Ddl Cybersicurezza: Intelligenza Artificiale (IA) per la protezione delle infrastrutture critiche e dei dati sensibili
Questo articolo è il terzo e ultimo di una serie dedicata all’analisi tecnico-giuridica del Disegno di Legge recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici” approvato dal Consiglio dei Ministri lo scorso 25 gennaio e attualmente in corso di esame parlamentare (qui la prima e la seconda parte).
L’Intelligenza Artificiale al servizio della cybersicurezza
Nel panorama tecnologico attuale, se da un lato le Pubbliche Amministrazioni si attrezzano adottando procedure e prassi avanzate per difendersi dagli attacchi informatici, dall’altro l’emergere dell’Intelligenza Artificiale (IA) apre nuove frontiere nella protezione delle infrastrutture critiche e dei dati sensibili.
Questo scenario è al centro dell’articolo 7 del Disegno di Legge Cybersicurezza, che introduce una visione all’avanguardia dell’uso dell’IA ponendola come pilastro nella strategia di sicurezza nazionale, con un occhio attento agli imperativi etici che devono guidarne l’impiego.
L’approccio etico all’utilizzo dell’IA diventa quindi un’estensione naturale dell’impegno delle Pubbliche Amministrazioni verso una gestione sicura e responsabile dell’ambiente digitale.
L’inclusione esplicita di un mandato per l’Agenzia per la Cybersicurezza Nazionale (ACN) di promuovere iniziative di partenariato pubblico-privato per l’impiego dell’IA nella cybersicurezza evidenzia un riconoscimento del valore che questa tecnologia può apportare in termini di efficacia operativa, nonché nella promozione di pratiche etiche contro potenziali abusi.
La collaborazione tra enti pubblici e privati nell’ambito dell’IA non solo favorisce lo scambio di conoscenze e competenze ma pone le basi per una resilienza nazionale che integra le più avanzate soluzioni tecnologiche con i principi fondamentali di responsabilità e trasparenza.
Questa sinergia tra gli obblighi delle P.A. e l’uso etico dell’Intelligenza Artificiale nel rafforzamento della cybersicurezza nazionale costituisce un modello innovativo per affrontare le sfide del panorama informatico attuale, garantendo che il progresso tecnologico sia messo a fattor comune per combattere le minacce informatiche e contribuire alla protezione dei cittadini.
In ultima analisi l’integrazione dell’IA nelle strategie di cybersicurezza, guidata da un’impostazione etica e supportata da un impegno condiviso tra settore pubblico e privato, rappresenta non solo una risposta alle minacce in evoluzione ma anche un’opportunità per riaffermare l’importanza dei valori umani e sociali nella marcia verso l’innovazione tecnologica.
Nuove disposizioni sugli appalti pubblici per la sicurezza informatica
Tanto premesso, si osserva come le nuove disposizioni relative agli appalti pubblici di beni e servizi informatici rappresentino un pilastro fondamentale nella strategia di rafforzamento della cybersicurezza nazionale. Questo ambito, essenziale per la tutela degli interessi nazionali strategici, vede l’introduzione di criteri innovativi volti a garantire l’integrità, la confidenzialità e la disponibilità dei dati trattati.
Il Disegno di Legge stabilisce che, entro centoventi giorni dalla sua entrata in vigore, sarà adottato un decreto del Presidente del Consiglio dei Ministri, su proposta dell’Agenzia per la Cybersicurezza Nazionale e previo parere del Comitato interministeriale per la cybersicurezza, per individuare gli “elementi essenziali di cybersicurezza”.
Questi elementi, definiti come “insieme di criteri e regole tecniche”, sono essenziali per assicurare che l’acquisizione di beni e servizi informatici rispetti standard elevati di sicurezza, proteggendo i dati sensibili e le infrastrutture critiche nazionali.
Le stazioni appaltanti, inclusi gli enti che agiscono come centrali di committenza, sono tenute a integrare questi elementi essenziali di cybersicurezza nel processo di valutazione delle offerte.
Questo approccio multidimensionale prevede la possibilità di escludere le offerte che non rispettano i criteri di cybersicurezza definiti e di considerare tali elementi nella valutazione dell’offerta economicamente più vantaggiosa, nonché di inserire requisiti minimi di cybersicurezza nelle gare basate sul criterio del minor prezzo. Misure pensate per orientare le scelte contrattuali verso soluzioni che non solo offrono un buon rapporto qualità/prezzo, ma che garantiscono anche un elevato livello di protezione dei dati e delle infrastrutture informatiche nazionali.
A ciò si aggiunga l’estensione di queste disposizioni ai soggetti privati che, pur non rientrando nella definizione fornita dall’art. 2, comma 2 del Codice dell’Amministrazione Digitale, sono inclusi in categorie specifiche identificate dal decreto-legge n. 105/2019 relativo al Perimetro di sicurezza nazionale cibernetica.
Questo ampliamento sottolinea la volontà del legislatore di applicare una politica di cybersicurezza inclusiva e onnicomprensiva, che coinvolga attivamente sia il settore pubblico sia quello privato nell’adozione di misure di sicurezza informatica efficaci.
Premesso quanto sopra, si rileva che le nuove normative sugli appalti pubblici di beni e servizi informatici non solo impongono standard elevati per la sicurezza informatica nelle attività di approvvigionamento ma incentivano anche una più stretta collaborazione tra pubblico e privato, orientando il mercato verso soluzioni che rispettano principi di cybersicurezza avanzati e contribuiscono alla protezione degli interessi strategici del Paese, così concorrendo a innalzare il generale livello di sicurezza informatica.
Avvocato, Certified Ethical Hacker, Auditor di diversi schemi di certificazione (ISO/IEC 27001, ISO 22301, ISO 37001, ISO/IEC 20000-1, ISO 9001) e Project Manager. Chief Cybersecurity Advisor di ICT Cyber Consulting, Quality and Information Security Manager di ICTLC S.p.A., Of Counsel di ICT Legal Consulting, membro del CdA dell'Istituto Italiano per la Privacy e la Valorizzazione dei Dati e Senior Fellow Researcher nel framework Horizon Europe.
Autore di manuali, pubblicazioni e articoli scientifici sui temi relativi alla data protection e alla sicurezza informatica.
Esperta in cybersecurity e protezione dei dati. Laureata in Scienze delle Investigazioni e della Sicurezza e laurenda in Giurisprudenza presso l'Università degli Studi della Campania. Ha frequentato un Business Master in CyberSecurity Compliance e il Corso Maestro della Protezione dei Dati & Data Protection Designer. Auditor dei Sistemi di Gestione ISO/IEC 27001:2022 e ISO 9001:2015.
È Cybersecurity Specialist presso ICT Cyber Consulting ed offre il suo contributo nel framework Horizon 2020 come Of Counsel per ICT Legal Consulting, oltre ad essere Fellow Researcher per l'Istituto Italiano per la Privacy e la Valorizzazione dei Dati.
