1. Introduzione
Con la fuga di dati, gli attacchi ransomware e altri incidenti di sicurezza informatica che stanno diventando sempre più dilaganti e circa il 18% (diciotto percento) degli indiani è vittima di tali incidenti di sicurezza informatica[1]ci si aspetterebbe l’Indian Computer Emergency Response Team (“CERT-In“) – “il agenzia di riferimento affidabile per utenti informatici in India per la risposta agli incidenti di sicurezza informatica“[2] essere una parte importante del discorso sulla sicurezza informatica in India. Al contrario, finora, il CERT-In non è stato così cospicuo o proattivo come altre agenzie governative indiane nell’esercitare i suoi poteri fino a poco tempo, quando ha emesso “Direttive relative alle pratiche di sicurezza delle informazioni, procedura, prevenzione, risposta e segnalazione di incidenti informatici” (“le direzioni”) e le FAQ esplicative ivi contenute (“le FAQ“).[3]
Questo articolo cerca di svelare il ruolo di CERT-In, le Direzioni e il percorso da seguire per le parti interessate.
2. Che cos’è CERT-In, i suoi ruoli e le sue funzioni?
Il CERT-In è stato funzionale sotto il Ministero dell’elettronica e della tecnologia dell’informazione, governo indiano (“METÀ”) dal gennaio 2004.[4] CERT-In è stata designata come l’agenzia nodale per la risposta agli incidenti di sicurezza informatica come e quando si verificano attraverso un emendamento all’Information Technology Act, 2000 (“Legge sull’informatica“) nel 2008.[5] Di conseguenza, le funzioni designate di CERT-In devono essere l’agenzia nazionale per (i) raccolta, analisi e diffusione di informazioni sugli incidenti informatici[6]; (ii) previsione e allerta di incidenti di sicurezza informatica[7]; (iii) coordinamento delle attività di risposta agli incidenti informatici; (iv) emanare linee guida, avvisi, note sulla vulnerabilità e white paper relativi a pratiche, procedure, prevenzione, risposta e segnalazione di incidenti informatici in materia di sicurezza delle informazioni; e (v) le altre funzioni relative alla sicurezza informatica eventualmente prescritte da MEITY.[8]
Alla luce delle suddette funzioni, MEITY ha emanato le Regole di Information Technology (The Indian Computer Emergency Response Team and Manner of Performing Functions and Duties), 2013 (“Regolamento CERT-In“). Il Regolamento CERT-In tra l’altro prevede l’obbligo di segnalare obbligatoriamente determinati incidenti di sicurezza informatica, le modalità di risposta a tali incidenti da parte di CERT-In, la raccolta, l’analisi e la divulgazione di informazioni relative a tali incidenti di sicurezza informatica, nonché il potere di CERT-In di impartire indicazioni e garantendone la conformità. Tali obblighi di segnalazione sono tuttavia obbligatori per fornitori di servizi, intermediari, data center e persone giuridiche ai sensi del Regolamento CERT-In[9]. È in base al Regolamento CERT-In letto con la Sezione 70B (6) dell’IT Act che le Direttive sono state emanate.
3. Punti salienti delle Direzioni e preoccupazioni delle parti interessate
Le Direzioni impongono 6 (sei) requisiti che devono essere rispettati da tutti i fornitori di servizi, intermediari, data center, enti e organizzazioni governative, tuttavia, alcuni requisiti prescritti dalle Direttive sono più specificamente applicabili ai Virtual Private Server (“VPS”), fornitori di servizi cloud (“CSP“), Rete privata virtuale (“VPN”) fornitori di servizi, fornitori di servizi di risorse virtuali, scambi di risorse virtuali e portafogli di custodia. (collettivamente “Parti interessate“).[10] I punti salienti di questi requisiti sono stati forniti di seguito:
a Sincronizzazione con il Protocollo Orario Nazionale – Tutte le parti interessate sono state incaricate di sincronizzare le proprie tecnologie dell’informazione e della comunicazione (“TIC”) orologi di sistema con il National Time Protocol (““NTP”) server del Centro Nazionale di Informatica (“niente”) o il Laboratorio di Fisica Nazionale (“NPL“). Un’eccezione è stata ritagliata nelle FAQ per le parti interessate con infrastruttura ICT in più aree geografiche in cui sono libere di utilizzare fonti temporali accurate e standard diverse da NPL e NIC a condizione che la fonte temporale su cui si basano tali parti interessate non si discosti da NPL o NIC . MEITY nelle FAQ ha chiarito che l’intenzione di introdurre questo requisito nelle Direzioni è garantire che vengano utilizzate solo le strutture di tempo standard in tutte le entità.[11] Tuttavia, le parti interessate hanno sollevato diverse preoccupazioni al riguardo, affermando che le preoccupazioni relative alla latenza potrebbero essere esaurite dato che la maggior parte delle parti interessate utilizza già server di qualità superiore che sono già a loro disposizione. Sono state anche sollevate domande sull’affidabilità dei server NIC e/o NPL che potrebbero essere facilmente sopraffatti.[12] Inoltre, nelle FAQ, il MEITY ha anche chiarito che non è necessario impostare obbligatoriamente gli orologi di sistema nell’ora solare indiana (IST) e l’attuale direttiva richiede una sincronizzazione dell’ora uniforme su tutti i sistemi ICT indipendentemente dal fuso orario.
