CNIL: Linee guida per la cybersecurity dei comuni

La cybersecurity dei comuni in Francia

In un contesto globale di dipendenza dai sistemi digitali sempre più complessi, le recenti minacce informatiche assumono una priorità per il settore privato e pubblico. Nel dettaglio, alla luce di quanto riportato dall’Europol, la cui finalità è la repressione della criminalità organizzata internazionale, i gruppi della criminalità organizzata hanno reclutato hackers per fenomeni di phishing, social engineering, e SIM swapping. Pertanto, il reclutamento di queste figure sta diventando una pratica sempre più utilizzata[1] e risulta di fondamentale importanza una conoscenza del quadro nel rispettivo paese.

A tal proposito, in Francia il “Cybermalveillance.gouv.fr”, quale programma governativo che svolge un ruolo di sensibilizzazione, prevenzione e sostegno in termini di sicurezza digitale tra la popolazione francese, ha condotto un sondaggio alla fine del 2021. Più precisamente, sono state coinvolte le comunità con meno di 3.500 abitanti, che rappresentano il 91% dei comuni francesi. L’obiettivo della ricerca è la comprensione del livello di digitalizzazione, l’analisi delle vulnerabilità ed esaminare le esigenze che caratterizzano i vari comuni.

Come si evince dal report il 77% dei comuni che hanno aderito a tale ricerca non dispone di un responsabile IT e di conseguenza esternalizza la gestione di tale reparto. In aggiunta, il 65% degli enti locali ritiene che il rischio nel cyberspazio sia basso o inesistente, solamente il 35% considera il rischio di un cyber attacco molto alto, ma si interroga al tempo stesso sui mezzi per mitigare tale fenomeno come il budget a disposizione, le risorse umane competenti in materia e gli strumenti efficienti a disposizione[2].

Pertanto, dallo studio emerge che gli intervistati non sono a conoscenza del quadro normativo in vigore in Francia e in Europa, ad eccezione del General Data Protection Regulation (GDPR), in vigore dal 2016.

Inoltre, giova ricordare che nell’ultimo periodo in Francia gli enti locali hanno assunto le vesti di target da parte dei cyber criminali i cui effetti si sono riversati su tutta la comunità. Per tale ragione, nel settembre 2020 il governo francese, con l’obiettivo di rilanciare l’economia colpita dalla crisi sanitaria legata alla pandemia di Covid-19 e favorire lo sviluppo dei settori emergenti, ha varato il piano “France Relance”, il quale presta particolare attenzione al tema della cybersecurity dei comuni, con un fondo di 136 milioni di euro. Più precisamente, l’obiettivo è rafforzare la “sicurezza delle amministrazioni, delle comunità, delle istituzioni sanitarie e degli enti pubblici, rafforzando al contempo l’ecosistema industriale francese”.

In data 4 luglio 2022, il “Cybermalveillance.gouv.fr”, in collaborazione con il “Commission Nationale de l’Informatique et des Libertés” (CNIL), l’Autorità Garante della protezione dei dati francese, offre una nuova guida la cui finalità è informare gli eletti locali e gli agenti territoriali sugli obblighi e le responsabilità delle autorità locali e dei loro esercizi pubblici in materia di cybersecurity[3].

Linee guida: obblighi e responsabilità

Nell’esercizio delle loro competenze e nei rapporti con i cittadini, gli enti locali e le loro strutture pubbliche sono tenuti a rispettare determinati obblighi:

  • Obblighi relativi alla protezione dei dati personali;
  • Obblighi relativi all’implementazione di servizi elettronici locali;
  • Obblighi relativi all’hosting dei dati sanitari.

In merito alla protezione dei dati personali non si può non tener conto dei numerosi dati che gli enti locali devono trattare sia per uso interno, come gli uffici di risorse umane e la videosorveglianza, ma anche per uso esterno, come lo stato civile, le liste elettorali e le iscrizioni scolastiche.

Come si evince dall’art. 37 del General Data Protection Regulation (GDPR), ogni ente locale o istituzione pubblica locale, indipendentemente dalle sue dimensioni, è tenuto a nominare un responsabile della protezione dei dati o data protection officer (DPO).

