Las leyes de seguridad cibernética dedicadas son un fenómeno relativamente reciente en el sistema legal italiano.
Antes del auge de Internet y la tecnología informática a lo largo de los años ochenta y noventa, no existían disposiciones específicas. Para llenar este vacío, el gobierno italiano adoptó una serie de leyes y reglamentos, tanto de alcance sectorial como general.
Los más relevantes se enumeran cronológicamente a continuación.
Indice
Legislación
El marco legislativo italiano sobre ciberseguridad se basa en disposiciones generales aplicables tanto al sector público como al privado, así como la legislación secundaria y las herramientas de derecho flexible utilizadas a nivel de la industria (por ejemplo, banca, marketing, big data y seguros).
Estos pueden ser adoptados o revisados por reguladores independientes competentes. Además, el RGPD trajo importantes innovaciones en el campo de la ciberseguridad tanto para las entidades públicas como privadas a partir del 25 de mayo de 2018.
Ley 547/1993, que modifica las disposiciones del Código Penal y el Código de Procedimiento Penal con respecto a los delitos informáticos y cibernéticos
Esta ley introdujo nuevas categorías de delitos y castigos para proporcionar herramientas de aplicación más efectivas a las autoridades policiales y judiciales.
Ley 675/1996, que implementa la Directiva 95/46 / CE
En esta ley se introducen disposiciones sobre privacidad y seguridad de los datos también relevantes para la resiliencia cibernética. Y creó la Autoridad Italiana de Protección de Datos.
Esto fue seguido por la Ley 269/1998, que instituyó una fuerza policial encargada de la misión de combatir el delito cibernético, el fraude en Internet y la pornografía infantil en línea (la Policía Postal).
Directiva gubernamental de 16 de enero de 2002 sobre seguridad de la información y las telecomunicaciones para las administraciones públicas
Aquí se subraya por primera vez el valor estratégico de los activos de datos y la necesidad de protegerlos adecuadamente en las redes públicas de TI.
Decreto Legislativo 196/2003, el Código de Protección de Datos
En él se derogan las disposiciones de la Ley 675/1996 relativas a la seguridad del procesamiento de datos personales de organismos privados y públicos. Actualmente, el Código de Protección de Datos y su Anexo B representan dos de las principales fuentes de obligaciones de ciberseguridad en el sistema legal italiano.
Decreto Legislativo 259/2003 (el Código de Comunicaciones Electrónicas)
Introdujo la red de equipos informáticos de respuesta a emergencias (CERT).
Los CERT están compuestos por entidades institucionales y privadas encargadas de la tarea de asistencia técnica y cooperación en el campo de la seguridad cibernética y la resistencia cibernética de las infraestructuras críticas y los servicios esenciales. Por ejemplo, telecomunicaciones, atención médica, banca, finanzas, energía y transporte.
Decreto Legislativo 82/2005 (el Código de Administración Digital)
Fortaleció las disposiciones sobre las obligaciones de seguridad cibernética y de datos que deben implementar las administraciones públicas, a la luz de una mayor ola de digitalización de los sectores públicos. También introdujo el Equipo de Respuesta de Emergencia Informática de la Administración Pública (CERT-PA).
En el mismo año, la Ley 255/2005 creó el centro estratégico nacional para las amenazas cibernéticas en el Ministerio del Interior y lo colocó bajo la dirección, el control y la coordinación de la Policía Postal, a la que luego se le otorgaron más poderes de aplicación.
Ley Núm. 124 de 3 de agosto de 2007, que estableció el Sistema de Información para La seguridad de la República
Esta ley surge para enfrentar los cambios social-nacionales y político-internacionales y los nuevos desafíos económicos, cibernéticos y energéticos. Todo el aparato de inteligencia nacional se sometió a un profundo proceso de reforma bajo la misma.
Dentro de él, bajo la supervisión general del Presidente del Consejo de Ministros, responsable del nombramiento de directores y subdirectores de cada agencia, y con la coordinación del Departamento de Información para la Seguridad (DIS), operan varias instituciones diferentes, tales como como la Agencia de Información y Seguridad Externa y la Agencia de Información y Seguridad Interna, así como el Comité Interministerial para la Seguridad de la República (CISR).
