Vulnerability disclosure e penetration testing: profili giuridici rilevanti per l’adozione di una politica nazionale conforme alla Direttiva NIS 2

Autori

  • Federico Niccolò Ricotta

DOI:

https://doi.org/10.32091/RIID0195

Parole chiave:

Crimini informatici, Vulnerabilità, Test di sicurezza, Recepimento NIS 2, Notizia di reato

Abstract

Il contributo analizza le principali questioni giuridiche connesse all’adozione di politiche di cosiddetta vulnerability disclosure, espressione con la quale si designa il processo di comunicazione e correzione delle falle nella sicurezza, e i cosiddetti penetration test, attività che simula un attacco informatico proprio allo scopo di far emergere le vulnerabilità nella sicurezza. Da un lato, l’interesse pubblico alla sicurezza cibernetica delinea gli oneri dei soggetti pubblici e privati per correggere, ma soprattutto comunicare le vulnerabilità; dall’altro, l’attività di penetration test, laddove sia condotta da soggetti diversi dal titolare del sistema, può costituire reato. Da qui, la ricerca di un possibile bilanciamento, che consenta di salvaguardare la sicurezza cibernetica attraverso la repressione penale degli illeciti commessi in quest’ambito, senza però disincentivare l’emersione di situazioni di vulnerabilità, attraverso la segnalazione da parte di quanti sono stati in grado di testare le fragilità dei sistemi informatici. Tale disamina sarà effettuata pure in prospettiva comparata, tenendo conto della soluzione adottata nella Repubblica Francese.

Biografia autore

  • Federico Niccolò Ricotta

    Dottore di ricerca in Procedura penale e assegnista di ricerca in Security and Rights in the Cyberspace

Riferimenti bibliografici

AgID (2022), Linee guida sull’accessibilità degli strumenti informatici dell’AgID, 21 dicembre 2022

G. Alpa et al. (2021), Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, in R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di), “Codice della privacy e data protection”, Giuffrè, 2021

E. Belisario, G.M. Riccio, G. Scorza (a cura di) (2022), GDPR e Normativa Privacy - Commentario, IPSOA, 2022

F. Blefari, M. Paier, A.P. Paliotta (2023), Educare alla sicurezza informatica: il ruolo delle scuole e del privato-sociale, in “AgendaDigitale”, 29 novembre 2023

L. Bolognini, E. Pelino (2024), Codice della disciplina privacy, Giuffrè, 2024

G. Busia, L. Ferola (2017), Il Garante per la protezione dei dati personali. Le funzioni, i rapporti con le altre Istituzioni ed Autorità in Italia e in Europa, in G. Busia, L. Liguori, O. Pollicino (a cura di), “Le nuove frontiere della privacy nelle tecnologie digitali”, Aracne, 2017

G. Carullo (2018), Gestione, fruizione e diffusione dei dati dell’amministrazione digitale e funzione amministrativa, Giappichelli, 2018

R. D’Orazio, G. Finocchiaro, O. Pollicino, G. Resta (a cura di) (2021), Codice della privacy e data protection, Giuffrè, 2021

Dipartimento per la trasformazione digitale (2022), Cybersicurezza e resilienza per la trasformazione digitale della PA, 2022

ENISA (2024), Implementing guidance. On Commission Implementing Regulation (EU) 2024/2690 of 17.10.2024 laying down rules for the application of Directive (EU) 2022/2555 as regards technical and methodological requirements of cybersecurity risk-management measures, October 2024

Garante per la protezione dei dati personali (2023-a), La Scuola a prova di privacy, 2023

Garante per la protezione dei dati personali (2023-b), Relazione annuale 2023

Garante per la protezione dei dati personali (1997), Titolare, responsabile, incaricato - Precisazioni sulla figura del “titolare”, doc. web n. 39785, 9 dicembre 1997

Gruppo di lavoro Articolo 29 (2017), Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento “possa presentare un rischio elevato” ai fini del regolamento (UE) 2016/679, 4 aprile 2017.

Gruppo di lavoro Articolo 29 (2017-a), Linee guida sui responsabili della protezione dei dati (RPD), 2017

C. Pisani, G. Proia, A. Topo (a cura di) (2022), Privacy e lavoro. La circolazione dei dati personali e i controlli nel rapporto di lavoro, Giuffrè, 2022

F. Pizzetti (a cura di) (2021), Protezione dei dati personali in Italia tra GDPR e codice novellato, Giappichelli, 2021

F. Pizzetti (2018), Delega per il GDPR, i punti forti e deboli: un primo giudizio, in “Agenda Digitale”, 23 agosto 2018

Sophos (2022), The State of Ransomware in Education 2022, 21 luglio 2022

A. Soro (2016), Liberi e connessi, Codice, 2016

Dowloads

Pubblicato

2024-12-19

Fascicolo

Anno 6 , fascicolo 2 (2024)

Sezione

Sezione monografica - Sicurezza e sorveglianza nella cybersocietà

Licenza

Copyright (c) 2024 Rivista italiana di informatica e diritto

Creative Commons License

Questo volume è pubblicato con la licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 4.0 Internazionale.

Come citare

[1]
Ricotta, F.N. 2024. Vulnerability disclosure e penetration testing: profili giuridici rilevanti per l’adozione di una politica nazionale conforme alla Direttiva NIS 2. Rivista italiana di informatica e diritto. 6, 2 (Dec. 2024), 81–92. DOI:https://doi.org/10.32091/RIID0195.