b. Segnalazione obbligatoria di alcuni incidenti di sicurezza informatica – Tutti gli Stakeholder devono obbligatoriamente segnalare gli incidenti informatici di cui all’Allegato-I delle Direttive entro 6 (sei) ore dalla segnalazione di tali incidenti. Si segnala che l’Allegato-I delle Direttive aggiunge 10 (dieci) nuove tipologie di incidenti informatici che devono essere obbligatoriamente segnalati in aggiunta alle 10 (dieci) tipologie di incidenti informatici già prescritte dall’Allegato al Regolamento CERT-In. Le nuove aggiunte tra l’altro includere (a) violazioni dei dati; (b) fughe di dati; (c) attacchi tramite app mobili dannose; (d) attacchi o incidenti che interessano i pagamenti digitali; (e) accesso non autorizzato agli account dei social media; (f) Attacchi o attività dannose/sospette che interessano sistemi/server/reti/software/applicazioni relative al cloud computing, blockchain, risorse virtuali ecc.
MEITY ha chiarito nelle FAQ che l’onere di segnalare tali incidenti di sicurezza informatica è stato posto a carico di qualsiasi entità che se ne accorga e che tale obbligo non può essere trasferito contrattualmente a nessun’altra entità. Inoltre, dato che tale requisito è stato ampiamente dibattuto e criticato, MEITY, nelle FAQ ha chiarito che l’obbligo di rendicontazione entro 6 (sei) ore è limitato alla fornitura di informazioni a disposizione dello Stakeholder in quel momento e che ulteriori informazioni potrebbero essere segnalato a CERT-In in un “termine ragionevole”.[13] Inoltre, data l’ambiguità sul significato delle tipologie di incidenti di sicurezza informatica da segnalare al CERT-In (come riportato nell’Allegato I della Direttiva), MEITY ha fornito un elenco illustrativo di spiegazioni sulle tipologie di sicurezza informatica incidenti che devono essere segnalati nell’Allegato-I delle FAQ.[14] Detto questo, le parti interessate hanno sollevato preoccupazioni affermando che i tipi di incidenti di sicurezza informatica che devono essere obbligatoriamente segnalati sono numerosi e hanno connotazioni ampie. Si teme che questo requisito possa non solo essere oneroso per le parti interessate, ma possa anche peggiorare la situazione per la sicurezza informatica in India poiché la capacità di CERT-In di rispondere efficacemente all’enorme numero di incidenti di sicurezza informatica che riceverebbe sarebbe notevolmente ridotto.[15]
c. Manutenzione obbligatoria dei registri da parte di tutte le parti interessate – Le Direttive richiedono a tutte le parti interessate di abilitare obbligatoriamente i registri di tutti i loro sistemi ICT in modo sicuro su base continuativa per un periodo di 180 (centottanta) giorni e di mantenerli all’interno della giurisdizione indiana. Tali registri devono essere prodotti quando ordinati da CERT-In. Tuttavia, MEITY ha chiarito nelle FAQ che tali registri possono essere archiviati al di fuori dell’India anche se l’obbligo di produrre gli stessi a CERT-In viene rispettato dalle entità in un tempo ragionevole.[16] MEITY ha anche chiarito nelle FAQ che l’obbligo di mantenere e produrre tali registri non è solo per le entità indiane ma anche per qualsiasi entità che offre servizi agli utenti in India. Le parti interessate hanno sollevato diverse preoccupazioni relative alla privacy e alla protezione delle informazioni personali degli utenti, in particolare gli interessati di giurisdizioni straniere come l’Europa e gli Stati Uniti e il suo impatto a lungo termine sulla libera trasferibilità dei dati[17] anche se sembrano non essere stati affrontati nelle FAQ.[18]