Inoltre, l’obbligo di protezione dei dati personali da parte degli enti locali implica che tre passaggi chiave per un trattamento conforme alla normativa europea:

  1. Valutazione d’impatto sulla protezione dei dati: nell’ipotesi in cui un trattamento possa generare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento è obbligato ad effettuare una valutazione d’impatto delle operazioni previste;
  2. Elaborazione dei dati: le autorità locali sono obbligate ad implementare misure di sicurezza adeguate ai possibili rischi che potrebbero colpire i dati personali. In aggiunta, vi è l’obbligo di utilizzare e conservare i dati personali solo nella misura strettamente necessaria, in conformità al principio di minimizzazione. Tuttavia, il trattamento deve basarsi su almeno una delle possibili basi giuridiche previste dal GDPR: consenso al trattamento, esecuzione di un contratto, obbligo legale, salvaguardia di interessi vitali dell’interessato, legittimo interesse. Inoltre, qualsiasi data breach deve essere segnalato al “Commission Nationale de l’Informatique et des Libertés” (CNIL) entro 72 ore se comporta un rischio per i diritti e le libertà degli interessati;
  3. Conservazione e archiviazione dei dati: la durata della conservazione dei dati deve essere proporzionata e adeguata alle finalità del trattamento e deve essere annotata nel registro del DPO per ogni trattamento interessato.

Le misure di sicurezza da adottare sono le seguenti:

  • proteggere le postazioni di lavoro (antivirus, EDR);
  • protezione degli elementi di rete (firewall, proxy);
  • aggiornamento regolare e continuo dei sistemi e dei software utilizzati;
  • l’implementazione di backup regolari e regolarmente testati;
  • l’implementazione di un sistema di autenticazione degli utenti affidabile e robusto;
  • crittografia dei flussi di rete su Internet (tramite HTTPS);
  • la definizione di una politica di autorizzazione chiaramente definita per limitare l’accesso ai dati;
  • impostare i registri delle connessioni e monitorarli per rilevare una compromissione.

Successivamente, in relazione agli obblighi relativi all’implementazione di servizi elettronici locali, giova ricordare che a partire da 5000 euro di entrate annuali, la fornitura di servizi di pagamento online agli utenti da parte delle autorità locali è obbligatoria. I servizi telematici comprendono tutti i servizi offerti dai mezzi di comunicazione elettronici che consentono agli utenti di richiedere un servizio, fare una dichiarazione, richiedere un’autorizzazione o pagare un servizio. Tutti i servizi elettronici offerti dagli enti locali devono soddisfare i requisiti del “Référentiel Général de Sécurité” (RGS), emanato con il Decreto n. 112/ 2010.

In aggiunta, i comuni, nel corso di attività di prevenzione, diagnosi, cura o monitoraggio sociale e medico-sociale, hanno l’obbligo di trattare i dati sanitari. Questi ultimi possono essere ospitati direttamente dalla struttura interessata o esternalizzati a un fornitore di servizi. Le attività di esternalizzazione ad un fornitore terzo sono soggette a requisiti di certificazione preventiva rilasciata da un organismo di certificazione approvato.

Come già segnalato, le conseguenze di cyber attacchi possono ricadere su un’intera comunità, causando danni ai cittadini ad esempio, un incidente dovuto a un malfunzionamento del sistema di segnalazione o di illuminazione pubblica, ma anche danni economici diretti o indiretti, rispettivamente costi relativi alla riconfigurazione del sistema informativo interessato o l’indisponibilità di strutture pubbliche: museo, piscina comunale o biblioteca.

Pertanto, alla luce di quanto evidenziato, il “Commission Nationale de l’Informatique et des Libertés” (CNIL) ha richiamato le diverse tipologie di responsabilità legali a cui sono esposti i comuni in caso di attacchi informatici:

  1. Responsabilità amministrativa: in tale categoria rientrano le sanzioni amministrative dell’Autorità Garante della protezione dei dati francese il cui importo delle sanzioni pecuniarie può arrivare a 20 milioni di euro o al 4% del fatturato. Inoltre, è presenta la “responsabilità per colpa”, in forza del quale i cittadini possono ritenere l’amministrazione responsabile per colpa quando non ha adempiuto ai suoi obblighi e l’inadempienza ha causato loro un danno diretto o indiretto. Infine, quando i cittadini subiscono un danno a causa della mancanza di manutenzione di una struttura o di un’opera pubblica, in virtù del principio della responsabilità amministrativa per danni alle opere pubbliche, il comune può essere condannato a risarcire il danno subito dai cittadini;
  2. Responsabilità civile: è possibile l’ipotesi in cui via sia un accumulo di colpe nell’esercizio delle funzioni e di conseguenza una responsabilità civile personale dei rappresentanti eletti e dei funzionari pubblici, anche in caso di cyber attacchi;
  3. Responsabilità penale: la responsabilità penale del personale e dei rappresentanti eletti degli enti locali e delle loro strutture pubbliche può derivare dalla violazione delle norme relative alla protezione dei dati personali, ma anche dalla commissione di atti imprudenti o negligenti.

