____________________________

Tu sei qui

  • Home
  • »»» menu' contestuale »»»

Menu contestuale

  • Corte costituzionale 14 giugno 1956, n. 2: «Esclusa l’interpretazione, inammissibilmente angusta, che la “sicurezza” riguardi solo l’incolumità fisica, sembra razionale e conforme allo spirito della Costituzione dare alla parola “sicurezza” il significato di situazione nella quale sia assicurato ai cittadini, per quanto è possibile, il pacifico eser-cizio di quei diritti di libertà che la Costituzione garantisce con tanta forza. Sicurezza si ha quando il cittadino può svolgere la propria lecita attività senza essere minacciato da offese alla propria personalità fisica e morale; è l’”ordinato vivere civile”, che è indubbiamente la meta di uno Stato di diritto, libero e democratico.»
  • Corte cost. n. 285 del 2019. L’endiadi “ordine pubblico e sicurezza”, di cui all’art. 117, secondo comma, lettera h), Cost., allude a una materia in senso proprio, e cioè a una materia oggettivamente delimitata che di per sé non esclude l’intervento regionale in settori ad essa liminari»

INTELLIGENZA ARTIFICIALE E CYBERSICUREZZA

 

Cybersecurity Act -Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019.

Introduce un quadro europeo armonizzato per la certificazione della sicurezza informatica UE di prodotti, servizi e processi ICT. L'obiettivo principale è quello di migliorare la protezione contro le minacce alla sicurezza informatica all'interno dell'UE. Il CSA consente inoltre a produttori e fornitori di servizi di utilizzare un unico certificato reciprocamente riconosciuto in tutta l'UE. Nel corso degli anni, molti Stati membri europei hanno adottato normative nazionali per la certificazione della sicurezza informatica. Le divergenze tra gli standard dei diversi Stati membri e la mancanza di riconoscimento reciproco hanno rischiato di compromettere la libera circolazione di prodotti e servizi ICT all'interno dell'UE. Il CSA richiede a ogni Stato membro dell'UE di identificare almeno un'Autorità Nazionale di Certificazione per la Sicurezza Informatica (NCCA).

 

Regolamento sull’intelligenza artificiale - (AI Act) -REGOLAMENTO EUROPEO 2024/1689 che stabilisce regole armonizzate sull'intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828

Ambisce a garantire che i sistemi di AI siano sviluppati e utilizzati maniera etica, sicura e responsabile

Il regolamento, rappresenta l’esito di un lungo e articolato iter legislativo intrapreso dall’Unione europea come parte della sua strategia digitale

Si applica a decorrere dal 2 agosto 2026.

Tuttavia: a) I capi I e II si applicano a decorrere dal 2 febbraio 2025;

b) Il capo III, sezione 4, il capo V, il capo VII, il capo XII e l’articolo 78 si applicano a decorrere dal 2 agosto 2025, ad eccezione dell'articolo 101;

c) L'articolo 6, paragrafo 1, e i corrispondenti obblighi di cui al presente regolamento si applicano a decorrere dal 2 agosto 2027.

L’AI Act dell’Unione Europea impone requisiti rigorosi sulla governance dei modelli AI, sulla loro spiegabilità e sulla gestione del rischio, per evitare impatti negativi di natura sistemica

Definisce requisiti e obblighi in capo ai fornitori e agli sviluppatori (deployer), tra cui una governance ed una qualità adeguate dei dati, una sufficiente trasparenza nei confronti dell’utilizzatore e la garanzia di una costante sorveglianza umana per scongiurare decisioni esclusivamente automatiche. Il regime di divieto o di circolazione è proporzionato al rischio del sistema

I considerandando del regolamento esplicitano che l'IA contribuisce al conseguimento di un'ampia gamma di benefici a livello economico, ambientale e sociale nell'intero spettro delle attività industriali e sociali me presenta rischi e puo' pregiudicare gli interessi pubblici e i diritti fondamentali tutelati dal diritto dell'Unione. Tale pregiudizio può essere sia materiale sia immateriale, compreso il pregiudizio fisico, psicologico, sociale o economico.

Al fine di garantire un livello costante ed elevato di tutela degli interessi pubblici in materia di salute, sicurezza e diritti fondamentali, è opportuno stabilire regole comuni per i sistemi di IA ad alto rischio

L’“intelligenza artificiale” è definita «un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali» (art. 3, n. 1, Reg. (UE) 2024/1689).

L’Articolo 13 dell’IA Act richiede che i sistemi di IA ad alto rischio siano progettati per garantire trasparenza e interpretabilità .