d. Registrazione di determinate informazioni tramite VPS, VPN e CSP – VPS, VPN e CSP sono stati incaricati di raccogliere e mantenere le informazioni dei rispettivi abbonati/clienti per un periodo non inferiore a 5 (cinque) anni. Le informazioni che devono essere raccolte e archiviate secondo le Istruzioni includono (a) nomi, indirizzi e dettagli di contatto convalidati degli abbonati/clienti; (b) periodo di assunzione/assunzione; (c) ID e-mail e indirizzo IP utilizzati durante la registrazione, tra gli altri. Ulteriori chiarimenti sul tipo di dati che si vogliono raccogliere e archiviare da VPS, VPN e CSP sono stati forniti nelle FAQ in cui è stato chiarito che le Direttive si applicano ai fornitori di servizi VPN che forniscono “servizi simili a proxy Internet” e non alle imprese /VPN aziendali.[19] Questa direttiva ha ricevuto le critiche più aspre da parte delle parti interessate e ha anche portato l’esodo dei fornitori di servizi VPN dall’India a essere effettivamente una campana a morto per i servizi VPN di qualità in India.[20]
e. Nomina di un punto di contatto – Le Direttive richiedono a tutti gli Stakeholder di nominare un punto di contatto per interfacciarsi con il CERT-In proprio come il Nodal Officer previsto dal Regolamento Information Technology (Linee guida Intermedia e Codice Etico dei Media Digitali), 2021 (“Regole intermedie“). Ulteriori chiarimenti al riguardo sono stati forniti nelle FAQ in cui è stato confermato che anche quegli enti che non hanno una presenza fisica in India ma offrono servizi agli utenti in India dovrebbero nominare un punto di contatto. Le conseguenze di vasta portata di questo requisito, in particolare da una residenza fiscale, una stabile organizzazione, ecc. potrebbe dover essere esaminato.
f. Manutenzione dei record di Know Your Customer – Tutti i fornitori di servizi di risorse virtuali, fornitori di servizi di scambio di risorse virtuali e fornitori di servizi di portafoglio di custodia sono stati indirizzati a mantenere tutto Know Your Customer (“KYC”) registrazioni da loro ottenute per un periodo di 5 (cinque) anni. Mentre la competenza di CERT-In a impartire indicazioni in merito ai record KYC di per sé è stata messa in discussione da alcuni, vi è un’eccessiva incertezza normativa nei confronti degli asset virtuali e degli scambi di asset virtuali anche per quanto riguarda l’applicabilità delle norme KYC prescritte dal Reserve Bank of India, il Securities and Exchange Board of India (“RBI”) e il Dipartimento delle Telecomunicazioni (tutti citati nelle Direzioni) alle entità che si occupano di attività virtuali. In tale scenario, si potrebbe sostenere che CERT-In non ha né la competenza legislativa né è prudente che interferisca in settori che sono già stati ben regolamentati da regolatori settoriali più efficienti come l’RBI.
4. INDUSLAW View e il percorso da seguire
Le Direttive sono ora entrate in vigore con decorrenza 27 giugno 2022 ad eccezione delle micro, piccole e medie imprese e per VPS, VPN e CSP in merito al mantenimento delle informazioni validate degli utenti/clienti come previsto nelle Direttive. La decorrenza di tali Stakeholder esentati è stata prorogata al 25 settembre 2022. Ciò premesso, tutti gli altri Stakeholders sono tenuti all’immediata osservanza delle Direttive se non già in regola, tanto più che la sanzione applicabile in caso di inosservanza prevede la reclusione per un periodo fino a 1 (un) anno o con multa fino a INR 1.00.000/- (un lakh rupie), (circa 1.250 USD/-) o entrambi.[21] Si segnala che in virtù dell’applicabilità extraterritoriale della Legge Informatica,[22] le Direttive non sono applicabili solo agli Stakeholder in India, ma sono applicabili anche agli Stakeholder esteri che servono i clienti in India. Lo stesso è stato ribadito anche nelle FAQ.[23]
Detto questo, il percorso verso la conformità può essere oneroso e faticoso per tutti gli Stakeholder, dato l’approccio adottato da MEITY nell’affrontare le preoccupazioni del settore, come risulta evidente dalla sua decisione di mantenere la tempistica di 6 (sei) ore per la segnalazione degli incidenti di sicurezza informatica invariato nonostante le rappresentazioni delle parti interessate interessate[24] e le sue dichiarazioni che invitano le parti interessate che non rispettano le Direttive a lasciare l’India.[25] Nello scenario attuale, la linea di condotta più prudente è quella di rispettare le Direttive con il massimo impegno ed essere trasparenti con il governo in merito alle sfide che gli Stakeholder devono affrontare al riguardo.
.