Cybersicurezza e competenze digitali, pilastri dei diritti

Il cyberspazio come dimensione essenziale dei diritti fondamentali

Il cyberspazio, inteso come l’insieme delle infrastrutture digitali e delle reti di comunicazione che permettono l’interazione tra individui, imprese e Istituzioni, si configura oggi come una dimensione imprescindibile dell’esperienza umana. Non si tratta più di un ambito separato dalla realtà quotidiana, ma di uno spazio integrato nella vita sociale, politica, economica e culturale. In questo contesto, l’accesso al cyberspazio assume un valore strategico e costituisce una condizione necessaria per il pieno esercizio di una vasta gamma di diritti fondamentali, tra cui la libertà di espressione, il diritto all’informazione, la partecipazione democratica, il diritto all’istruzione e alla salute. Garantire un accesso equo e sicuro a tale ambiente significa, quindi, promuovere l’inclusione digitale e rafforzare la cittadinanza attiva.

Quanto più il digitale pervade l’esistenza quotidiana degli individui e delle amministrazioni, tanto più emerge il tema di come gli Stati debbano regolare il cyberspazio e garantire all’interno di esso i diritti degli individui. Infatti, non assicurare a questi ultimi il godimento dei diritti in Internet significa determinarne l’esclusione dal contesto sociale (digitale), nonché dal godimento dei diritti fondamentali e dall’esercizio dei doveri costituzionali. È stato, infatti, sottolineato come la cittadinanza oggi abbia acquisito una dimensione (anche) digitale: «l’innovazione tecnologica ha infatti aperto la strada a una nuova fase della vicenda di questa istituzione. Da materiale, essa si è fatta, in un certo senso virtuale»^[1].

Quindi, considerata la rilevanza del digitale nella vita dei singoli individui, garantire la cybersicurezza – per questa intendendosi «l’insieme delle attività necessarie per proteggere la rete e i sistemi informativi, gli utenti di tali sistemi e altre persone interessate dalle minacce informatiche»[2] – significa garantire i diritti fondamentali che vengono esercitati nella “realtà online”[3].

Il ruolo dell’Unione europea nella regolamentazione del digitale

A sua volta, garantire la cybersicurezza richiede un’organizzazione istituzionale in cui l’Unione europea è chiamata a svolgere un ruolo da protagonista, che implichi non solo una rivendicazione della leadership normativa, ma l’utilizzo di strumenti normativi funzionali alla difesa dei diritti fondamentali dell’individuo[4]. In questo senso, l’Unione europea è spesso accusata di regolare troppo, a differenza delle altre grandi superpotenze – come soprattutto gli USA – che invece lasciano più liberi i colossi del digitale. Tuttavia, contro le degenerazioni anti-libertarie che potrebbero emergere nel cyberspazio[5], il rimedio non può essere costituito dall’assenza di regole o dal lasciare in mano a pochi soggetti privati[6] il dominio del cyberspazio e la sua regolazione. La risposta dell’Unione europea – e, a valle, degli Stati membri – è stata salda, negli ultimi anni, nel trasportare anche nello spazio cibernetico il pieno rispetto dei principi dello Stato di diritto. Ciò è necessario in quanto il «malfunzionamento deliberato di un sistema», dovuto ad attacchi informatici, «[impedisce] lo svolgimento di funzioni pubbliche o l’erogazione di servizi essenziali, cagionando importanti disservizi in grado addirittura di ledere diritti costituzionalmente riconosciuti ai cittadini (salute, istruzione, assistenza, lavoro, sicurezza ecc.)»[7].

Il legame strutturale tra cybersicurezza e alfabetizzazione digitale

In questo senso, cybersicurezza e alfabetizzazione digitale diventano entrambi elementi cardine della tutela dei diritti fondamentali nell’ecosistema digitale, posto che il legame tra loro è strutturale. La cybersicurezza si basa sull’adozione di tecnologie, protocolli e pratiche volte a proteggere dati, reti e sistemi digitali da accessi non autorizzati, attacchi informatici e manipolazioni malevole. Tuttavia, anche i sistemi più avanzati diventano vulnerabili se gli utenti non sono adeguatamente formati e consapevoli dei rischi connessi all’uso delle tecnologie digitali.

L’Italia registra un significativo ritardo rispetto alla media UE in materia di competenze digitali: nel 2023 solo il 46% degli adulti possedeva competenze digitali almeno di base. Il quadro è aggravato da divari generazionali e territoriali: tra i giovani (16-24 anni) la quota sale al 59%, mentre tra gli over 65 crolla al 19%, con le regioni del Sud ampiamente sotto la media UE (34%).

L’alfabetizzazione digitale – intesa come la capacità non solo tecnica ma anche critica di interagire in modo consapevole con gli strumenti digitali – rappresenta quindi una componente essenziale della sicurezza informatica. In altre parole, la cybersicurezza è tanto una questione tecnologica quanto culturale, dato che senza cittadini digitalmente alfabetizzati, le strategie di sicurezza rischiano di essere inefficaci o incomplete.

Nel presente contributo, dopo aver esaminato – quantomeno per cenni – la normativa europea in materia di cybersicurezza (e aver richiamato alcune disposizioni significative in materia di alfabetizzazione digitale), si intende quindi esplorare il legame tra cybersicurezza e alfabetizzazione digitale, non solo con lo scopo di evidenziare la necessità di sviluppare competenze digitali solide e trasversali per la prevenzione e la gestione degli attacchi informatici, ma anche per dimostrare come la cybersecurity assurga oggi a vero e proprio “metainteresse” nella tutela dei diritti fondamentali.

