Misure restrittive dell’Unione europea contro gli attacchi informatici

SINTESI DI:

Decisione (PESC) 2019/797 — Misure restrittive contro gli attacchi informatici che minacciano l’Unione o i suoi Stati membri

Regolamento (UE) 2019/796 — Misure restrittive contro gli attacchi informatici che minacciano l’Unione o i suoi Stati membri

QUALI SONO GLI OBIETTIVI DELLA DECISIONE E DEL REGOLAMENTO?

Esse istituiscono un quadro che consente all’Unione di imporre sanzioni per scoraggiare e rispondere agli attacchi informatici* che costituiscono una minaccia esterna per l’Unione o gli Stati membri. Questi attacchi informatici comprendono quelli contro paesi terzi o organizzazioni internazionali in cui si ritiene che sia necessaria un’azione per conseguire gli obiettivi della politica estera e di sicurezza comune dell’Unione.

PUNTI CHIAVE

Sanzioni per le persone fisiche o giuridiche elencate

Questo quadro consente all’Unione di imporre sanzioni a persone fisiche o giuridiche responsabili di attacchi informatici o tentati attacchi informatici, che forniscono sostegno finanziario, tecnico o materiale per tali attacchi o che sono altrimenti coinvolte. Le sanzioni possono essere imposte anche a persone fisiche o giuridiche ad esse associate. Le misure restrittive comprendono divieti alle persone che viaggiano verso l’Unione e il congelamento dei fondi.
Le persone soggette a tali sanzioni sono elencate nell’allegato I della decisione (PESC) 2019/797, come identificate dal Consiglio; tutti i fondi e le risorse economiche appartenenti a, posseduti, detenuti o controllati da persone fisiche o giuridiche, entità o organismi elencati nell’allegato I saranno congelati.
Gli Stati membri sono responsabili di stabilire norme sulle sanzioni applicabili in caso di violazioni.

Attacchi informatici

Gli attacchi informatici che rientrano nell’ambito di applicazione di questo nuovo regime di sanzioni sono quelli che hanno effetti significativi e che:

provengono o sono sferrati dall’esterno dell’Unione; o
impiegano infrastrutture esterne all’Unione; o
sono compiuti da persone o entità stabilite o operanti al di fuori dell’Unione; o
sono commessi con il sostegno di persone o entità operanti al di fuori dell’Unione.

Gli attacchi informatici che costituiscono una minaccia per gli Stati membri comprendono quelli che incidono su sistemi di informazione relativi a:

infrastrutture critiche essenziali per le funzioni vitali della società o della salute, dell’incolumità, della sicurezza e del benessere economico o sociale della popolazione;
servizi necessari per le attività sociali e/o economiche fondamentali, in particolare nei settori dell’energia, dei trasporti, nel settore bancario, nei mercati finanziari, nel settore sanitario, dell’acqua potabile, delle infrastrutture digitali;
funzioni statali essenziali, in particolare nei settori della difesa, della governance e del funzionamento di istituzioni, delle elezioni pubbliche, del funzionamento di infrastrutture economiche e civili, della sicurezza interna e delle relazioni esterne, anche attraverso missioni diplomatiche;
conservazione o trattamento di informazioni classificate; o
squadre di pronto intervento governative.

A PARTIRE DA QUANDO SI APPLICANO LA DECISIONE E IL REGOLAMENTO?

Si applicano dal 18 maggio 2019.

CONTESTO

Una comunicazione congiunta pubblicata nel giugno 2018 ha sottolineato che le attività di attori statali e non statali come gli attacchi informatici che perturbano l’economia e i servizi pubblici attraverso campagne di disinformazione mirate ad azioni militari ostili continuino a rappresentare una seria e grave minaccia per l’Unione e per gli Stati membri. Ha identificato le aree in cui si dovrebbero intensificare le azioni per approfondire e rafforzare ulteriormente il contributo dell’Unione alla risoluzione di tali minacce e ha invitato gli Stati membri e la Commissione a garantire un tempestivo seguito.

Nell’ottobre 2018, sulla scia degli attacchi informatici all’Organizzazione per la proibizione delle armi chimiche, il Consiglio europeo ha adottato conclusioni che chiedevano l’elaborazione di misure per rafforzare ulteriormente la deterrenza, la resilienza e la risposta dell’Unione a minacce ibride, cibernetiche nonché chimiche, biologiche, radiologiche e nucleari. Il Consiglio è stato invitato a elaborare un regime di sanzioni specifico per gli attacchi informatici.

Si veda anche:

Resilienza, deterrenza e difesa: Verso una cibersicurezza forte per l’UE (Commissione europea).
Riforma della cibersicurezza in Europa (Consiglio europeo e Consiglio dell’Unione europea)
Attacchi informatici: ora il Consiglio può imporre sanzioni — Comunicato stampa (Consiglio europeo e Consiglio dell’Unione europea).

TERMINI CHIAVE

Attacchi informatici: azioni non autorizzate che comportano l’accesso a o interferenze con i sistemi di informazione, interferenza nei dati o intercettazione dei dati.

DOCUMENTI PRINCIPALI

Decisione (PESC) 2019/797 del Consiglio, del 17 maggio 2019, concernente misure restrittive contro gli attacchi informatici che minacciano l’Unione o i suoi Stati membri (GU L 129I del 17.5.2019, pag. 13).

Le successive modifiche alla decisione (PESC) 2019/797 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.

Regolamento (UE) 2019/796 del Consiglio, del 17 maggio 2019, concernente misure restrittive contro gli attacchi informatici che minacciano l’Unione o i suoi Stati membri (GU L 129I del 17.5.2019, pag. 1).

Le successive modifiche del regolamento (UE) n. 2019/796 sono state integrate nel testo originale. La versione consolidata ha esclusivamente valore documentale.

DOCUMENTI CORRELATI

Comunicazione congiunta al Parlamento europeo, al Consiglio europeo e al Consiglio — Rafforzamento della resilienza e potenziamento delle capacità di affrontare minacce ibride [JOIN(2018) 16 final, del 13.6.2018].

Ultimo aggiornamento: 18.05.2022