In un’epoca in cui gli incidenti informatici possono compromettere la fiducia digitale, le istituzioni finanziarie e, di conseguenza, minare i processi democratici, la sola conformità normativa non è più sufficiente a garantire resilienza e legittimità. In tutta Europa, quadri normativi come la direttiva NIS2 e il regolamento DORA rappresentano un passo significativo verso requisiti più rigorosi in materia di sicurezza informatica. Tuttavia, alla base di questo slancio normativo emerge una questione più profonda e cruciale per comprendere l’evoluzione futura del settore informatico: la sola conformità legislativa è sufficiente a generare fiducia nell’intero ecosistema digitale, oppure è necessario che gli attori, sia pubblici che privati, adottino standard etici che vadano oltre gli obblighi giuridici?
Questo interrogativo si colloca al centro del dibattito contemporaneo in materia di cybersecurity e public affairs. L’attività di lobbying, considerata tradizionalmente uno strumento per plasmare la regolamentazione a favore di determinati interessi, può essere oggetto di una progressiva ridefinizione. Anziché limitarsi a ridurre i vincoli normativi, il lobbying ha la possibilità di innalzare gli standard, aumentare la trasparenza e la fiducia nel sistema.
L’articolo si propone di far luce su un tema fondamentale: fino a che punto l’attività di lobbying nel settore della sicurezza informatica può evolversi da strumento di negoziazione normativa a motore di responsabilità etica e fiducia digitale?
Dalla pressione normativa verso un impegno etico
L’attuazione della direttiva Network and Information Security Directive 2 (NIS2) e del Digital Operational Resilience Act (DORA) dimostra la volontà dell’Unione europea di unificare le misure di cybersicurezza tra gli Stati membri e i diversi settori. La direttiva NIS2 amplia la portata degli obblighi in materia di cybersicurezza includendo una più ampia varietà di imprese, mentre il DORA si concentra sugli istituti finanziari, imponendo standard rigorosi per la gestione del rischio e la segnalazione degli incidenti. Ciò con l’obiettivo di rafforzare la resilienza del sistema finanziario alle minacce informatiche.
Questi framework sono incentrati principalmente sulla conformità. Le singole organizzazioni devono stabilire misure di sicurezza tecnologiche e organizzative, eseguire audit frequenti e segnalare i problemi entro tempistiche specificate nei quadri normativi. Tuttavia, la conformità non è sempre sinonimo di efficacia, né garantisce la fiducia. Infatti, l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) sottolinea che “una cultura della cibersicurezza non può essere ridotta a una lista di obblighi; richiede un impegno continuo e una responsabilità condivisa”.
Il contrasto tra conformità formale e impegno reale è quindi cruciale. Le aziende che considerano la regolamentazione come un requisito minimo possono anche essere conformi alla legge, ma non riuscire a instaurare un rapporto di fiducia con gli stakeholder. Le organizzazioni che adottano concetti etici, come la trasparenza e la gestione proattiva del rischio, possono invece distinguersi in mercati più competitivi e attenti.
L’evoluzione del lobbying nella cybersecurity
Nel settore della cybersecurity, il lobbying, si è generalmente concentrato sull’influenzare gli esiti normativi, cercando flessibilità, riducendo i costi di conformità o migliorando regolamenti poco chiari. Sebbene questi ruoli rimangano importanti, coprono solo un singolo aspetto degli affari pubblici.
Il lobbying rappresenta un elemento sempre più integrato nei processi decisionali democratici, con un ruolo che va oltre la mera difesa di interessi particolari e si estende alla partecipazione attiva nella costruzione delle politiche pubbliche. Questa include la fornitura di consulenza tecnica ai legislatori e la facilitazione della definizione di best practice a livello di settore. In questo contesto, il lobbying funge da collegamento tra le autorità di regolamentazione e le entità regolamentate, consentendo la comprensione reciproca e la co-creazione di quadri normativi.
Secondo lo studio dell’OCSE su lobbying e influenza, le parti interessate che interagiscono in modo costruttivo con gli organi di regolamentazione, fornendo dati, condividendo valutazioni del rischio e proponendo soluzioni, hanno maggiori probabilità di contribuire a definire normative efficaci e sostenibili. Nel campo della sicurezza informatica, dove la complessità tecnica spesso supera la capacità normativa, tali contributi risultano particolarmente utili. Inoltre, il Codice di condotta del Registro per la trasparenza dell’UE definisce criteri etici per la rappresentanza degli interessi che privilegiano l’integrità, la trasparenza e la responsabilità. Il rispetto di questi principi è più di un semplice requisito procedurale; dimostra un impegno per un’attività di lobbying responsabile, che può accrescere la credibilità sia del processo di lobbying che dei risultati ottenuti.
