Torna agli articoli
Normativa10 luglio 20268 min di lettura

NIS2 e voce protetta: cosa richiede davvero l'articolo 21, paragrafo 2, lettera j)

L'articolo 21(2)(j) della NIS2 obbliga i soggetti essenziali e importanti a usare 'comunicazioni vocali, video e testuali protette' — con sanzioni fino a 10 milioni di euro o al 2% del fatturato mondiale. Ecco cosa dice letteralmente la norma, chi vincola e come soddisfarla in pratica.

L'obbligo in una frase

L'articolo 21, paragrafo 2, lettera j) della Direttiva NIS2 (direttiva (UE) 2022/2555) impone ai soggetti essenziali e importanti di 18 settori dell'UE l'«uso di soluzioni di autenticazione a più fattori o di autenticazione continua, di comunicazioni vocali, video e testuali protette e di sistemi di comunicazione di emergenza protetti da parte del soggetto al proprio interno, se del caso». Per i soggetti essenziali che lo ignorano, le sanzioni arrivano a 10 milioni di euro o al 2% del fatturato annuo mondiale.

L'articolo 21, paragrafo 2, elenca dieci misure minime di gestione dei rischi di cibersicurezza, dalle lettere a) a j), che ogni soggetto nell'ambito di applicazione deve attuare secondo un approccio 'multirischio' (all-hazards). La lettera j) — citata sopra testualmente dal testo ufficiale EUR-Lex [1] — è l'unica voce dell'elenco che nomina una classe specifica di applicazioni aziendali: le comunicazioni vocali, video e testuali. L'intercettazione delle comunicazioni interne è trattata come un rischio di prim'ordine, nella stessa lista della gestione degli incidenti e della sicurezza della catena di approvvigionamento.

La formula 'se del caso' è una clausola di proporzionalità, non un'esenzione. L'articolo 21, paragrafo 1, richiede misure 'adeguate e proporzionate' all'esposizione al rischio del soggetto, alle sue dimensioni e alla probabile gravità degli incidenti, incluso il loro impatto sociale ed economico [1]. Il soggetto che decide che le comunicazioni protette non sono 'adeguate' al proprio caso porta l'onere di documentare quel ragionamento — e di difenderlo davanti all'autorità di vigilanza, magari dopo che un'intercettazione è già avvenuta.

Chi rientra nell'ambito: due livelli, 18 settori

La NIS2 si applica ai soggetti 'essenziali' e 'importanti', individuati per settore, criticità e, di regola, dimensione aziendale. L'allegato I elenca undici settori ad alta criticità: energia, trasporti, settore bancario, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, gestione dei servizi TIC (business-to-business), pubblica amministrazione e spazio. L'allegato II aggiunge sette altri settori critici: servizi postali e di corriere, gestione dei rifiuti, sostanze chimiche, alimenti, fabbricazione, fornitori di servizi digitali e ricerca [1].

Il calendario non è più teorico. Gli Stati membri dovevano recepire la direttiva entro il 17 ottobre 2024 e applicare le misure dal 18 ottobre 2024 (articolo 41); gli elenchi nazionali dei soggetti essenziali e importanti andavano istituiti entro il 17 aprile 2025 (articolo 3, paragrafo 3) [1]. Il recepimento è arrivato in ritardo in gran parte dell'Unione: il 28 novembre 2024 la Commissione europea ha avviato procedure di infrazione contro 23 Stati membri per il mancato recepimento integrale della NIS2 nei termini [4]. Le leggi nazionali tardive hanno spostato le date di avvio dell'enforcement in alcuni Paesi — non hanno cambiato il contenuto degli obblighi.

Italia: il D.lgs. 138/2024 e l'ACN

L'Italia ha recepito prima della scadenza. Il decreto legislativo 4 settembre 2024, n. 138 è stato pubblicato nella Gazzetta Ufficiale n. 230 del 1° ottobre 2024 ed è entrato in vigore il 16 ottobre 2024 [3]. Il suo elenco di misure di gestione dei rischi ricalca l'articolo 21, paragrafo 2, incluse le 'comunicazioni vocali, video e testuali protette'.