La normativa europea: dalle direttive NIS agli atti di resilienza

Il tema della cybersicurezza riguarda da vicino l’Italia, che risulta particolarmente colpita: a partire dal 2022, l’Italia è stata bersaglio di attacchi informatici in misura sempre crescente. In particolare, nel 2024 si è registrata una crescita degli incidenti informatici del 27% rispetto al 2023; inoltre, sempre nel 2024, gli incidenti “critici” o “gravi” hanno costituito l’80% del totale[8]. Nel 2024, l’ACN ha gestito 756 eventi cyber ai danni di istituzioni pubbliche nazionali, in sensibile aumento rispetto ai 383 del 2023: ascrivibile almeno in parte alle modifiche all’impianto normativo, oltre che alla più ampia capacità del CSIRT Italia di rilevare eventi, incidenti e criticità[9]. Si è, pertanto, dinanzi ad una “guerra cibernetica diffusa”.

Da qui la necessità di coordinamento tra Istituzioni europee, Istituzioni nazionali e Autorità di settore per una gestione sinergica della cybersicurezza, il cui prodotto è costituito dalla normativa europea volta a garantire la sicurezza delle reti, dei sistemi informativi e dei dati che circolano in Internet.

A tal proposito, occorre far preliminarmente riferimento alla Direttiva NIS 2[10] che, abrogando la Direttiva NIS 1[11], stabilisce un livello comune elevato di cybersicurezza nell’Unione. Si consideri anzitutto che la fonte europea della direttiva richiede un approccio sinergico degli Stati europei, che devono tutti cooperare per raggiungere gli scopi individuati dalla direttiva stessa[12], ovvero rafforzare la sicurezza cibernetica a livello europeo aumentando la sicurezza delle infrastrutture tecnologiche e combattendo in maniera efficace i rischi causati dal cybercrime. La Direttiva NIS 2, quindi, è stata varata al fine di rendere uniforme, nello spazio europeo, un elevato livello di cibersicurezza per gli operatori di rete “essenziali e importanti”[13], a carico dei quali sono previsti specifici obblighi in materia di protezione della rete e dei sistemi informativi. Tale direttiva è stata recepita nel nostro Paese con il decreto legislativo n. 138 del 2024[14].

Ancora a livello europeo, il Regolamento (UE) 2019/881 (Cybersecurity Act)^[15], “allo scopo di garantire il buon funzionamento del mercato interno perseguendo nel contempo un elevato livello di cibersicurezza, ciberresilienza e fiducia nell’ambito dell’Unione”, definisce gli obiettivi, i compiti e gli aspetti organizzativi relativi all’ENISA («Agenzia dell’Unione europea per la cibersicurezza»)^[16] e un quadro per l’introduzione di sistemi europei di certificazione della cibersicurezza.

Più di recente, si pensi al Cyber ​​Resilience Act[17], che garantisce la sicurezza di prodotti e servizi, e al Cyber ​​Solidarity Act[18], che migliora la capacità dell’Unione di reagire agli attacchi informatici. Come è stato evidenziato, il diritto europeo della cybersicurezza a volte identifica la resilienza con la cybersicurezza; altre volte qualifica la prima come dimensione della seconda. In ogni caso, a prescindere dal nomen, il diritto dell’UE intende garantire sistemi che siano in grado di resistere agli attacchi informatici, di adattarsi nel caso in cui siano stati attaccati e di ripristinare le proprie capacità operative nel minor tempo possibile[19].

L’architettura italiana della cybersicurezza

Al livello nazionale si consideri il decreto-legge n. 105 del 2019^[20], che ha istituito il perimetro nazionale di sicurezza cibernetica (PNSC), “al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale” (art. 1)^[21].

Successivamente, è stato adottato dapprima il DPCM n. 131 del 2020^[22], con il quale sono stati individuati i soggetti pubblici e privati rientranti nel perimetro cibernetico nazionale e definiti i criteri per la predisposizione delle reti, dei sistemi informativi e dei sistemi informatici, e poi il DPCM n. 81 del 2021^[23], relativo, in particolare, alle notifiche degli incidenti^[24].

Quindi, con il decreto-legge n. 82 del 2021^[25], si è “ritenuto […] di dover intervenire con urgenza al fine di ridefinire l’architettura italiana di cybersicurezza, prevedendo anche l’istituzione di un’apposita Agenzia per la cybersicurezza nazionale, per adeguarla all’evoluzione tecnologica, al contesto di minaccia proveniente dallo spazio cibernetico, nonché al quadro normativo europeo, e di dover raccordare, altresì, pure a tutela dell’unità giuridica dell’ordinamento, le disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche”^[26].

Con il decreto-legge in esame è stata attribuita in via esclusiva al Presidente del Consiglio dei Ministri un cospicuo numero di funzioni nell’ambito della cybersicurezza^[27]. In particolare, egli ha la competenza dell’alta direzione e della responsabilità generale delle politiche di cybersicurezza; dell’adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC); della nomina e della revoca del direttore generale e del vicedirettore generale dell’Agenzia per la cybersicurezza nazionale, previa deliberazione del Consiglio dei Ministri”^[28].