Ley 48/2008 de ratificación del Convenio de Budapest sobre Cibercrimen de 2001
A la luz de las crecientes preocupaciones en torno a la ciberseguridad y las amenazas cibernéticas a nivel internacional, se ratifica el Convenio de Budapest y se actualiza el Código de Protección de Datos y el Decreto Legislativo 231/2001 sobre responsabilidad penal corporativa, mediante la introducción de referencias específicas a delitos informáticos y cibernéticos.
Esto marcó un punto de inflexión para la legislación de ciberseguridad en Italia. Desde entonces, se han adoptado muchas más disposiciones, decretos ministeriales y herramientas de ley blanda para crear conciencia sobre la seguridad cibernética tanto en el sector privado como en el público.
Decreto Legislativo 83/2012, que establece la Agencia Digital Italiana (AgID) y la Ley 133/2012
Esta última modificó la Ley 124/2007 que otorga poderes extendidos sobre las infraestructuras críticas nacionales a los cuerpos de inteligencia cibernética (por ejemplo, el poder del Presidente del Consejo de Ministros, habiendo escuchado a la CISR, para adoptar directivas específicas para fortalecer las actividades de información para la protección de material crítico e infraestructuras inmateriales), con especial atención a la protección cibernética y la ciberseguridad nacional.
Por lo tanto, el gobierno adoptó varios planes nacionales de ciberseguridad, destinados a desarrollar exponencialmente las capacidades de respuesta a incidentes informáticos integradas a nivel nacional, también sobre la base de las recomendaciones de la Agencia de la Unión Europea para la Seguridad de las Redes y la Información.
Decreto de 2017 del Presidente del Consejo de Ministros (el Decreto de Ciberseguridad)
Establece ‘Directrices estratégicas para la protección nacional del ciberespacio y la seguridad de las TIC’, actualizando el marco regulatorio existente para reemplazar el antiguo Decreto del Presidente del Consejo de Ministros de 24 de enero de 2013. A través de esta ley, el gobierno ha innovado y fortalecido profundamente la estrategia nacional de ciberseguridad.
Plan Nacional para la protección del ciberespacio y la seguridad de las TIC
En marzo de 2017, la Presidencia del Consejo de Ministros adoptó este Plan que identifica las pautas operativas, los objetivos a perseguir y las líneas de acción que se llevarán a cabo para dar una implementación completa del mismo.
Con este documento adicional, Italia adoptó una estrategia integrada para activar la participación tanto de los actores públicos y privados identificados en el Marco Estratégico Nacional como de todos aquellos que, a diario, hacen uso de las modernas tecnologías de las TIC.
Decreto Legislativo 2018/65 para la implementación de la Directiva NIS
Este alinea el sistema legal italiano con los desarrollos legislativos más recientes sobre ciberresiliencia que tienen lugar a nivel europeo.
En particular, el Decreto italiano de la Directiva NIS ha establecido las autoridades competentes italianas o los equipos de respuesta a incidentes de seguridad informática (CSIRT) con las funciones del CERT nacional y el CERT-PA.
El CSIRT contará con la asistencia del DIS, designado por el Decreto italiano de la Directiva NIS como ‘puntos de contacto únicos’ en virtud del artículo 8 de la Directiva NIS, que representa el enlace entre las autoridades de los Estados miembros y las autoridades competentes italianas.
Mientras esperan que el gobierno defina la organización y el funcionamiento del CSIRT, el CERT nacional y el CERT-PA deberán mejorar sus actividades respectivas para cooperar para llevar a cabo conjuntamente las funciones y el papel del CSIRT.
Decreto Legislativo 101/2018 modificó el Código de Protección de Datos de Italia
Para alinear las disposiciones nacionales de protección de datos con el RGPD, el Decreto Legislativo 101/2018 modificó el Código de Protección de Datos de Italia al derogar diferentes disposiciones incompatibles con aquel, incluido el Anexo B del Código de Protección de Datos que preveía una serie de medidas específicas para la seguridad de los datos y destinado a proteger los activos de datos e información de manera general.