 

Regolamento sulla ciberresilienza Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024 relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828

 

Gli attacchi informatici costituiscono una questione di interesse pubblico dal momento che hanno un impatto determinante non solo sull’economia dell’Unione, ma anche sulla democrazia, nonché sulla sicurezza dei consumatori e sulla salute.»

Il rischio inteso come potenziale perdita o perturbazione causata da un incidente deve essere valutato sulla base dell’entità della perdita o perturbazione e della probabilità che l’incidente si verifichi; questo rischio diventa poi “significativo” se ha delle caratteristiche tecniche per cui si può presumere una “probabilità elevata” di provocare un incidente con un impatto negativo grave. Così le definizioni di “rischio di cibersicurezza” (art. 1, co. 1, n. 37) e “rischio di cibersicurezza significativo” (art. 1, co. 1, n. 38) nel regolamento (UE) 2024/2847 (regolamento sulla ciberresilienza)

 

Direttiva per le m - Direttiva (UE) 2016/1148 (cosiddetta NIS 2, recepita in Italia col d.lgs. 4 settembre 2024, n. 138),

Le misure di gestione dei rischi devono ora comprendere azioni tecniche, ma anche operative e organizzative (cfr. l’art. 21 della direttiva) secondo un approccio cosiddetto “multirischio”

Recepita col decreto legislativo nn. 134 del 2024

La Direttiva NIS2 è fortemente allineata allo standard ISO/IEC 27001, tanto che un adeguamento NIS2 può rappresentare buona parte del percorso di certificazione. In diversi paesi europei (non l’Italia) è richiesto un audit annuale di una terza parte per dare evidenza dello stato di conformità. La diffusione di certificazioni ISO/IEC 27001 potrebbe diventare un vantaggio competitivo nella supply chain .

Direttiva NIS 2 - Direttiva (UE) n. 2022/2557

Recepita col decreto legislativo nn. 138 del 2024

La direttiva NIS2 introduce nuove normative per la sicurezza informatica, imponendo requisiti più stringenti in termini di resilienza IT, gestione del rischio e conformità

 

Il framework DORA per la gestione del rischio ICT nell'ambito finanziario

l DORA (Regolamento UE 2022/2554) è il quadro normativo europeo che stabilisce un framework per la gestione del rischio dei servizi ICT del settore finanziario, allo scopo di rafforzare la loro "resilienza operativa digitale". Con tale concetto, si intende l'affidabilità dei servizi IT e la capacità di garantire la continuità delle operazioni digitali anche in occasione di incidenti e perturbazioni.

 

DORA è entrato in vigore il 16 gennaio 2023, ma la sua piena applicazione decorre dal 17 gennaio 2025, data a partire dalla quale tutte le entità finanziarie devono rispettarne le disposizioni. 


Il framework DORA è nato con la finalità di preparare gli operatori ed i mercati finanziari a resistere ai rischi generati dalla crescente dipendenza dalle tecnologie digitali, definendo gli standard tecnici di riferimento

Il regolamento DORA è indirizzato a tutti gli operatori del mercato finanziario, sia tradizionali (banche, istituti di pagamento, fondi di investimento, intermediari finanziari...) che non tradizionali (agenzie di rating, piattaforme di crowdfounding...).

Entità finanziarie soggette al regolamento DORA (art. 2)

  • Enti creditizi
  • Istituti di pagamento
  • Prestatori di servizi di informazione sui conti
  • Istituti di moneta elettronica
  • Imprese di investimento
  • Fornitori di servizi per le cripto-attività
  • Autorizzati ed emittenti di token collegati
  • Depositari centrali di titoli
  • Controparti centrali
  • Sedi di negoziazione
  • Repertori di dati sulle negoziazioni
  • Gestori di fondi di investimento alternativi
  • Società di gestione
  • Fornitori di servizi di comunicazione dati
  • Imprese di assicurazione e di riassicurazione
  • Intermediari assicurativi e riassicurativi
  • Enti pensionistici
  • Agenzie di rating del credito
  • Amministratori di indici di riferimento critici
  • Fornitori di servizi di crowdfunding
  • Repertori di dati sulle cartolarizzazioni

 

DPCM 17 febbraio 2017

Secondo la definizione del DPCM 17 febbraio 2017 la cybersicurezza è l’insieme di «idonee misure di sicurezza fisica, logica e procedurale rispetto ad eventi, di natura volontaria od accidentale, consistenti nell’acquisizione e nel trasferimento indebito di dati, nella loro modifica o distruzione illegittima, ovvero nel danneggiamen-to, distruzione o blocco del regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi».

