In un contesto globale di dipendenza dai sistemi digitali sempre più complessi, le recenti minacce informatiche assumono una priorità per il settore privato e pubblico. Nel dettaglio, alla luce di quanto riportato dall’Europol, la cui finalità è la repressione della criminalità organizzata internazionale, i gruppi della criminalità organizzata hanno reclutato hackers per fenomeni di phishing, social engineering, e SIM swapping. Pertanto, il reclutamento di queste figure sta diventando una pratica sempre più utilizzata[1] e risulta di fondamentale importanza una conoscenza del quadro nel rispettivo paese.
A tal proposito, in Francia il “Cybermalveillance.gouv.fr”, quale programma governativo che svolge un ruolo di sensibilizzazione, prevenzione e sostegno in termini di sicurezza digitale tra la popolazione francese, ha condotto un sondaggio alla fine del 2021. Più precisamente, sono state coinvolte le comunità con meno di 3.500 abitanti, che rappresentano il 91% dei comuni francesi. L’obiettivo della ricerca è la comprensione del livello di digitalizzazione, l’analisi delle vulnerabilità ed esaminare le esigenze che caratterizzano i vari comuni.
Come si evince dal report il 77% dei comuni che hanno aderito a tale ricerca non dispone di un responsabile IT e di conseguenza esternalizza la gestione di tale reparto. In aggiunta, il 65% degli enti locali ritiene che il rischio nel cyberspazio sia basso o inesistente, solamente il 35% considera il rischio di un cyber attacco molto alto, ma si interroga al tempo stesso sui mezzi per mitigare tale fenomeno come il budget a disposizione, le risorse umane competenti in materia e gli strumenti efficienti a disposizione[2].
Pertanto, dallo studio emerge che gli intervistati non sono a conoscenza del quadro normativo in vigore in Francia e in Europa, ad eccezione del General Data Protection Regulation (GDPR), in vigore dal 2016.
Inoltre, giova ricordare che nell’ultimo periodo in Francia gli enti locali hanno assunto le vesti di target da parte dei cyber criminali i cui effetti si sono riversati su tutta la comunità. Per tale ragione, nel settembre 2020 il governo francese, con l’obiettivo di rilanciare l’economia colpita dalla crisi sanitaria legata alla pandemia di Covid-19 e favorire lo sviluppo dei settori emergenti, ha varato il piano “France Relance”, il quale presta particolare attenzione al tema della cybersecurity dei comuni, con un fondo di 136 milioni di euro. Più precisamente, l’obiettivo è rafforzare la “sicurezza delle amministrazioni, delle comunità, delle istituzioni sanitarie e degli enti pubblici, rafforzando al contempo l’ecosistema industriale francese”.
In data 4 luglio 2022, il “Cybermalveillance.gouv.fr”, in collaborazione con il “Commission Nationale de l’Informatique et des Libertés” (CNIL), l’Autorità Garante della protezione dei dati francese, offre una nuova guida la cui finalità è informare gli eletti locali e gli agenti territoriali sugli obblighi e le responsabilità delle autorità locali e dei loro esercizi pubblici in materia di cybersecurity[3].
Nell’esercizio delle loro competenze e nei rapporti con i cittadini, gli enti locali e le loro strutture pubbliche sono tenuti a rispettare determinati obblighi:
In merito alla protezione dei dati personali non si può non tener conto dei numerosi dati che gli enti locali devono trattare sia per uso interno, come gli uffici di risorse umane e la videosorveglianza, ma anche per uso esterno, come lo stato civile, le liste elettorali e le iscrizioni scolastiche.
Come si evince dall’art. 37 del General Data Protection Regulation (GDPR), ogni ente locale o istituzione pubblica locale, indipendentemente dalle sue dimensioni, è tenuto a nominare un responsabile della protezione dei dati o data protection officer (DPO).
Inoltre, l’obbligo di protezione dei dati personali da parte degli enti locali implica che tre passaggi chiave per un trattamento conforme alla normativa europea:
Le misure di sicurezza da adottare sono le seguenti:
Successivamente, in relazione agli obblighi relativi all’implementazione di servizi elettronici locali, giova ricordare che a partire da 5000 euro di entrate annuali, la fornitura di servizi di pagamento online agli utenti da parte delle autorità locali è obbligatoria. I servizi telematici comprendono tutti i servizi offerti dai mezzi di comunicazione elettronici che consentono agli utenti di richiedere un servizio, fare una dichiarazione, richiedere un’autorizzazione o pagare un servizio. Tutti i servizi elettronici offerti dagli enti locali devono soddisfare i requisiti del “Référentiel Général de Sécurité” (RGS), emanato con il Decreto n. 112/ 2010.
In aggiunta, i comuni, nel corso di attività di prevenzione, diagnosi, cura o monitoraggio sociale e medico-sociale, hanno l’obbligo di trattare i dati sanitari. Questi ultimi possono essere ospitati direttamente dalla struttura interessata o esternalizzati a un fornitore di servizi. Le attività di esternalizzazione ad un fornitore terzo sono soggette a requisiti di certificazione preventiva rilasciata da un organismo di certificazione approvato.
Come già segnalato, le conseguenze di cyber attacchi possono ricadere su un’intera comunità, causando danni ai cittadini ad esempio, un incidente dovuto a un malfunzionamento del sistema di segnalazione o di illuminazione pubblica, ma anche danni economici diretti o indiretti, rispettivamente costi relativi alla riconfigurazione del sistema informativo interessato o l’indisponibilità di strutture pubbliche: museo, piscina comunale o biblioteca.
Pertanto, alla luce di quanto evidenziato, il “Commission Nationale de l’Informatique et des Libertés” (CNIL) ha richiamato le diverse tipologie di responsabilità legali a cui sono esposti i comuni in caso di attacchi informatici:
È ormai evidente come lo sviluppo di una cyber postura europea sia di riflesso un obiettivo che ogni paese vuole raggiungere nel medio-lungo termine. Pertanto, la condivisione di tali Linee guida dimostra il grande interesse che il “Commission Nationale de l’Informatique et des Libertés” (CNIL) pone per costruire un cyber spazio sicuro e affidabile, coinvolgendo i comuni tramite un percorso di formazione culturale.
[1] World Economic Forum, Global Cybersecurity Outlook 2022, available at https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf.
[2] Cybermalveillance.gouv.fr, La cybersécurité dans les collectivités de moins de 3 500 habitants: résultats détaillés, April 2022.
[3] Cybermalveillance.gouv.fr, Guide obligations et responsabilités des collectivités locales en matière de cybersécurité, July 2022.
Articolo a cura di Luca Barbieri
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…