Giovanni Battista Gallus, Array Law: luci e ombre della Circolare dell’Agenzia per la Cybersecurity

“La Circolare del 21 aprile 2022 ha il merito di fornire indicazioni puntali sulle modalità di migrazione e verifica della compatibilità dei sistemi, ma al tempo stesso non prevede un termine ultimo né un’analisi comparativa dei servizi in sostituzione di quelli oggi vietati”: il commento di Giovanni Battista Gallus, partner di Array Law, sulla Circolare dell’Agenzia per la Cybersicurezza Nazionale.

Partner di Array Law, esperto di protezione di dati personali e diritto dell’informatica da oltre 25 anni, fellow del Centro Nexa e docente in vari corsi di specializzazione e master in materia di data protection dell’Università Statale di Milano e del Politecnico di Milano, oltreché membro della Commissione Surveillance della CCBE e membro della Commissione Privacy del Consiglio Nazionale Forense: difficile, oggi, trovare un profilo più qualificato dell’avvocato Giovanni Battista Gallus per commentare nel dettaglio gli aspetti legali e le conseguenze attese dalla Circolare del 21 aprile 2022 dell’Agenzia per la Cybersicurezza Nazionale che impone alle PA italiane la sostituzione forzata di software e antivirus come Kaspersky a seguito del conflitto in Ucraina. Una decisione nata, vale la pena ricordarlo, anche in seguito alle ricerche compiute sull’adozione di Kaspersky nella PA a partire dal database di ContrattiPubblici.org.

Avvocato Gallus, qual era la scopo della Circolare del 21 aprile 2022 dell’Agenzia per la Cybersicurezza?

Le motivazioni che hanno portato alla pubblicazione della Circolare erano e sono tuttora chiaramente legate alla tutela degli asset strategici dello Stato e delle pubbliche amministrazioni in particolare. La circolare, nello specifico, ha individuato nel dettaglio i prodotti e servizi da rimuovere e diversificare in adempimento al cosiddetto Decreto Ucraina: antivirus, antimalware, web application firewall e simili che rientrano nella macrocategoria di antivirus e sistemi di sicurezza sono da considerarsi a rischio in quanto in grado non solo di raccogliere tantissime informazioni, ma anche di essere usati come porta d’ingresso per attacchi ransomware in seguito ad aggiornamenti non configurati correttamente o in buona fede.

A chi spetta il compito di verificare l’aggiornamento dei sistemi, ed entro quanto tempo verrà fatto?

Il compito di verificare spetta alle pubbliche amministrazioni indicate nel richiamo all’articolo 1, comma 2, del testo unico del pubblico impiego, il che rischia di escludere una parte consistente di società partecipate o società a controllo pubblico dall’applicazione della Circolare. Inoltre, non sembra essere stata prevista una data certa entro cui la rimozione e la sostituzione dei software vietati dovrà essere portata a termine, con la conseguenza di aggiungere un ulteriore margine di incertezza in termini di prevenzione e riduzione del rischio. La norma (e la Circolare) si limitano a dire che l’aggiornamento debba essere fatto “tempestivamente”. Tutto questo, tuttavia, non deve portarci a trascurare i numerosi aspetti positivi e degni di nota, come la presenza di una serie di indicazioni puntuali circa il piano di migrazione (dove è prevista una progressiva sostituzione degli asset meno critici per poi passare a quelli più critici, così da garantire la continuità operativa dei servizi erogati) e la verifica della compatibilità delle nuove soluzioni individuate con gli asset esistenti.

Quali sono altri aspetti degni di nota, soprattutto per quanto riguarda i fornitori della PA?

Il Decreto Ucraina prevede la possibilità di approvvigionarsi di nuovi servizi e software di antivirus, in sostituzione di quelli banditi, anche attraverso procedure negoziate e senza pubblicazione di bandi pubblici, in deroga alla norma sull’offerta economicamente più vantaggiosa. Inoltre, è stata prevista una apposita esenzione dalla responsabilità erariale, esonerando in questo modo le pubbliche amministrazioni che dovessero decidere di acquistare prodotti o servizi più costosi o con vulnerabilità maggiori rispetto a quelli esistenti e oggi vietati. Da notare, infine, come non vi sia alcun riferimento all’articolo 68 del Codice dell’Amministrazione Digitale che prevede una valutazione comparativa delle soluzioni informatiche da implementare: una lacuna ricorrente, a cui – purtroppo – anche questa Circolare non fa eccezione.

Come è cambiata, in questo contesto, la percezione dell’importanza della cybersecurity nelle PA?

Moltissimo, e l’eco mediatica con cui l’ultima Circolare è stata accolta è solo l’ultimo esempio in tal senso. Nel corso degli ultimi anni abbiamo assistito a una crescita esponenziale della consapevolezza di proteggersi dal rischio cyber dovuto in parte alla presenza di sanzioni per le PA e le aziende private inadempienti, ma soprattutto a causa del crescente rischio reputazionale associato alla perdita di dati in seguito a un attacco informatico di qualsiasi tipo. Se è vero, infine, che questa consapevolezza è aumentata di pari passo con la digitalizzazione dei servizi determinata dalla pandemia, al tempo stesso oggi più che mai sono necessarie risorse aggiuntive – come quelle disponibili nel contesto del PNRR – per arrivare a un ulteriore livello di rafforzamento del sistema nel suo complesso.