Vulnerability disclosure e penetration testing: profili giuridici rilevanti per l’adozione di una politica nazionale conforme alla Direttiva NIS 2

Abstract

Il contributo analizza le principali questioni giuridiche connesse all’adozione di politiche di cosiddetta vulnerability disclosure, espressione con la quale si designa il processo di comunicazione e correzione delle falle nella sicurezza, e i cosiddetti penetration test, attività che simula un attacco informatico proprio allo scopo di far emergere le vulnerabilità nella sicurezza. Da un lato, l’interesse pubblico alla sicurezza cibernetica delinea gli oneri dei soggetti pubblici e privati per correggere, ma soprattutto comunicare le vulnerabilità; dall’altro, l’attività di penetration test, laddove sia condotta da soggetti diversi dal titolare del sistema, può costituire reato. Da qui, la ricerca di un possibile bilanciamento, che consenta di salvaguardare la sicurezza cibernetica attraverso la repressione penale degli illeciti commessi in quest’ambito, senza però disincentivare l’emersione di situazioni di vulnerabilità, attraverso la segnalazione da parte di quanti sono stati in grado di testare le fragilità dei sistemi informatici. Tale disamina sarà effettuata pure in prospettiva comparata, tenendo conto della soluzione adottata nella Repubblica Francese.