In data 17 maggio 2019 sono stati pubblicati sulla Gazzetta ufficiale dell’Unione Europea il regolamento (UE) 2019/796 (“Regolamento”) e la decisione (PESC) 2019/797 (“Decisione”) del Consiglio Europeo concernenti “misure restrittive contro gli attacchi informatici che minacciano l’Unione o i suoi Stati membri”.

Il quadro normativo così istituito consente all’UE di imporre misure restrittive mirate, volte a scoraggiare e contrastare gli attacchi informatici che costituiscono una minaccia esterna per l’Unione o i suoi Stati membri, inclusi gli attacchi informatici nei confronti di Stati terzi o organizzazioni internazionali qualora le misure restrittive siano ritenute necessarie per il conseguimento di obiettivi di politica estera e di sicurezza comune (PESC).

Il Regolamento è stato emanato a fronte della crescente necessità, avvertita e manifestata a più rispese dal Consiglio Europeo, di proteggere l’integrità e la sicurezza dell’Unione, dei suoi Stati membri e dei loro cittadini dalle minacce informatiche e dalle attività informatiche dolose intraprese da attori statali e non statali per il perseguimento di propri obiettivi.

• AMBITO APPLICATIVO

Ai sensi dell’articolo 1 del Regolamento, gli attacchi informatici che rientrano nell’ambito di applicazione di questo nuovo regime di sanzioni sono quelli che hanno effetti significativi (compresi i tentati attacchi informatici con effetti potenzialmente significativi) e che:

- provengono o sono sferrati dall’esterno dell’Unione;
- impiegano infrastrutture esterne all’Unione;
- sono compiuti da persone o entità stabilite o operanti al di fuori dell’Unione;
- sono commessi con il sostegno di persone o entità operanti al di fuori dell’Unione.

Preme in primo luogo chiarire cosa si intenda per cyber-attacco.

Ebbene, affinché un attacco informatico possa qualificarsi tale occorre che lo stesso consti di azioni che comportino uno dei seguenti elementi:

a) accesso ai sistemi di informazione;
b) interferenza con i sistemi di informazione;
c) interferenza con i dati; oppure
d) intercettazione dei dati

se tali azioni non sono debitamente autorizzate dal proprietario o da un altro titolare dei diritti del sistema, dei dati o di parte di esso, o non sono consentite dal diritto dell’Unione o dello Stato membro interessato.
Ad ogni modo, la valutazione circa la portata significativa degli effetti prodotti dal cyber-attacco richiede la presa in considerazione dei fattori delineati ex articolo 2 del Regolamento, vale a dire:

a) la portata, l’entità, l’impatto o la gravità delle perturbazioni causate, comprese le attività economiche e sociali, i servizi essenziali, le funzioni critiche dello Stato, l’ordine pubblico o la sicurezza pubblica;
b) il numero di persone fisiche o giuridiche, entità o organismi interessati;
c) il numero di Stati membri interessati;
d) l’entità del danno economico causato, ad esempio attraverso il furto su larga scala di fondi, risorse economiche o proprietà intellettuale;
e) il beneficio economico ottenuto dall’autore del reato, per sé o per altri;
f) la quantità o la natura dei dati rubati o l’entità delle violazioni di dati; o
g) la natura dei dati commercialmente sensibili a cui si accede.

Si tratta indubbiamente di un provvedimento innovativo, in quanto consente all’Unione europea di imporre sanzioni a persone o entità responsabili di attacchi informatici, anche tentati, che forniscono sostegno finanziario, tecnico o materiale per queste offensive o che sono altrimenti coinvolti. Le sanzioni possono essere comminate anche a persone o entità associate ad esse.

• MISURE RESTRITTIVE E RELATIVE DEROGHE

Le misure restrittive previste dal Regolamento e dalla Decisione includono le misure necessarie a impedire l’ingresso o il transito per le persone che viaggiano verso l’Unione europea e il congelamento di beni. È altresì vietata la messa a disposizione di fondi o risorse economiche a persone ed entità inserite nell’elenco allegato al Regolamento medesimo.
Nello specifico, l’articolo 4, comma 1, della Decisione prevede che gli Stati membri adottino misure volte a impedire l’ingresso o il transito nel loro territorio. Tuttavia l’articolo 4, comma 3, stabilisce che sono “impregiudicate le situazioni in cui uno Stato membro sia vincolato da un obbligo derivante dal diritto internazionale, segnatamente:

a) in qualità di paese che ospita un’organizzazione intergovernativa internazionale;

b) in qualità di paese che ospita una conferenza internazionale convocata dalle Nazioni Unite o sotto gli auspici di questa organizzazione;

c) in virtù di un accordo multilaterale che conferisce privilegi e immunità; o

d) in virtù del trattato di conciliazione del 1929 (Patti Lateranensi) concluso tra la Santa Sede (Stato della Città del Vaticano) e l’Italia” e da ultimo

e) in qualità di paese che ospita l’Organizzazione per la sicurezza e la cooperazione in Europa (OSCE).
Con riferimento, invece, al congelamento di fondi e risorse economiche l’articolo 3 del Regolamento, detta alcune deroghe.

In primo luogo, statuisce che “le autorità competenti degli Stati membri possono autorizzare lo svincolo di taluni fondi o risorse economiche congelati o la messa a disposizione di taluni fondi o risorse economiche, alle condizioni che ritengono appropriate, dopo aver accertato che i fondi o le risorse economiche in questione sono:

a) necessari per soddisfare le esigenze di base delle persone fisiche elencate nell’allegato (al Regolamento) e dei familiari a loro carico, compresi i pagamenti relativi a generi alimentari, locazioni o ipoteche, medicinali e cure mediche, imposte, premi assicurativi e utenza di servizi pubblici;

b) destinati esclusivamente al pagamento di onorari ragionevoli o al rimborso delle spese sostenute per la prestazione di servizi legali;

c) destinati esclusivamente al pagamento di diritti o spese connessi alla normale gestione o alla custodia dei fondi o delle risorse economiche congelati;

d) necessari per coprire spese straordinarie, a condizione che la pertinente autorità competente abbia notificato alle autorità competenti degli altri Stati membri e alla Commissione, almeno due settimane prima dell’autorizzazione, i motivi per i quali si ritiene che debba essere concessa una determina autorizzazione; o

e) pagabili su o da un conto di una missione diplomatica o consolare o di un’organizzazione internazionale che gode di immunità in conformità del diritto internazionale, nella misura in cui tali pagamenti servono per scopi ufficiali della missione diplomatica o consolare o dell’organizzazione internazionale”.

In secondo luogo, lo svincolo di fondi o risorse economiche congelati può altresì essere autorizzato dalle autorità competenti degli Stati membri a condizione che:

a) i fondi o le risorse economiche siano oggetto di una decisione arbitrale emessa anteriormente alla data dell’inserimento della persona fisica o giuridica, dell’entità o dell’organismo nell’elenco figurante nell’allegato alla decisione, o siano oggetto di una decisione giudiziaria o amministrativa emessa nell’Unione, o di una decisione giudiziaria esecutiva nello Stato membro interessato, prima o dopo tale data;

b) i fondi o le risorse economiche siano usati esclusivamente per soddisfare i crediti garantiti da tale decisione o siano riconosciuti validi dalla stessa, entro i limiti fissati dalle leggi e dai regolamenti applicabili che disciplinano i diritti dei creditori;

c) la decisione non vada a favore di una persona fisica o giuridica, di un’entità o di un organismo elencati nell’allegato alla decisione; e

d) il riconoscimento della decisione non sia contrario all’ordine pubblico dello Stato membro interessato