Nell’ambito del decreto-legge n. 82 del 2021 assume primaria importanza l’art. 5 con il quale viene istituita – colmando «una grave lacuna nell’architettura istituzionale nazionale in materia di cybersicurezza»^[29] – l’Agenzia per la cybersicurezza nazionale (ACN) “a tutela degli interessi nazionali nel campo nella cybersicurezza”. Le funzioni dell’ACN includono la tutela degli interessi nazionali in ambito di cybersicurezza, la predisposizione della strategia nazionale e la qualificazione dei servizi cloud per la Pubblica amministrazione. L’Agenzia rappresenta, inoltre, il punto di contatto unico per le finalità del decreto NIS, potendo irrogare sanzioni agli operatori di servizi essenziali o ai fornitori di servizi digitali; assume le funzioni in materia di cybersicurezza del Ministero dello Sviluppo Economico, del Dipartimento delle Informazioni per la Sicurezza e della stessa AgId. L’istituzione dell’ACN è strumentale all’esercizio delle competenze che il d.l. n. 82/2021 assegna al Presidente del Consiglio dei Ministri – l’autorità al vertice dell’architettura della sicurezza cibernetica – al quale è attribuita l’alta direzione e la responsabilità generale delle “politiche di cybersicurezza”, ed a cui spetta l’adozione della relativa strategia nazionale, nonché la nomina (e la revoca) dei vertici dell’Agenzia (Direttore e Vicedirettore)[30].

Successivamente è stata approvata, più di recente, la legge n. 90 del 2024^[31], che non costituisce diretta attuazione della Direttiva NIS 2, piuttosto «ne anticipa alcune misure, senza tuttavia prevedere forme di raccordo con essa. L’intervento proposto risulta quindi asincrono, e rischia di produrre ulteriore incertezza»^[32].

La legge n. 90 del 2024 si presenta eterogenea, quanto ai contenuti, atteso che al Capo I prevede “Disposizioni in materia di rafforzamento della cybersicurezza nazionale, di resilienza delle pubbliche amministrazioni e del settore finanziario, di personale e funzionamento dell’Agenzia per la cybersicurezza nazionale e degli organismi di informazione per la sicurezza nonché di contratti pubblici di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici”. Il Capo II, invece, raccoglie le “Disposizioni per la prevenzione e il contrasto dei reati informatici nonché in materia di coordinamenti degli interventi in caso di attacchi a sistemi informatici o telematici e di sicurezza delle banche dati in uso presso gli uffici giudiziari”.

È stato rilevato che all’eterogeneità delle disposizioni si affianca un’altra criticità, dovuta alla presenza della consueta clausola di invarianza finanziaria, per cui «l’intero progetto non è credibile se non si individuano risorse adeguate»^[33]. Ciò contrasta con la fondamentale esigenza di formazione sulla cibersicurezza, che, «parte di un deficit di conoscenze digitali dei cittadini italiani, deve essere assunta come un’emergenza democratica ed una questione costituzionalmente rilevante»^[34]. Non solo: la legge n. 90 del 2024 pone l’accento sugli aspetti sanzionatori, ma non si occupa del profilo inerente all’aggiornamento delle competenze del personale della Pubblica amministrazione che quegli attacchi dovrebbe essere in grado di riconoscere e reprimere^[35].

Le iniziative per l’alfabetizzazione digitale in Italia ed Europa

Pur non essendo possibile, in questa sede, richiamare tutte le disposizioni e le iniziative dedicate allo sviluppo delle competenze digitali, appare comunque utile menzionare le principali, per testimoniare lo sforzo delle Istituzioni europee e nazionali in materia di alfabetizzazione digitale. È opportuno partire dall’art. 8 del Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82. La disposizione (rubricata proprio “Alfabetizzazione informatica dei cittadini”) è stata peraltro modificata e ampliata con il decreto legislativo 26 agosto 2016, n. 179[36] e ora stabilisce che “lo Stato e i soggetti di cui all’articolo 2, comma 2[37], promuovono iniziative volte a favorire la diffusione della cultura digitale tra i cittadini con particolare riguardo ai minori e alle categorie a rischio di esclusione, anche al fine di favorire lo sviluppo di competenze di informatica giuridica e l’utilizzo dei servizi digitali delle pubbliche amministrazioni con azioni specifiche e concrete, avvalendosi di un insieme di mezzi diversi fra i quali il servizio radiotelevisivo”[38].

Anche a livello di Unione europea è stata riservata una certa attenzione al tema, a partire almeno dall’art. 33-bis, paragrafo 3, della direttiva (UE) 2018/1808, in base al quale “gli Stati membri promuovono lo sviluppo dell’alfabetizzazione mediatica e adottano misure a tal fine”. L’impegno è proseguito, a livello europeo, con il piano d’azione per l’istruzione digitale (2021-2027), un’iniziativa politica rinnovata dell’Unione europea che definisce una visione comune di un’istruzione digitale di alta qualità, inclusiva e accessibile in Europa e che punta a sostenere l’adeguamento dei sistemi di istruzione e formazione degli Stati membri all’era digitale. Lo sviluppo delle competenze digitali è uno degli obiettivi strategici dell’Unione, che mira a dotare almeno l’80% dei cittadini tra i 16 e i 74 anni di competenze digitali di base entro il 2030. A guidare questo processo è il quadro europeo DigComp 2.2, che individua cinque aree chiave – dalla sicurezza informatica, alla creazione di contenuti – ritenute essenziali per una piena partecipazione alla vita sociale e professionale.

Tornando al versante nazionale, nel 2020 si è adottata la Strategia Nazionale per le Competenze Digitali con l’obiettivo di eliminare il ​gap con gli altri Paesi europei, in termini generali di digitalizzazione e rispetto ai singoli assi di intervento, e di abbattere il digital divide tra varie aree del territorio nazionale. Il Piano nazionale di ripresa e resilienza ha poi, da ultimo, dedicato particolare attenzione al tema, attivando anche la misura “Rete dei servizi di facilitazione digitale”, con l’obiettivo di formare 2 milioni di cittadini entro il 2026 attraverso 3000 Punti Digitale Facile.

