Titolo della tesi: Mercato, sicurezza e rischio informatico. Normazione e certificazione dei beni ICT per esigenze di cybersicurezza nel contesto europeo e nazionale
Le risorse informatiche sono un elemento essenziale per le democrazie. Tali strumenti non rappresentano solo il mezzo che consente agli individui di esprimere liberamente la propria personalità in nuove forme e modi tramite la rete ma, a livello tecnico, sono anche i parametri di configurazione e di funzionamento di molte infrastrutture che erogano servizi e funzioni essenziali per la società e l’economia (c.d infrastrutture critiche). Si pensi agli apparati informatici in uso presso gli operatori attivi nei settori bancario e finanziario, energetico, dei trasporti, delle comunicazioni, quello sanitario nonché quelli in dotazione presso le pubbliche amministrazioni e le varie istituzioni statali.
Questi strumenti sono ormai indispensabili sia per lo Stato in sè, sia per le sue componenti, prime fra tutte gli individui e le imprese. Ma, allo stesso tempo, sono anche responsabili di aver trasferito i rischi del cyberspazio nel mondo reale. La “rete globale” interconnessa si caratterizza per essere un sistema non concepito per obbedire a criteri di sicurezza, quanto piuttosto a quelli di libero accesso, interoperabilità e libero scambio delle informazioni. Principi questi che si scontrano oggi con le possibilità di dual use della rete e dei servizi informatici, tanto che qualcuno ha avvertito che oggi «ogni società è tanto vulnerabile quanto è vulnerabile l’informatica di cui fa uso» e pertanto «più le società sono avanzate, più sono vulnerabili».
Nonostante tale condizione - secondo cui “rischio informatico=rischio sociale” - porti in evidenza come la tutela e la garanzia dei diritti e delle libertà nell’attuale società tecnologica passi prima di tutto per la sicurezza delle reti e dei sistemi informatici, i poteri pubblici hanno volto l’attenzione verso questo fenomeno solo di recente (più o meno a partire dalla fine degli anni ‘90 del secolo scorso), a seguito della progressiva dipendenza degli Stati e delle infrastrutture all’informatica.
Non è un caso se le prime definizioni di cybersicurezza (cybersecurity), sicurezza informatica (computer security) e sicurezza delle informazioni (information security) hanno trovato formulazione all’interno del c.d. “diritto dei privati”, nello specifico in normative tecniche di settore.
La pretesa di sicurezza nel cyberspazio da parte degli Stati si scontra quindi con gli effetti derivanti da questo ritardo, in parte dovuto anche al fatto che l’oggetto della pretesa normativa, il cyberspazio per l’appunto, è un fenomeno globale privo di territorialità, e che ha rappresentato inizialmente un limite all’azione del potere pubblico che invece vanta «un’originaria necessità dei luoghi».
Considerato ciò, le domande a cui cerca di dare risposta questa ricerca, riprendendo quanto già dubitato da Ulrich Beck, sono «[c]hi ha il diritto legittimo di prendere le decisioni in casi del genere? O, più in generale, le decisioni in merito a tecnologie pericolose come saranno in grado di venir legittimate in futuro?». Ossia specifichiamo noi: la cybersicurezza quale branca della sicurezza tradizionale è ancora regolata dallo Stato con le norme giuridiche? che ruolo hanno le norme tecniche in questo settore? come sono formate? che rapporto hanno queste con le norme giuridiche dello Stato o dell’Unione europea? e quali garanzie?