Relazioni istituzionali e costruzione della fiducia digitale
La fiducia nell’economia digitale è fondamentalmente relazionale. Essa è determinata dalle relazioni tra governi, aziende e individui, nonché dall’affidabilità percepita dei meccanismi che facilitano queste interazioni. Le relazioni istituzionali, che includono le relazioni pubbliche e il coinvolgimento degli enti regolatori, contribuiscono direttamente a costruire o erodere tali percezioni. Nel campo della sicurezza informatica, ciò si può tradurre in diversi aspetti: metodologie collaborative di gestione del rischio, sistemi cooperativi di risposta agli incidenti, piattaforme di condivisione delle informazioni a livello privato e pubblico.
Il settore bancario offre un esempio concreto. In base al DORA, gli istituti finanziari devono collaborare con le autorità di regolamentazione e con le altre istituzioni per migliorare la resilienza operativa. Ciò implica contribuire alla condivisione di informazioni sulle minacce e a esercitazioni di test coordinate. Tali tecniche non solo aumentano la preparazione tecnica, ma rafforzano anche la fiducia tra i partecipanti.
Dal punto di vista delle relazioni pubbliche, le organizzazioni che partecipano attivamente alle attività che favoriscono la resilienza operativa rafforzano la propria credibilità come attori responsabili, contribuendo alla stabilità del sistema. Questo capitale reputazionale assume un ruolo sempre più determinante. Ciò perché le parti interessate, che vanno dalle autorità di regolamentazione agli investitori, analizzano non solo i dati relativi alla conformità, ma anche le procedure di governance e gli impegni etici.
Il ruolo dei codici etici nell’attività di lobbying
Le norme e gli standard etici costituiscono la base per un comportamento accettabile nel campo della sicurezza informatica e del lobbying. Nel settore informatico, standard come ISO/IEC 27001 forniscono le migliori pratiche per la gestione della sicurezza delle informazioni, quali la valutazione del rischio e il miglioramento continuo. Questi standard, oltre al loro aspetto tecnico, danno priorità alla cultura aziendale.
Nel contesto dell’attività di lobbying, le norme etiche, come quelle enunciate nel Registro per la trasparenza dell’UE, specificano i comportamenti appropriati, tra cui il divieto di fornire informazioni fuorvianti, la responsabilità di dichiarare i propri interessi e l’obbligo di rispettare i processi istituzionali. Il rispetto degli standard etici è fondamentale per preservare l’integrità delle attività di relazioni pubbliche.
La confluenza tra questi due ambiti – etico e tecnico – è di fondamentale importanza. La promozione della sicurezza informatica comporta spesso complesse sfide tecnologiche con notevoli ripercussioni sociali. Gli standard etici possono quindi aiutare i professionisti a trovare un equilibrio tra interessi commerciali e bene pubblico, garantendo che le attività di lobbying contribuiscano alla sicurezza collettiva, anziché danneggiarla. Infatti, alcuni gruppi professionali hanno sottolineato la necessità di un comportamento etico nelle procedure di sicurezza, evidenziano l’importanza di una strategia globale che includa conformità e responsabilità etiche.
L’attività di lobbying e la fiducia digitale
L’attività di lobbying nel settore della sicurezza informatica sta quindi attraversando una transizione lenta ma significativa, incentrata sull’etica. Sebbene il suo ruolo tradizionale di gestione dei vincoli normativi rimanga importante, ora viene affiancato da un ruolo più strategico nella definizione di norme di etica e nella promozione della trasparenza.
L’attività di lobbying può andare oltre una semplice posizione difensiva. Può, infatti, fungere da canale di collaborazione tra attori pubblici e privati per la creazione di istituzioni di governance più solide e affidabili. Tuttavia, questo sviluppo non avviene automaticamente. Richiede decisioni consapevoli da parte di organizzazioni e professionisti per andare oltre una strategia limitata incentrata sulla conformità e integrare determinati valori nelle proprie campagne di sensibilizzazione. L’etica, pertanto, emerge non come un complemento alla conformità, ma come sua necessaria estensione, nonché come tratto distintivo di un’attività di lobbying matura e autentica.
*Immagine di copertina: [Immagine generata con Google Gemini (Google)]
L’articolo è stato redatto in collaborazione con Bruno · Pavlov & Partners, società internazionale specializzata in relazioni istituzionali, lobbying, public affairs, comunicazione e formazione.