La rapida panoramica sulle fonti che disciplinano la cybersicurezza mostra come le normative hanno posto un forte accento sulla protezione delle infrastrutture critiche, sulla tutela dei dati personali e sulla repressione degli attacchi informatici. Come si è visto, anche l’alfabetizzazione digitale ha ricevuto una certa attenzione dal legislatore europeo e da quello nazionale. Eppure, l’alfabetizzazione digitale rappresenta un elemento chiave per la costruzione di una società resiliente e consapevole, in grado di riconoscere, prevenire e reagire efficacemente alle minacce informatiche. Queste lacune rischiano di indebolire la capacità del Paese di affrontare le sfide poste dalla digitalizzazione crescente, lasciando ampi spazi di vulnerabilità non tanto nelle tecnologie, ma nelle competenze degli utenti stessi.

Peraltro, sapersi muovere nel cyberspazio in sicurezza e in modo consapevole è ormai una necessità imprescindibile. È fondamentale, infatti, che ogni cittadino sia in grado di padroneggiare le nuove tecnologie per muoversi con competenza e tutela nel mondo digitale. In questo contesto, la scuola può e deve assumere un ruolo centrale, rappresentando il principale veicolo per diffondere conoscenze e competenze digitali fin dalla giovane età.

È incoraggiante, a tal proposito, il recente Protocollo d’intesa stipulato tra il Dipartimento per la trasformazione digitale (DTD) e l’Agenzia per la cybersicurezza nazionale (ACN), col quale si è dato vita a una nuova sinergia volta a potenziare le attività di sensibilizzazione e accrescimento delle competenze digitali sulla cybersicurezza e rafforzare la consapevolezza dei cittadini sulla materia[39]. L’accordo testimonia quantomeno della raggiunta consapevolezza, da parte delle Istituzioni italiane, sull’importanza del legame sempre più stretto che occorre instaurare tra cybersicurezza e competenze digitali.

Oltre la tecnologia: il cambio culturale necessario

Dall’analisi normativa appare evidente come l’Unione europea e il legislatore statale abbiano inteso dar vita ad un vasto corpus normativo volto alla tutela delle infrastrutture di rete e dei dati che circolano in Internet, considerato che la cybersicurezza è funzionale all’esercizio dei diritti fondamentali: in assenza di dispostivi tecnologicamente avanzati atti a tutelare le reti e senza un idoneo strumentario normativo non può esistere la cybersicurezza.

Tuttavia, si deve subito aggiungere che la creazione di un apparato – anzitutto normativo – volto a disciplinare la cybersicurezza è condizione necessaria, ma non sufficiente per assicurare la tutela dei diritti fondamentali dell’individuo nell’ecosistema digitale. Infatti, sia le direttive ed i regolamenti europei che le leggi necessitano di soggetti che siano in grado di avvalersi delle tecnologie sulla cybersicurezza. In altre parole, è necessario che pubbliche istituzioni e soggetti privati siano supportati nell’acquisizione (o nel miglioramento) delle competenze digitali.

Pertanto, la cybersicurezza richiede non solo adeguamenti normativi, ma anche un profondo cambio di impostazione culturale. Così come, nel corso degli ultimi dieci anni, si è assistito all’affermarsi di una cultura della protezione dei dati personali, incentivata anche da strumenti normativi come il GDPR, oggi è necessario che vi sia uno slancio per favorire la cultura della cybersicurezza.

Il tema in esame, invero, ha molto a che fare con l’alfabetizzazione digitale volta a ridurre il cosiddetto divario digitale (digital divide), inteso quale discrimine tra coloro che sono in grado di utilizzare gli strumenti informatici e coloro che, per ragioni economiche, culturali, generazionali, non sono in grado di avvalersene[40]. Il tema della alfabetizzazione digitale – preso in considerazione nel PNRR[41] – ha infatti a che vedere con il concetto di “cittadinanza digitale” perché, come visto, essa oggi si sviluppa anche (forse, soprattutto) in una dimensione digitale. Non essere in grado di utilizzare gli strumenti informatici può comportare – e di fatto comporta – il rischio di una emarginazione dalla società e nell’esclusione dall’esercizio di molti diritti fondamentali.

Ebbene, è necessario operare una differenziazione tra alfabetizzazione digitale in senso stretto (rientrante, cioè, sotto la tutela dell’art. 34 della Costituzione e rivolta a coloro che sono in età scolastica[42]) e diritto all’“inclusione sociale digitale”. Quest’ultimo trova, infatti, il suo fondamento costituzionale nell’art. 3, comma 2, Cost. ed è stato configurato dal legislatore come un diritto sociale per il cui inveramento sono state stanziate risorse economiche volte a garantirne l’attuazione[43].

Competenze digitali come presidio di sicurezza

Quindi, sia l’alfabetizzazione digitale che il diritto all’inclusione sociale digitale devono essere orientati alla implementazione di conoscenze digitali in materia di cybersicurezza, soprattutto se si considera che la normativa in materia di cybersecurity riguarda quasi esclusivamente le Pubbliche Amministrazioni e le imprese (soprattutto le piccole e medie imprese). Della cybersecurity, tuttavia, deve aver cognizione anche il singolo cittadino, perché possa tutelarsi dai rischi che quotidianamente si corrono nella navigazione in Internet. Solo in tal modo si formano individui in grado di riconoscere e gestire minacce informatiche che possono minare i loro diritti e costituire un impedimento all’adempimento dei propri doveri.