Conclusioni

È ormai evidente come lo sviluppo di una cyber postura europea sia di riflesso un obiettivo che ogni paese vuole raggiungere nel medio-lungo termine. Pertanto, la condivisione di tali Linee guida dimostra il grande interesse che il “Commission Nationale de l’Informatique et des Libertés” (CNIL) pone per costruire un cyber spazio sicuro e affidabile, coinvolgendo i comuni tramite un percorso di formazione culturale.

Note

[1] World Economic Forum, Global Cybersecurity Outlook 2022, available at https://www3.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2022.pdf.

[2] Cybermalveillance.gouv.fr, La cybersécurité dans les collectivités de moins de 3 500 habitants: résultats détaillés, April 2022.

[3] Cybermalveillance.gouv.fr, Guide obligations et responsabilités des collectivités locales en matière de cybersécurité, July 2022.

Articolo a cura di Luca Barbieri

Profilo Autore

Luca Barbieri è laureato in Giurisprudenza presso l’Università Luiss Guido Carli con tesi intitolata “From cyber espionage to cyber warfare: a criminal comparative analysis between Italy, USA and China”, nella materia di Diritto Penale, con il Prof. Gullo.
Durante l’Exchange Program, presso la Beijing Normal University di Pechino, ha sostenuto numerosi esami di diritto cinese e cyber security.
Inoltre, ha conseguito il corso “Big data, artificial intelligence e piattaforme. aspetti tecnici e giuridici connessi all’utilizzo dei dati e alla loro tutela” presso l’Università degli Studi di Milano ed il Master universitario di secondo Livello in “Responsabile della protezione dei dati personali: Data Protection Officer e Privacy Expert” presso l’Università Roma Tre, con tesi intitolata “Cybersecurity: sistemi di Intelligenza artificiale a protezione delle reti e delle infrastrutture critiche”, con il Relatore Prof. Avv. Aterno.
Attualmente collabora in uno studio legale specializzato in privacy, cybersecurity e TMT occupandosi di tematiche relative alla privacy e alla data protection, fornendo assistenza legale nelle attività di compliance al GDPR.

Condividi sui Social Network:

https://www.ictsecuritymagazine.com/articoli/cnil-linee-guida-per-la-cybersecurity-dei-comuni/




Google must pay €50 million for GDPR violations, France says

Exterior of Google office building.
Enlarge / Google’s main headquarters.
Cyrus Farivar

Google has been fined €50 million (~$57 million) by French regulators, the first major penalty under a sweeping new European Union privacy law known as GDPR, which took effect last year.

According to the French government agency, known by the acronym CNIL, Google is still in breach of the law.

CNIL explained that Google had violated two provisions of the law: first by not making its data-collection policies easily accessible enough and second by not obtaining sufficient and specific user consent for ad personalization across each of Google’s numerous services, including YouTube, Google Maps, and more.

“It is not a one-off, time-limited, infringement,” the agency said Monday.

The two complaints were filed jointly on the day the law went into effect by the French digital advocacy group La Quadrature du Net and the group Noyb.eu, a watchdog organization started by Max Schrems. The young Austrian privacy activist has been tangling with Silicon Valley giants—notably Google and Facebook—for years.

“Following the introduction of GDPR, we have found that large corporations such as Google simply ‘interpret the law differently’ and have often only superficially adapted their products,” Schrems said in a statement. “It is important that the authorities make it clear that simply claiming to be compliant is not enough.”

Noyb, an English acronym for “None of your business,” has also filed related complaints against Instagram, WhatsApp, and Facebook, which remain pending.

Google did not immediately respond to Ars’ request for comment, but it told The Washington Post in a statement that it is “deeply committed to meeting those expectations and the consent requirements of the GDPR.”

https://arstechnica.com/?p=1444181