Sectores más afectados por la regulación de ciberseguridad
Según informes recientes, las amenazas de ciberseguridad a menudo involucran a la salud, la banca, las finanzas, las telecomunicaciones y las infraestructuras críticas. Esta tendencia ha crecido exponencialmente en las últimas décadas, ya que se complementó con la necesidad de enfrentar ciberataques más sofisticados tanto a personas físicas como jurídicas.
Según lo informado por el Libro titulado ‘El futuro de la ciberseguridad en Italia: áreas de enfoque estratégico’ publicado en mayo de 2018 por el Laboratorio Nacional de Seguridad Cibernética del Consorcio Interuniversitario Nacional de Informática (CINI), el Banco de Italia estimó que entre septiembre de 2015 y septiembre de 2016, el 45% de las empresas nacionales se vieron afectadas por algún tipo de ataque.
Quienes tienen más riesgo son las grandes empresas, exportadores y operadores que trabajan en un sector con intensidad tecnológica de alta gama.
Definición de ciberseguridad y cibercrimen
Hasta el momento de la aprobación del Decreto de 24 de enero de 2013, reemplazado en 2017 por el Decreto de Ciberseguridad, no había una definición de ciberseguridad y cibercrimen en el sistema legal italiano, ni en el estatuto ni en la jurisprudencia.
En cualquier caso, dado que Italia ratificó el Convenio de Budapest sobre Cibercrimen mediante la Ley 48/2008, los términos para identificar conductas ilícitas relevantes para los delitos informáticos utilizados de ese modo se consideraron ampliamente los mismos según la ley italiana.
Después de la adopción de los Decretos antes mencionados, este escenario ha cambiado. Se ha introducido una definición de seguridad de red y sistemas de información.
Decreto de Ciberseguridad
El Decreto de Ciberseguridad establece que la ciberseguridad es la condición en la que el ciberespacio está protegido mediante la adopción de medidas de seguridad físicas, logísticas y de procedimiento, con respecto a eventos, ya sean deliberados o accidentales, que consisten en el acceso, transferencia, modificación, destrucción, control ilícito, daño o bloqueo del funcionamiento regular de redes y sistemas de información y sus elementos esenciales.
Además, el Decreto italiano de la Directiva NIS define la ‘seguridad de la red y los sistemas de información’ de acuerdo con la definición dada por la Directiva NIS, como la capacidad de los sistemas de red e información para resistir, en un nivel dado de confianza, cualquier acción que comprometa la disponibilidad, autenticidad, integridad o confidencialidad de los datos almacenados o transmitidos o procesados o los servicios relacionados ofrecidos por, o accesibles a través de, esa red y sistemas de información.
Código de Protección de datos
En relación a la protección de datos, se establece que los responsables y encargados del tratamiento deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Al evaluar el nivel apropiado de seguridad, deben considerarse los riesgos que supone el tratamiento. Sobre todo la destrucción ilegal o accidental, alteración, pérdida, comunicación no autorizada o acceso a los datos personales transmitidos, almacenados o procesados de otra manera.
A pesar de que el RGPD y el Código de Protección de Datos solo se aplican a los datos personales, sus disposiciones reconocen la importancia de proteger los activos de información de todo tipo con la única consideración de su vulnerabilidad y nivel de sensibilidad. Por lo tanto, los principios mencionados de protección de datos en los procesos de seguridad pueden considerarse un estándar de ciberseguridad.
Como observación final, con respecto a la seguridad del sistema de información y la aplicación del delito cibernético, se podría decir que la distinción entre ambos es de naturaleza técnica y legal según la ley italiana.
Por un lado, el primero se refiere a los requisitos de TI que se implementarán de acuerdo con las leyes y regulaciones cibernéticas aplicables (por ejemplo, disposiciones y principios del RGPD). Por otro lado, la aplicación de la ciberdelincuencia se delega a las autoridades reguladoras, policiales y judiciales competentes caso por caso.
Obligaciones de las empresas en materia de ciberseguridad
Los requisitos de seguridad relevantes para las diferentes categorías de datos no son infrecuentes según las leyes italianas de protección de datos y ciberseguridad.