In un contesto digitale sempre più interconnesso e vulnerabile, la diffusione di competenze digitali si impone, quindi, come una priorità strategica per garantire la sicurezza dei sistemi informativi e la protezione dei dati personali e istituzionali. Gli attacchi informatici, per loro natura mutevoli e sofisticati, richiedono risposte che vadano oltre le sole misure tecnologiche: è necessario che i cittadini siano in grado di comprendere, anticipare e gestire le minacce informatiche in modo consapevole e proattivo.

Lo sviluppo di tali competenze non deve essere limitato agli specialisti, ma deve riguardare l’intera popolazione, attraverso percorsi di alfabetizzazione digitale diffusa e continua, integrati nei sistemi educativi, nella formazione professionale e nelle politiche pubbliche. In questo quadro, le competenze digitali rappresentano non solo una leva di innovazione, ma anche un presidio essenziale di sicurezza e di esercizio dei diritti nella sfera digitale.

Infine, sul versante dell’alfabetizzazione digitale in senso stretto – rientrante, come si è detto, nel diritto all’istruzione di cui all’art. 34 Cost.[44] – è auspicabile che il legislatore implementi un percorso strutturato di educazione digitale che comprenda in modo esplicito e approfondito anche la formazione alla cybersicurezza. Incorporare, infatti, l’educazione alla cybersicurezza nel percorso scolastico significa fornire ai giovani non solo gli strumenti tecnici di base, ma anche farli giungere a comportamenti responsabili, fondamentali per prevenire i rischi più diffusi.

La percentuale di persone prive di competenze digitali adeguate resta ancora troppo elevata, rappresentando un ostacolo significativo all’inclusione piena nella società digitale[45].

Per colmare queste carenze, un primo significativo passo è rappresentato dalla legge 20 agosto 2019, n. 92 “Introduzione dell’insegnamento scolastico dell’educazione civica”, che all’art. 5 ha appunto introdotto l’educazione digitale nell’ambito dell’insegnamento trasversale dell’educazione civica, le cui modalità di attuazione sono state definite con le Linee guida ministeriali emanate con il recente D.M. 7 settembre 2024, n. 183.

Ma non basta; parallelamente si tratta anche di garantire agli istituti scolastici dotazioni tecnologiche moderne e spazi adeguati, come aule informatiche dedicate, fondamentali per un apprendimento efficace delle competenze digitali. Purtroppo, tali strutture sono spesso assenti o insufficienti in molte scuole italiane, limitando così le possibilità di formazione pratica e l’accesso a un’educazione digitale di qualità. Tuttavia, solo investendo in infrastrutture scolastiche adeguate sarà possibile creare un ambiente formativo che favorisca lo sviluppo delle competenze digitali indispensabili per affrontare le sfide del presente e del futuro.

La cybersecurity come prerequisito dello stato sociale digitale

È oggi attraverso il digitale che si assicura la fornitura di servizi essenziali per la collettività e che si consente alle aziende l’esercizio di gran parte delle attività imprenditoriali. La sicurezza delle reti è, quindi, il presupposto per l’erogazione di attività pubbliche e private su cui si basa non solo la nostra economia (come trapela spesso dalle normative europee di armonizzazione delle previsioni nazionali), ma anche il nostro Stato sociale.

Così come la sicurezza è stata già vista in passato come valore super-primario[46], la cybersicurezzacostituisce un “metainteresse” rispetto all’esercizio di taluni diritti fondamentali da parte dei singoli, che saranno tanto più restii al loro esercizio, quanto più è debole la loro fiducia nella sicurezza delle informazioni che li riguardano. In proposito, si deve riflettere sul fatto che la rinuncia all’accesso a determinate piattaforme equivale alla rinuncia all’accesso ai diritti e ai servizi.

Si può poi discutere sulla configurabilità di un “diritto fondamentale alla cybersicurezza”[47], cioè di una qualificazione della cybersicurezza come di un “diritto al diritto di essere protetti”, proprio in quanto la disponibilità e integrità dei sistemi digitali sono condizioni preminenti per poter esercitare i propri diritti online.

Senza giungere necessariamente a tali conclusioni, è indubbio tuttavia che la cybersicurezza si configura come un vero e proprio “metainteresse”, ossia un interesse che sostiene l’attuazione di altri interessi: un prerequisito strutturale per il godimento dei diritti fondamentali. Senza sicurezza digitale, si minano libertà civili, accesso ai servizi, privacy, partecipazione democratica e fiducia nelle Istituzioni. Si può allora ben intuire quanto sia imprescindibile una preparazione sulle tematiche connesse alla garanzia dei sistemi di informazione e di rete, ma anche di base, rivolta a chi quotidianamente tratta dati, personali e non, nel contesto digitale.

La digitalizzazione, infatti, non è solo una questione tecnologica, ma incide profondamente sui diritti e sulle libertà fondamentali dei cittadini. Come è stato osservato in dottrina, infatti, «nella società digitale, […] accade che ciascun diritto fondamentale finisca per assumere una dimensione bifronte, mostrando accanto al volto tradizionale, il suo doppio digitale, così che si possa parlare di identità personale e di identità digitale, di sicurezza e di sicurezza informatica o cybersicurezza, di uguaglianza e di disuguaglianza digitale o digital divide, di doveri costituzionali di solidarietà e di solidarietà digitale e via dicendo»[48].

