno ad Europol - l’Agenzia europea per la cooperazione di polizia, ha il compito di segnalare ai fornitori di servizi online interessati i contenuti volti alla propaganda terroristica o all’estremismo violento su Internet ai fini della loro rimozione.


Nell’ambito del contrasto alla radicalizzazione, l’UE ha altresì messo in campo una serie di strumenti di carattere preventivo (processi di integrazione e inclusione sociale, di reinserimento e deradicalizzazione delle persone considerate a rischio e degli stessi combattenti stranieri che fanno ritorno nei rispettivi Stati membri di provenienza).


Tra gli strumenti di prevenzione adottati a livello di Unione devono ricomprendersi il Gruppo di esperti di alto livello in materia di radicalizzazione, la Rete per la sensibilizzazione alla radicalizzazione (RAN), il Forum dell’UE su Internet, la Rete europea per le comunicazioni strategiche (ESCN).


Si ricorda infine che, il 6 giugno 2019, il Consiglio dell’UE giustizia e affari interni ha approvato una serie di conclusioni sulla prevenzione e la lotta alla radicalizzazione nelle carceri e sulla gestione degli autori di reati di terrorismo ed estremismo violento dopo la scarcerazione.


Nel quadro generale della prevenzione e del contrasto dei contenuti illeciti online si segnalano altresì: il Code of conduct siglato dalla Commissione con le principali imprese operanti nel settore dei social media, recante l’impegno da parte di queste di eliminare i messaggi illegali di incitamento all’odio (maggio 2016); gli orientamenti politici per le piattaforme online al fine di intensificare la lotta contro i contenuti illeciti in cooperazione con le autorità nazionali (settembre 2017); le raccomandazioni agli Stati membri recanti misure operative volte a garantire maggiore rapidità nella rilevazione e nella rimozione dei contenuti illegali online anche di stampo terroristico o riconducibili a reati di odio (marzo 2018).


_____

[1] Per minacce ibride – nozione per la quale non esiste una definizione sul piano giuridico universalmente accettata – la Commissione europea intende una serie di attività che spesso combinano metodi convenzionali e non convenzionali e che possono essere realizzate in modo coordinato da soggetti statali e non statali pur senza oltrepassare la soglia di guerra formalmente dichiarata. Il loro obiettivo non consiste soltanto nel provocare danni diretti e nello sfruttare le vulnerabilità, ma anche nel destabilizzare le società e creare ambiguità per ostacolare il processo decisionale.


[2] Regolamento (UE) n. 2019/881, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013.


[3] Direttiva (UE) n. 2018/1972, che istituisce il codice europeo delle comunicazioni elettroniche.


[4] Comunicazione JOIN(2019)5 del 12 marzo 2019.


[5] Raccomandazione (UE) 2019/534 della Commissione, Cibersicurezza delle reti 5G.


[6] COM(2018)225.


[7] COM(2018)226.