A distanza di quasi due anni dall’entrata in vigore –il 22 marzo 2022 – del Decreto-legge n. 21, del 21 marzo 2022, che trattava delle “Misure urgenti per contrastare gli effetti economici e umanitari della crisi ucraina”, facciamo il punto sulla situazione.
Decreto-legge su Kaspersky: via dalla Pubblica amministrazione
Il Decreto, in sostanza, si occupa di tutte quelle materie e quegli ambiti strettamente connessi, per non dire interdipendenti, alla sfera di influenza/dipendenza nei confronti della Federazione Russa.
E che la Federazione Russa stia dando qualche grattacapo è fuori questione, ma non è questa la sede per vaneggiare dibattiti politici; ci limiteremo ad esporre le novità, ancora poco chiare e dai contorni indefiniti, che da oggi investono il settore cyber legato, più meno intimamente, a detti ambienti.
Perché Kaspersky è stato vietato dalla legge nelle PA?
Il nostro interlocutore diventa quindi il Titolo IV del Decreto in esame, che disciplina il “Rafforzamento dei presidi per la sicurezza, la difesa nazionale e per le reti di comunicazione elettronica”.
Il legislatore ha voluto mettere “in sicurezza” alcuni ambiti che, stante lo stato di guerra in cui versa la Russia, potrebbero risentire di un concreto disservizio.
Nello specifico, il Capo II si occupa della “Cybersicurezza delle reti, dei sistemi informativi e dei servizi informatici e approvvigionamento di materie prime critiche”, stabilendo all’art. 29 che, in ottica della prevenzione di qualsivoglia pregiudizio in capo alle amministrazioni pubbliche in riferimento a servizi di aggiornamento di prodotti e servizi forniti da aziende tecnologiche legate alla Federazione Russa, si richiede una tempestiva “diversificazione dei prodotti in uso”. Ecco l’art. 29:
“Rafforzamento della disciplina cyber 1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso. 2. Fermo restando quanto previsto dall’articolo 1, comma 2, lettera a), del decreto-legge 16 luglio 2020, n. 76, convertito, con modificazioni, dalla legge 11 settembre 2020, n. 120, le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all’acquisto di un ulteriore prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza, ovvero, laddove non sussistano o non siano comunque disponibili nell’ambito di tali strumenti, mediante la procedura negoziata senza previa pubblicazione del bando di cui all’articolo 63 del decreto legislativo 16 aprile 2016, n. 50, anche in deroga a quanto disposto dal comma 6, secondo periodo, del medesimo articolo 63. 3. Le categorie di prodotti e servizi di cui al comma 1 sono indicate con circolare dell’Agenzia per la cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza: a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR); b) «web application firewall» (WAF); 4. Dall’attuazione dei commi 1, 2 e 3 non derivano effetti che possano costituire presupposto per l’azione di responsabilita’ di cui all’articolo 1 della legge 14 gennaio 1994, n. 20. Le amministrazioni interessate provvedono agli adempimenti previsti dai commi 1, 2 e 3 con le risorse umane, finanziarie e strumentali disponibili a legislazione vigente. 5. All’articolo 5, comma 1, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, dopo le parole «fattore di rischio o alla sua mitigazione,» sono inserite le seguenti: «in deroga ad ogni disposizione vigente, nel rispetto dei principi generali dell’ordinamento giuridico e» e, dopo il primo periodo sono aggiunti i seguenti: «Laddove nelle determinazioni di cui al presente comma sia recata deroga alle leggi vigenti anche ai fini delle ulteriori necessarie misure correlate alla disattivazione o all’interruzione, le stesse determinazioni devono contenere l’indicazione delle principali norme a cui si intende derogare e tali deroghe devono essere specificamente motivate. Le determinazioni di cui al presente comma non sono soggetti al controllo preventivo di legittimita’ di cui all’articolo 3 della legge 14 gennaio 1994, n. 20.». 6. Al fine di consentire il piu’ rapido avvio delle attivita’ strumentali alla tutela della sicurezza nazionale nello spazio cibernetico, all’articolo 12 del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, dopo il comma 8 e’ aggiunto il seguente: «8-bis. In relazione alle assunzioni a tempo determinato di cui al comma 2, lettera b), i relativi contratti per lo svolgimento delle funzioni volte alla tutela della sicurezza nazionale nello spazio cibernetico attribuite all’Agenzia, possono prevedere una durata massima di quattro anni, rinnovabile per periodi non superiori ad ulteriori complessivi quattro anni. Delle assunzioni e dei rinnovi disposti ai sensi del presente comma e’ data comunicazione al COPASIR nell’ambito della relazione di cui all’articolo 14, comma 2.».”
Trovate qui il decreto completo: https://www.gazzettaufficiale.it/eli/id/2022/03/21/22G00032/sg
Quali software russi sono stati vietati?
Tra le categorie di prodotti e servizi di nostro interesse, come indicato con circolare dell’Agenzia per la cybersicurezza nazionale, rientrano, citando la norma, quelli volti ad assicurare le funzioni di:
- sicurezza dei dispositivi (ED – endpoint security, ovverosia protezione delle reti collegate da remoto ai dispositivi client), ivi compresi applicativi antivirus, antimalware ed «endpoint detection and response» (EDR – endpoint detection and response, ovverosia una tecnologia di sicurezza informatica che monitora gli endpoints per mitigare le minacce informatiche);
- «web application firewall» (WAF – web application firewall, ovverosia una forma specifica di firewall per applicazioni che filtra, monitora e blocca il traffico HTTP da e verso un servizio web)”.
Quali conclusioni possiamo trarre?
Per quanto duro possa sembrare e per quanto ingiusto possa essere verso una società che negli anni ha dato prova di produrre e rilasciare ottimi software, possiamo però affermare che i rivenditori che nel 2024 ancora propongono e installano software Kaspersky nelle Pubbliche Amministrazioni stanno agendo al di fuori della legge.