Il dibattito sulla necessità di modernizzare le leggi informatiche del Regno Unito è tornato al centro dell’attenzione con la pubblicazione, il 16 Apr 2026, di un rapporto promosso dalla CyberUp Campaign. L’analisi arriva a ridosso della conferenza CYBERUK e denuncia come il Computer Misuse Act del 1990 non rispecchi più le pratiche odierne della ricerca in sicurezza informatica e continui a creare incertezza legale per chi quotidianamente scopre e segnala vulnerabilità.
Il rapporto sottolinea rischi concreti per la resilienza nazionale: oltre al costo stimato degli attacchi informatici, che raggiunge quasi £15 miliardi annui nel Regno Unito, l’incertezza normativa scoraggia investimenti, complica il reclutamento di talenti e limita collaborazione tra settore privato, università e istituzioni. In questo contesto, la proposta della campagna mira a trasformare un problema giuridico in una soluzione operativa per la difesa digitale.
Perché l’attuale normativa è inadeguata
Il cuore della criticità risiede nell’articolazione dell’offesa di accesso non autorizzato prevista dal Computer Misuse Act. Scritta prima della diffusione del web moderno, la norma può essere applicata anche a chi agisce per migliorare la sicurezza, generando casi ambigui e timori di azioni penali. Molti paesi hanno invece aggiornato i propri codici per chiarire che la ricerca etica non è sinonimo di reato quando condotta in buona fede e secondo regole definite, e la lista include Australia, Belgio, Francia, Germania, Hong Kong, Malta, Portogallo e Stati Uniti.
Esempi internazionali e il caso del Portogallo
Un esempio concreto citato nel rapporto è il Decreto-Lei 125/2026 del Portogallo, che ha recepito la direttiva NIS2 dell’UE e aggiornato la disciplina penale relativa ai crimini informatici.
La nuova normativa riconosce che parte del lavoro di sicurezza può comportare accessi senza consenso esplicito purché svolto in buona fede e nel pubblico interesse. Le condizioni pratiche previste richiedono, tra l’altro, la segnalazione immediata delle vulnerabilità, il divieto di azioni dannose come DDoS o installazione di malware, e l’eliminazione dei dati accidentalmente accessibili entro un termine definito, rendendo così la ricerca difensiva un’attività regolata e tutelata.
La proposta della CyberUp: un Defence Framework
Per risolvere l’ambiguità la CyberUp Campaign ha elaborato un Defence Framework che offre una difesa statutaria per i professionisti purché rispettino quattro principi. Questo approccio non chiede esenzioni totali, ma una cornice che bilanci l’interesse pubblico e la prevenzione del danno, dando chiarezza operativa a chi conduce test o analisi di sicurezza.
I quattro pilastri del quadro difensivo
Danno vs. beneficio: l’attività deve dimostrare che i vantaggi superano i rischi potenziali; Proporzionalità: è necessario adottare tutte le misure ragionevoli per limitare l’impatto; Intento: l’azione deve essere guidata dall’onestà e dall’obiettivo di migliorare la sicurezza; Competenza: le capacità professionali e le affiliazioni devono attestare l’idoneità dell’operatore. Ogni pilastro viene proposto come criterio valutabile in sede giudiziaria per riconoscere una difesa legittima.
Strade legislative e rischi di ritardo
La campagna individua nel Cyber Security and Resilience Bill il veicolo più adatto per tradurre il Defence Framework in norma. Senza un intervento, dicono i promotori, il Regno Unito potrebbe vedere ridotta la propria attrattività per specialisti e investimenti, rimanendo indietro rispetto a Stati che hanno già bilanciato sicurezza e responsabilità legale.
La proposta vuole inoltre facilitare relazioni più aperte tra governo e settore, favorendo lo scambio di informazioni e standard condivisi.
In sintesi, il rapporto della CyberUp Campaign non invoca impunità ma un sistema di regole che permetta ai professionisti della sicurezza di operare con certezza legale. Aggiornare il Computer Misuse Act attraverso strumenti legislativi esistenti è, secondo gli autori, una condizione necessaria per rafforzare la difesa nazionale, proteggere infrastrutture critiche e mantenere il Regno Unito competitivo nel panorama globale della cyber sicurezza.