Risulta dunque evidente che la cybersicurezza non può essere considerata un ambito esclusivamente tecnico o riservato agli operatori del settore informatico, ma si configura come una questione trasversale, che coinvolge direttamente la sfera dei diritti fondamentali e della cittadinanza digitale. In tale prospettiva, l’alfabetizzazione digitale rappresenta non solo uno strumento abilitante per la partecipazione consapevole alla vita digitale, ma anche un fattore determinante per la prevenzione e la mitigazione delle minacce informatiche. Una cybersecurity efficace non può prescindere, quindi, da una società digitalmente consapevole. Investire in programmi di alfabetizzazione digitale rappresenta oggi una condizione necessaria per garantire la resilienza del sistema digitale e la tutela sostanziale dei diritti nell’ambiente cibernetico.

È quindi urgente un ripensamento normativo che, integrando le misure di sicurezza tecnica con investimenti concreti in formazione e alfabetizzazione digitale, rafforzi la cultura della sicurezza informatica a tutti i livelli della società. Un’adeguata formazione non solo favorisce l’accesso e l’utilizzo consapevole degli strumenti digitali, ma riveste anche un ruolo cruciale nel rafforzare la consapevolezza riguardo ai rischi connessi alla condivisione di informazioni online, come la tutela della privacy e la sicurezza informatica. Solo attraverso l’educazione digitale sarà possibile formare cittadini preparati, capaci di navigare in modo sicuro e responsabile nell’ambiente digitale, contribuendo così a una società più inclusiva e resiliente.

* Il presente contributo costituisce una versione ampliata dell’intervento svolto al convegno “Modelli di cybersecurity e prevenzione dei cyber crimes. Aporie della legislazione vigente, problematiche applicative e prospettive de iure condendo”, organizzato in data 24 gennaio 2025 dall’Unità di ricerca dell’Università degli Studi di Napoli Federico II, Responsabile scientifico Prof. Giacomo Di Gennaro), nell’ambito del Progetto PNRR Serics Hard Disc – Spoke 1.

[1] F. Amoretti, E. Gargiulo, Dall’appartenenza materiale all’appartenenza virtuale. La cittadinanza elettronica fra processi di costituzionalizzazione della rete e dinamiche di esclusione, in Pol. dir., 3, 2010, 354, secondo cui «l’esercizio di molti diritti fondamentali è stato svincolato dal rapporto diretto tra il cittadino e gli apparati istituzionali, divenendo mediato da strumenti informatici che, per la loro stessa natura, si collocano al di fuori degli spazi fisici entro cui il rapporto tra il primo e i secondi ha comunemente luogo. La cittadinanza elettronica, in virtù della sua natura immateriale – in quanto tale adatta ad aggirare gli ostacoli di natura materiale che spesso si frappongono tra il cittadino e i suoi bisogni formalmente tutelati – sembrerebbe offrire inedite opportunità di esercitare diritti civili e politici fino a ora rimasti sulla carta e, nondimeno, di rivendicare nuovi tipi di diritti».

[2] Art. 2 (“Definizioni”), punto 1), del Regolamento (UE) 2019/881 del Parlamento Europeo e del Consiglio del 17 aprile 2019 relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).

[3] C. Lotta, Governance della Rete, accesso a Internet e cybersicurezza, Editoriale Scientifica, Napoli, 2024, 181 ss.

[4] G. Finocchiaro, Sovranità digitale, in Dir. Pubbl., 3, 2022, 827.

[5] Tra l’altro, anacronistiche, oggi, si rivelano le dichiarazioni di indipendenza del cyberspazio che, nel secolo scorso, propugnavano un modello di Internet senza la presenza degli Stati: si veda, in particolare, J.P. Barlow, Dichiarazione d’indipendenza del Cyberspazio, in Duke Law & Technology Review,5-7, 2019.

[6] … comunque chiamati a rispettare il contenuto essenziale dei diritti fondamentali (C. Caruso, I custodi di silicio. Protezione della democrazia e libertà di espressione nell’era dei social network, in AA.VV., Liber Amicorum per Pasquale Costanzo, Vol. I, in Consulta Online, 2020, 166).

[7] E. Longo, La disciplina della cybersicurezza nell’Unione europea e in Italia, in F. Pizzetti, S. Calzolaio, A. Iannuzzi, E. longo, M. Orofino, La regolazione europea della società digitale, Giappichelli, Torino, 2024, 207.

[8] Associazione Italiana Per La Sicurezza Informatica, Rapporto Clusit sulla sicurezza ICT in Italia, 2025, 7,reperibile al sito internet https://clusit.it/rapporto-clusit/.

[9] Agenzia per la cybersicurezza nazionale, Relazione annuale al Parlamento 2024, p. 46. Nel 2024 tutte le attività operative dell’ACN hanno subito un notevole incremento rispetto all’anno precedente, indice di un generale aumento della minaccia cyber: in particolare, 1.979 sono stati gli eventi cyber gestiti (165 al mese) e 573 incidenti con impatto confermato (48 al mese).

[10] Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva UE 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 1).

[11] Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione, recepita dal decreto legislativo 18 maggio 2018, n. 65.