Sin embargo, una de las distinciones más relevantes a tener en cuenta es la que existe entre información personal y no personal.
En el primer caso, siempre se aplicarán datos específicos y más robustos y protección cibernética. Mientras que, en el segundo, los requisitos pueden variar según el tipo o el valor de la información involucrada (por ejemplo, relacionada con los derechos de propiedad intelectual).
No obstante, los proveedores de servicios digitales identificarán y tomarán las medidas técnicas y organizativas adecuadas para gestionar los riesgos relacionados con la seguridad de la red y los sistemas de información que utilizan.
Con referencia a los datos personales, en cambio, la normativa no indica las medidas mínimas de seguridad que deben adoptar los controladores o procesadores. Prescribe genéricamente que estos deben implementar técnicas y procedimientos apropiados para garantizar un nivel de seguridad adecuado al riesgo.
La responsabilidad de autoevaluar y garantizar su efectividad solo dependerá de los controladores de datos, bajo su propio riesgo.
A pesar de esta falta de prescripción normativa sobre medidas mínimas de seguridad en materia de ciberseguridad, se deben mencionar las herramientas de leyes destinadas a reducir los riesgos tanto en el sector público como privado.
Sector privado
Con referencia al sector privado, en 2016 se adopta el Marco Nacional de Seguridad Cibernética, que proporciona una lista de controles esenciales de ciberseguridad que pueden ser adoptados e implementados por medianas y pequeñas empresas.
Las medidas enumeradas incluyen, entre otras, las siguientes:
- los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización alcanzar los objetivos comerciales se identifican para administrar estos recursos según su importancia para los objetivos comerciales y la estrategia de riesgo de la organización;
- los servicios otorgados por terceros se minimizan para limitarlos a los estrictamente necesarios;
- se adoptan políticas, procedimientos y procesos para administrar y monitorizar los requisitos regulatorios, legales, de riesgo, ambientales y operativos de la organización;
- los empleados son seleccionados y nombrados de acuerdo con sus respectivos roles en sistemas de TI y gestión de riesgos;
- todos los dispositivos y sistemas usados por los empleados tienen herramientas y software para seguridad y protección de datos actualizados automáticamente;
- cada individuo deberá acceder solo a la información necesaria para ejecutar el rol relevante en la empresa, de acuerdo con autorizaciones específicas;
- La capacitación básica del personal sobre los riesgos de ciberseguridad se realiza de acuerdo con un plan y un horario establecidos y con la ayuda de técnicas y herramientas de capacitación apropiadas;
- el respaldo y la restauración de datos se realizan y se prueban regularmente mediante el uso de soluciones tecnológicas específicas que automatizan las principales actividades requeridas;
- los usuarios usan contraseñas robustas y actualizadas con frecuencia;
- la protección perimetral de las redes se obtiene a través de soluciones apropiadas de hardware y software; y
- La respuesta a los eventos de seguridad cibernética se lleva a cabo mediante el establecimiento de un procedimiento de la compañía, comunicado a todas las partes involucradas.
Sector público
Con respecto al sector público, la Circular de AgID de fecha 18 de abril de 2017 contiene ‘Medidas mínimas de seguridad de las TIC para las administraciones públicas’.
Por lo tanto, AgID ha identificado las medidas mínimas de seguridad de las TIC que las administraciones públicas deben implementar para combatir las ciberamenazas más frecuentes que surgen en la administración pública italiana.
Principales ciberactividades penalizadas
Los delitos cibernéticos que son relevantes para las organizaciones pueden rastrearse en dos leyes particulares:
- Decreto Legislativo 231/2001 sobre responsabilidad penal corporativa
- Código de Protección de Datos.
El primero incluye disposiciones específicas sobre delitos informáticos y cibernéticos realizados por representantes de organizaciones, o sujetos bajo la autoridad de estos últimos, así como el régimen de sanciones correspondiente.
En particular, el principio general aplicable a las organizaciones por delitos cibernéticos que han cometido, directa o indirectamente, es que la responsabilidad penal es siempre personal. Mientras que la responsabilidad corporativa tiene un carácter administrativo que afecta a la organización en su conjunto mediante multas o sanciones.