L'Agenzia per la Cybersicurezza Nazionale (ACN) è l'Autorità nazionale competente NIS. I soggetti nell'ambito di applicazione devono registrarsi, o aggiornare la registrazione, sul portale digitale dell'ACN tra il 1° gennaio e il 28 febbraio di ogni anno, con aggiornamento annuale delle informazioni tra il 15 aprile e il 31 maggio; secondo il portale ACN, gli obblighi di notifica degli incidenti per i soggetti registrati si applicano da gennaio 2026 [5]. La registrazione è l'innesco dell'intero meccanismo italiano: l'organizzazione che non ha ancora valutato se appartiene a quell'elenco è già in ritardo.

Il regolamento di esecuzione 2024/2690: preciso sulla MFA, muto sulla voce

Per i soggetti del comparto delle infrastrutture digitali — fornitori di servizi DNS, registri dei nomi di dominio di primo livello, fornitori di servizi cloud e di data centre, CDN, fornitori di servizi gestiti e di servizi di sicurezza gestiti, mercati online, motori di ricerca, piattaforme di social network e prestatori di servizi fiduciari — la Commissione ha adottato il regolamento di esecuzione (UE) 2024/2690 il 17 ottobre 2024, entrato in vigore il 7 novembre 2024 [2]. Il suo allegato traduce ogni misura dell'articolo 21, paragrafo 2, in requisiti tecnici verificabili.

La mappatura della lettera j) è rivelatrice. La sezione 11 dell'allegato ('Controllo dell'accesso') copre le lettere i) e j) e specifica in dettaglio l'autenticazione a più fattori (punto 11.7) — ma non contiene alcuna ulteriore specifica tecnica sulle 'comunicazioni vocali, video e testuali protette' [2]. Nemmeno per la categoria più matura digitalmente dei soggetti regolati esiste una checklist a livello UE che definisca cosa significhi 'protetto' per una telefonata. Non è una scappatoia: è una delega. Ogni soggetto deve costruire la propria definizione attraverso la valutazione dei rischi ed essere pronto a difenderla davanti alla propria autorità di vigilanza.

Quanto costa la non conformità

L'articolo 34 rende direttamente sanzionabili le violazioni dell'articolo 21 — l'elenco che contiene la lettera j). I soggetti essenziali rischiano sanzioni amministrative pecuniarie pari a un massimo di almeno 10 000 000 EUR o al 2% del fatturato annuo mondiale totale dell'impresa nell'esercizio precedente, se superiore; per i soggetti importanti il tetto è di almeno 7 000 000 EUR o dell'1,4% [1].

Il denaro non è l'unica leva. Le autorità possono impartire istruzioni vincolanti e disporre audit; per i soggetti essenziali possono sospendere temporaneamente certificazioni o autorizzazioni e chiedere il divieto temporaneo di esercitare funzioni dirigenziali a livello di amministratore delegato o rappresentante legale [1]. E in base all'articolo 20, paragrafo 1, gli organi di gestione devono approvare le misure di gestione dei rischi di cibersicurezza, sorvegliarne l'attuazione e possono essere ritenuti responsabili delle violazioni. La scelta dello stack di telefonia e messaggistica aziendale è ormai, giuridicamente, una decisione da consiglio di amministrazione.

Cosa significa in pratica 'comunicazioni vocali protette'

La direttiva non definisce 'protette'. Letta alla luce dello scopo dell'articolo 21 — proteggere i sistemi informatici e di rete e i servizi che erogano — emergono quattro criteri che un'autorità di vigilanza può ragionevolmente sondare.

Primo: la cifratura end-to-end (E2EE). Se la voce è cifrata solo nel trasporto (TLS o SRTP verso un centralino o un server di conferenza), il contenuto esiste in chiaro sul server, e chi controlla quel server — il fornitore, il suo operatore cloud o un attaccante al suo interno — può ascoltare. Per conversazioni la cui intercettazione costituirebbe un incidente significativo, la sola cifratura di trasporto è difficile da difendere come 'protetta'. Secondo: la custodia delle chiavi. La vera domanda è chi può decifrare: se le chiavi le detiene il fornitore, la riservatezza è una promessa contrattuale, non una proprietà tecnica. Le parole 'al proprio interno' della lettera j) si sposano naturalmente con materiale crittografico sotto il controllo del soggetto — on-premises, in hosting sovrano o ancorato nell'hardware.