[12] Per una critica all’utilizzo dello strumento della direttiva in materia di regolazione della cybersicurezza v. M Buffa, La Direttiva NIS II Cybersecurity in Europa: tra innovazione, formazione e diritto vivente, in Democrazie e Diritti Sociali, 1, 2023, 48, secondo cui «[…] l’obiettivo dell’uniformità delle legislazioni nazionali avrebbe certamente potuto essere perseguito con migliore e maggiore efficacia grazie all’adozione di un regolamento (direttamente applicabile senza la necessità di una normativa nazionale di recepimento). Ciò a partire dalla necessità di considerare le ricadute importanti della cybersecurity in materia di diritti fondamentali dei cittadini dell’UE, nonché in relazione alla evidente e sempre maggiore interconnessione tra le infrastrutture critiche dei diversi Stati membri».

[13] Direttiva (Ue) 2022/2555, art. 3 (“Soggetti essenziali e importanti”). Sul punto v. F. Bavetta, Direttiva NIS 2: verso un innalzamento dei livelli di cybersicurezza a livello europeo, in Media Laws, 3, 2023, 408 e F. Casarosa, L’armonizzazione degli obblighi di notifica: il DDL Cybersicurezza verso la NIS 2, in Rivista italiana di informatica e diritto, 1, 2024, 13.

[14] Decreto legislativo 4 settembre 2024, n. 138, di recepimento della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148.

[15] Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cybersicurezza, e alla certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»).

[16] Sul ruolo dell’ENISA v. L. Previti, Pubblici poteri e cybersicurezza: il lungo cammino verso un approccio collaborativo alla gestione del rischio informatico, in Federalismi.it, 25, 2022, 73 ss. e S. Calzolaio, Autorità indipendenti e di governo nella società digitale, in F. Pizzetti, S. Calzolaio, A. Iannuzzi, E. Longo, M. Orofino (a cura di), La regolazione europea della società digitale, cit., 90 ss.

[17] Regolamento (UE) 2024/2487 del Parlamento europeo e del Consiglio del 23 ottobre 2024, relativo ai requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza).

[18] Regolamento (UE) 2025/38 del Parlamento europeo e del Consiglio del 19 dicembre 2024, che stabilisce misure intese a rafforzare la solidarietà e le capacità dell’Unione e di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e che modifica il regolamento (UE) 2021/694 (regolamento sulla cibersolidarietà).

[19] Cfr. P.G. Chiara, R. Brighi, La dimensione della “resilienza” nel diritto Ue della cybersicurezza, in Ragion pratica, 2, 2024, 422 s.

[20] Decreto-legge 21 settembre 2019, n. 105, recante “Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica”, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133.

[21] Sul tema v. S. Poletti, La sicurezza cibernetica nazionale ed europea, alla luce della creazione del perimetro di sicurezza nazionale cibernetica, in Media Laws, 2, 2023, 404 ss.

[22] Decreto del Presidente del Consiglio dei Ministri 30 luglio 2020, n. 131, recante “Regolamento in materia di perimetro di sicurezza nazionale cibernetica, ai sensi dell’art. 1, comma 2, del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133”.

[23] Decreto del Presidente del Consiglio dei ministri 14 aprile 2021, n. 81, recante “Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici di cui all’art. 1, comma 2, lettera b), del decreto-legge 21 settembre 2019, n. 105, convertito, con modificazioni, dalla legge 18 novembre 2019, n. 133, e di misure volte a garantire elevati livelli di sicurezza”.

[24] Art. 1, comma 1, lett. h).

[25] Decreto-legge 14 giugno 2021, n. 82, recante “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, convertito con modificazioni dalla legge 4 agosto 2021, n. 109. Sul decreto-legge in esame si veda F. Serini, La nuova architettura di cybersicurezza nazionale: note a prima lettura del decreto-legge n. 82 del 2021, in Federalismi.it, 12, 2022, 241 ss.

[26] Così il Preambolo del decreto-legge 14 giugno 2021, n. 82. Sulle diverse connotazioni della minaccia cibernetica, v. M. Mensi, La sicurezza cibernetica, in M. Mensi, P. Falletta (a cura di), Il diritto nel web, Cedam, 2018, 282 ss., che distingue le minacce cibernetiche nelle seguenti tipologie: cyber-crime, cyber-espionage, cyber-terrorism, cyber-warfare.

[27] Sul tema v. L. Moroni, La governance della cybersicurezza a livello interno ed europeo: un quadro intricato, in Federalismi.it, 14, 2024, 192 ss. ed O. Caramaschi, La cybersicurezza nazionale ai tempi della guerra (cibernetica): il ruolo degli organi parlamentari, in Osservatorio AIC, 4, 2022, 76 ss.

[28] Art. 2 (“Competenze del Presidente del Consiglio dei Ministri”). Sul ruolo della Presidenza del Consiglio dei Ministri nell’ambito della cybersecurity v. T. F. Giupponi, Il governo nazionale della cybersicurezza, in Quad. Cost., 2, 2024, 295 ss.

[29] L. Parona, L’istituzione dell’Agenzia per la cybersicurezza nazionale, in Giornale di diritto amministrativo, 6, 2021, 711.

[30] Sul punto v. A. Venanzoni, L’ordine costituzionale della cybersecurity, in Forum Quad. Cost., 4, 2024, 62.

[31] Legge 28 giugno 2024, n. 90, recante “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.

[32] Così M. Pietrangelo, Per un modello nazionale di cybersicurezza cooperativa e resilienza collaborativa, in Rivista italiana di informatica e diritto, 1, 2024, 25. V. anche E. Longo, Audizione informale per il disegno di legge in materia di «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici» (AC 1717), in Rivista italiana di informatica e diritto, 1, 2024, 68.