Los siguientes son algunos ejemplos de los delitos cibernéticos más frecuentes disciplinados por el Código Penal italiano:
- acceso ilegal a un sistema de información;
- detención y difusión de códigos de acceso a sistemas informáticos o telemáticos;
- difusión de equipos, dispositivos o programas informáticos destinados a dañar o interrumpir un sistema informático o telemático;
- vigilancia ilegal por medio del sistema de información; y
- Daño de software, información, datos, programas informáticos, sistemas telemáticos.
El Código de Protección de Datos establece sanciones penales en casos de:
- procesamiento ilegal de datos personales;
- comunicación ilícita y difusión de datos personales procesados a gran escala;
- adquisición fraudulenta de datos personales que se procesan a gran escala;
- falsedad en las declaraciones a la Autoridad de Protección de Datos;
- interrupción de la ejecución de las tareas o ejercicio de los poderes de la Autoridad de Protección de Datos; y
- incumplimiento de las disposiciones de la Autoridad de Protección de Datos.
Finalmente, el Decreto italiano sobre la Directiva NIS establece multas administrativas para los operadores de servicios esenciales que actúen en violación de sus disposiciones.
Recomendaciones en materia de ciberseguridad
A partir de hoy, los operadores de empresas y del sector privado pueden referirse a las mejores prácticas de la industria.
Sin embargo, las administraciones públicas generalmente confían en las indicaciones de los CERT nacionales, el conjunto de pautas específicas del sector de la Agencia Digital Italiana (AgID) u otras herramientas similares de leyes blandas destinadas a reducir los riesgos para computadoras y redes, de conformidad con los estatutos aplicables sobre ciberseguridad.
Se ha observado que el Decreto italiano de la Directiva NIS ha establecido el CSIRT italiano para reemplazar el CERT nacional y el CERT-PA, cuyas funciones y organización se describirán en un próximo decreto gubernamental.
A pesar de esto, se puede decir que el sistema legal italiano no tiene conocimiento de ninguna protección de seguridad cibernética adicional que vaya más allá de lo prescrito obligatoriamente por las leyes y reglamentos vigentes.
Cooperación entre el Gobierno y el sector privado
El Decreto italiano de la Directiva NIS ha designado al DIS como el ‘único punto de contacto que representa el enlace entre las autoridades de los Estados miembros y las autoridades competentes italianas para garantizar la cooperación transfronteriza en materia de seguridad de redes y sistemas de información.
El Decreto italiano de la Directiva NIS también ha establecido el CSIRT italiano para reemplazar el CERT nacional y el CERT-PA, cuyas funciones y organización se describirán en un próximo decreto gubernamental.
Mientras esperan que el gobierno defina la organización y el funcionamiento del CSIRT, el CERT nacional y el CERT-PA deberán mejorar sus actividades respectivas para cooperar para llevar a cabo conjuntamente las funciones y el papel del CSIRT.
CERT, que opera sobre la base de un modelo cooperativo público-privado, apoyando a ciudadanos y empresas a través de acciones para crear conciencia, prevención y coordinación de las respuestas a eventos cibernéticos a gran escala, ha presentado un ejemplo significativo de cómo el gobierno y el sector privado pueden cooperar en el campo de la ciberseguridad, especialmente con respecto a la ciberresiliencia de la infraestructura crítica y los servicios esenciales.
Sin embargo, no existe una forma particular de desarrollar asociaciones o colaboraciones públicas y privadas.
En este sentido, el Decreto de Ciberseguridad también ha mejorado dicha colaboración al fortalecer el vínculo entre los CSIRT, el gobierno y las agencias de inteligencia interna en la gestión de incidentes cibernéticos. Y redactando mejores prácticas y procedimientos, también aplicables al sector privado.
Autoridades italianas en materia de ciberseguridad
Las autoridades NIS competentes son responsables de la implementación del Decreto italiano de la Directiva NIS con respecto a los sectores mencionados en el Anexo II y a los servicios enumerados en el Anexo III del Decreto. Y supervisan la aplicación del Decreto a nivel nacional, ejerciendo también los poderes de investigación relacionados e imponiendo sanciones administrativas.