Il processo di istituzionalizzazione è iniziato nel 2018 con il D.Lgs 65/2018, che ha attuato la Direttiva NIS1.

il decreto legge 105/2019 e i successivi decreti attuativi (DPCM 131/2020; DPCM 81/2021; DPCM 198/2021; DPCM 4/2022) hanno istituito il Perimetro di Sicurezza Nazionale Ciberne- tica (PSNC). Il PSNC elenca tutti gli attori pubblici e privati coinvolti nella protezione del Paese.

 

Decreto-legge 14 giugno 2021, n. 82

Decreto-legge 14 giugno 2021, n. 82, recante disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cyber-sicurezza nazionali

Nel 2022 l’Agenzia ha elaborato la Strategia nazionale di cybersecurity 2022-2026 (ACN 2022a) e il relativo Piano di attuazione (ACN 2022b), che comprende 82 interventi per il miglioramento della resilienza informatica.

il decreto legge 115/2022 ha introdotto una modifica all’ar- ticolo 1 del decreto legge 105/2019, ampliando la categoria di inci- denti soggetti all’obbligo di notifica al CSIRT per includere quelli che hanno un impatto su sistemi, reti e servizi non forniti nel PSNC (diversi dalle ICT).

 

 

DECRETO LEGISLATIVO 4 Settembre 2024, n. 138

Recepimento della direttiva (UE) 2022/2555 (NIS 2), relativa a misure per un livello comune elevato di cibersicurezza nell'Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148

 

DECRETO LEGISLATIVO 4 Settembre 2024, n. 134

Attuazione della direttiva (UE) 2022/2557 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa alla resilienza dei soggetti critici e che abroga la direttiva 2008/114/CE del Consiglio.

La notifica degli incidenti, obbligatoria per tutti gli attori inclusi nel PSNC e per gli enti individuati dalle direttive NIS1 e NIS2, rappresenta il pilastro della resilienza informatica e delle attività di recovery post-incidente (Schmitz-Berndt e Chiara 2022). Secondo la legge italiana, gli attori del PSNC sono tenuti a notificare qualsiasi incidente grave

La NIS2 ha chiarito che un incidente è significativo quando «ha causato o è in grado di causare gravi interruzioni operative dei servizi o perdite finanziarie per l’ente» (NIS2, Directive (EU) 2555/2022 art. 23). Ciò significa che «un incidente può essere considerato significativo anche se il danno non si è concretizzato» (Schmitz-Berndt 2023, 5).

 

Rapporto CLUSIT 2025. ll Rapporto CLUSIT è l'analisi annuale del cybercrime redatta dall'Associazione Italiana per la Sicurezza Informatica che monitora e presenta i dati e i trend degli attacchi informatici a livello globale e nazionale, identificando le minacce più diffuse e i settori più colpiti. Il documento è un fondamentale strumento per manager, imprenditori e professionisti della sicurezza per comprendere l'evoluzione delle minacce e migliorare le strategie di difesa.

Il rapporto 2025, oltre al consueto  capitolo dedicato al settore FINANCE, con un’analisi sul Cyber-crime nel settore finanziario in Europa, ha previsto un capitolo dedicato all’Intelligenza Artificiale ch etratta due articoli:

  • • Proteggere il data center ibrido nell’era dell’intelligenza artificiale
  • • Intelligenza Artificiale nella Cybersecurity: Opportunità e Minacce

 

Agenzia per la Cybersicurezza Nazionale (ACN)

Con DPCM 15 giugno 2022 e DPCM 1° settembre 2022 sono state trasferite in capo all’Agenzia per la Cybersicurezza Nazionale le funzioni in materia di cybersicurezza precedentemente assegnate al Ministero dello Sviluppo Economico (MISE), all’Agenzia per l’Italia digitale (AgID) e al Dipartimento per la trasformazione digitale della PCM.

Dal 1993 ad oggi la “materia della digitalizzazione” è stata affidata sempre ad agenzie governative, pur con rilevanti differenze sotto il profilo organizzativo e funzionale. Dal 1993, quando fu costituita la prima Autorità per l’informatica nella pubblica amministrazione (AIPA), passando per il Centro tecnico per la Rupa (1997), il Cnipa (2003), l’Agenzia per la diffusione delle tecnologie per l’innovazione (2006), il DigitPA (2009) fino all’A-genzia Italia digitale (2012) e all’ACN.

 

 

ENISA (Agenzia dell'Unione europea per la cibersicurezza)

 Il suo compito è supportare gli Stati membri e le istituzioni UE per migliorare la cybersicurezza a livello comune, attraverso l'implementazione di politiche, l'elaborazione di sistemi di certificazione per prodotti e servizi TIC, e il supporto nella gestione degli attacchi informatici. 

 

 

 

 

 

Informazioni generali sul sito