[33] Cfr. ancora M. Pietrangelo, Per un modello nazionale di cybersicurezza cooperativa e resilienza collaborativa, cit., 26 s., che quindi, propone di ancorare le misure di cui alla legge n. 90 del 2024 ai fondi destinati alla cybersicurezza istituiti con la legge n. 197 del 2022 (il “Fondo per l’attuazione della Strategia nazionale di cybersicurezza” e il “Fondo per la gestione della cybersicurezza”).

[34] A. Iannuzzi, Considerazioni sul disegno di legge «Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati» (AC 1717), in Rivista italiana di informatica e diritto, 1, 2024, 60.

[35] E. Longo, Audizione informale, cit., 68.

[36] Recante “Modifiche ed integrazioni al Codice dell’amministrazione digitale, di cui al decreto legislativo 7 marzo 2005, n. 82, ai sensi dell’articolo 1 della legge 7 agosto 2015, n. 124, in materia di riorganizzazione delle amministrazioni pubbliche”.

[37] L’art. 2, comma 2 del CAD recita che: Le disposizioni del presente Codice si applicano:

a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione;

b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;

c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b).

[38] La disposizione, prima della modifica del 2016, si limitava invece a stabilire che “Lo Stato promuove iniziative volte a favorire l’alfabetizzazione informatica dei cittadini con particolare riguardo alle categorie a rischio di esclusione, anche al fine di favorire l’utilizzo dei servizi telematici delle pubbliche amministrazioni”.

[39] L’iniziativa, che si inserisce nel contesto del PNRR, coinvolge gli oltre 3.300 “Punti Digitale Facile”, attivati nell’ambito della misura 1.7.2 del PNRR e gli Operatori volontari del Servizio Civile Digitale (misura 1.7.1), insieme alle oltre 280 organizzazioni della Coalizione Nazionale per le competenze digitali, parte integrante del programma strategico “Repubblica Digitale”. Le attività di formazione prevedono anche materiali formativi di supporto ai Facilitatori, Operatori Volontari e organizzazioni della Coalizione nell’erogazione di corsi di formazione, workshop, ed eventi di sensibilizzazione sull’uso sicuro e consapevole degli strumenti digitali. La campagna di sensibilizzazione coinvolgerà anche i canali social del DTD e di ACN, con l’obiettivo di promuovere le attività svolte sul territorio e di diffondere strumenti e buone pratiche.

[40] L. Nannipieri, Costituzione e nuove tecnologie: profili costituzionali dell’accesso a Internet, in Rivista dell’Associazione “Gruppo di Pisa”, Secondo seminario annuale del “Gruppo di Pisa” con i dottorandi delle discipline giuspubblicistiche su “Lo studio delle fonti del diritto e dei diritti fondamentali in alcune ricerche dottorali”, Università degli Studi Roma Tre, 20 settembre 2013, 3.

[41] Il Piano Nazionale di Ripresa e Resilienza (PNRR) alla Missione 1 (“Digitalizzazione, innovazione, competitività, cultura e turismo”), componente 1 (“Digitalizzazione, innovazione e sicurezza nella PA”), investimento 1.7 (“Competenze digitali di base”) prevede interventi miranti a supportare le fasce della popolazione che, più delle altre, potrebbero subire le conseguenze negative del digital divide. In particolare, la missione in esame mira a rafforzare il «network territoriale di supporto digitale» e il «Servizio Civile Digitale, attraverso il reclutamento di diverse migliaia di giovani che aiutino circa un milione di utenti ad acquisire competenze digitali di base». Il programma “Servizio Civile Digitale”, sub investimento 1.7.1., per il quale sono stanziati 60 milioni di euro, si inserisce nel quadro della “Strategia nazionale per le competenze digitali” e del connesso Piano Operativo, entrambi sviluppati nell’ambito del progetto “Repubblica digitale”.

[42] Sul punto si consideri il Piano nazionale per la scuola digitale, istituito dall’art. 1, comma 56, della legge 13 luglio 2015, n. 107.

[43] Come rileva C. Lotta, Governance della Rete, cit., 157 ss.

[44] Cfr. sul punto L. Palazzani, Digital Divide (voce), in A.C. Amato Mangiameli, G. Saraceni (a cura di), Cento e una voce di informatica giuridica, Giappichelli, 2023, 161; E. D’Orlando, Profili costituzionali dell’Amministrazione digitale, in Diritto dell’Informazione e dell’Informatica, 2, 2011, 220; E. De Marco, Introduzione alla eguaglianza digitale, in Federalismi.it, 12, 2008, 4 s.

[45] Il livello di competenze digitali in Italia è tra i più bassi d’Europa: cfr. Openpolis, La sfida dell’alfabetizzazione digitale per contrastare le disuguaglianze, 28 gennaio 2025.

[46] G. Cerrina Feroni, G. Morbidelli, La sicurezza: un valore superprimario, in Percorsi costituzionali, 2008, 31 ss.

[47] Ritiene che non sia possibile parlare di un “diritto fondamentale alla cybersicurezza” E. Longo, Il diritto costituzionale e la cybersicurezza. Analisi di un volto nuovo del potere, in Rassegna parlamentare, n. 2, 2024, 313 s. Contra P.G. Chiara, Towards a Right to Cybersecurity in EU Law? The Challenges Ahead, in Computer Law & Security Review, 2023, online, 1 s.; G. Cerrina Feroni, G. Morbidelli, La sicurezza: un valore superprimario, cit., 31 s.

[48] Così A. Iannuzzi, F. Laviola, I diritti fondamentali nella transizione digitale fra libertà e uguaglianza, in Dir. cost., 1, 2023, 12.