Por lo tanto, la monitorización del cumplimiento de los estándares de seguridad de la información desde un punto de vista regulatorio se asigna a varios organismos de inteligencia pública que operan en diferentes campos y se conectan en red para aumentar la resiliencia cibernética y la seguridad de los datos a nivel nacional.
En cambio, las autoridades competentes para enjuiciar a los delitos cibernéticos relevantes suelen identificarse como órganos judiciales y policiales. Como la Policía Postal mencionada anteriormente o los tribunales penales y civiles territoriales competentes.
Sus poderes de ejecución, toma de decisiones y de investigación pueden solicitarse previa solicitud o activarse de oficio.
Desde una perspectiva de protección de datos, la Autoridad Italiana de Protección de Datos puede hacer cumplir las disposiciones del RGPD y el Código de Privacidad italiano que imponen las sanciones pertinentes.
Sanciones
Las sanciones generalmente se identifican con multas administrativas y pueden variar según el tipo de incumplimiento ocurrido. El Decreto italiano de la Directiva NIS establece multas administrativas para los operadores de servicios esenciales que actúen en violación de las disposiciones del mismo.
Las multas pueden ser más ligeras en el caso de incidentes cibernéticos que resultan en una violación de datos no personales.
Por el contrario, las sanciones por incumplimiento de los requisitos de ciberseguridad que involucran datos personales pueden ser más severas.
En estos últimos casos, la Autoridad Italiana de Protección de Datos sería la autoridad competente a cargo de emitir multas administrativas de acuerdo con el Código de Protección de Datos. Dichas multas también pueden centrarse en entidades que operan industrias específicas del sector público o privado.
Además de lo anterior, los fallos de ciberseguridad también pueden establecer la premisa para la compensación judicial por responsabilidad extracontractual.
Como observación final, las sanciones penales también pueden surgir en el caso de fallos graves de seguridad cibernética que equivalen a delitos penales, como en el caso de abuso de acceso a los sistemas de información o eventos similares.
En estos casos, aunque todavía se aplicaría el principio de responsabilidad penal personal, la entidad legal responsable en beneficio de la ventaja por la cual se cometió el delito también puede estar sujeta a sanciones, principalmente de naturaleza administrativa (como multas o incautación de activos).
Ejemplos de ciberataques
Italia es un país que no se encuentra al margen de los ataques informáticos. Vamos a ver algunos de los más relevantes.
Ciberataque al sector público italiano
En noviembre de 2018 salió a la luz un potente ataque al corazón del sector público de Roma. El ataque fue dirigido a un servidor de la capital que maneja cuentas de correo electrónico certificadas para la administración pública.
Piratas informáticos desconocidos obtuvieron acceso a miles de cuentas de correo electrónico italianas certificadas, incluidas las de magistrados y funcionarios de seguridad, en un importante ataque cibernético.
Los correos electrónicos certificados garantizan la validez de la identidad del remitente, así como la fecha y hora de envío y recepción del correo electrónico, lo que le otorga un estatus legal claro.
Como resultado del ataque cibernético, se suspendió el sistema informático utilizado por los tribunales de apelación de Italia y se instó a los italianos con cuentas de correo electrónico certificadas a cambiar sus contraseñas de inmediato.
Hackeo al Ministerio de Relaciones Exteriores italiano
El Ministerio de Relaciones Exteriores italiano, numerosas embajadas y consulados de Italia en el exterior, ha sido hackeados y espiados durante más de cuatro meses en el transcurso del año pasado.
Entre los afectados están diplomáticos y funcionarios, cuyos correos electrónicos y otros documentos sobre sus encuentros con oficiales de otros países han sido filtrados por la acción de los hackers.
Los sistemas de seguridad italianos también habrían bloqueado el acceso a la información encriptada del Ministerio, donde se encuentran los datos más confidenciales y clasificados. No obstante, los piratas sí se habrían hecho con varios datos contenidos en sistemas menos seguros, los cuales fueron atacados a través de un código malware.