Terzo: l'identità autenticata. La lettera j) accoppia nella stessa frase comunicazioni protette e autenticazione a più fattori: sapere chi è in chiamata fa parte della misura. Con le frodi da clonazione vocale ormai praticabili, l'autenticità del parlante — non solo la cifratura del canale — appartiene al modello di minaccia. Quarto: la capacità out-of-band. I 'sistemi di comunicazione di emergenza protetti' indicano un canale che resta disponibile e affidabile quando l'infrastruttura primaria è compromessa o fuori uso. Durante la risposta a un ransomware, coordinare il ripristino sulla stessa rete controllata dall'attaccante può esporre la risposta stessa — mentre i termini di 24 ore per il preallarme e di 72 ore per la notifica dell'articolo 23 continuano a decorrere [1].

Una considerazione prospettica, oltre la lettera della NIS2: le chiamate cifrate possono essere registrate oggi e decifrate tra anni, quando i computer quantistici romperanno lo scambio di chiavi classico — lo scenario harvest-now-decrypt-later. Per comunicazioni la cui riservatezza deve durare un decennio, un key establishment post-quantistico come ML-KEM standardizzato dal NIST è un'aggiunta razionale a un'implementazione della lettera j), anche se la direttiva non lo richiede ancora.

Una checklist operativa

1) Determinare il proprio status — essenziale, importante o fuori ambito — e completare la registrazione nazionale (in Italia: portale ACN, dal 1° gennaio al 28 febbraio) [5]. 2) Censire ogni canale voce, video e messaggistica effettivamente in uso, compresi quelli non ufficiali sui telefoni dei dipendenti. 3) Classificare le conversazioni per impatto dell'intercettazione e decidere per iscritto dove servono canali protetti — documentando il ragionamento di proporzionalità dietro ogni esclusione.

4) Per ogni canale mantenuto, verificare la cifratura end-to-end e identificare chi detiene le chiavi; preferire una custodia sotto il proprio controllo. 5) Vincolare l'accesso alle comunicazioni a identità protette da MFA. 6) Predisporre un canale di emergenza out-of-band, indipendente dalla rete aziendale, e testarlo nelle esercitazioni di continuità operativa (articolo 21, paragrafo 2, lettera c)). 7) Riversare i requisiti nei contratti con i fornitori nell'ambito della sicurezza della catena di approvvigionamento (lettera d)). 8) Mettere a verbale approvazione dell'organo di gestione, formazione e date di riesame (articolo 20).

Dove si colloca la voce protetta in hardware

Gran parte del mercato risponde alla lettera j) con il software: app cifrate end-to-end che girano sullo stesso sistema operativo dello smartphone che ospita tutto il resto. Regge finché non è compromesso l'endpoint stesso — uno scenario che l'approccio multirischio della NIS2 contempla esplicitamente. È il vuoto per cui è costruito Q-Audion di BCrypto: un sistema voce anti-intercettazione cifrato in hardware che combina un auricolare cifrato, app Android/iOS/desktop, un server sovrano e una VPN post-quantistica. Il key establishment usa ML-KEM-1024 (NIST FIPS 203) implementato in un acceleratore crittografico hardware, con AES-256-GCM e un TEE ARM TrustZone-M. Il DMA Air-Gap, in attesa di brevetto, isola galvanicamente il percorso audio dal telefono ospite: un microfono MEMS dedicato risiede nell'enclave sicura e il sistema operativo del telefono non entra mai nel percorso audio, quindi uno spyware sul telefono non ha nulla da registrare. Il TinyML on-device esegue la verifica anti-deepfake del parlante — la metà 'autenticità' della lettera j). Il sistema è compatibile BYOD, con una supply chain progettata in Europa.

In un contesto regolatorio l'onestà conta: Q-Audion è a TRL 6 — firmware feature-complete, con CI cross-platform vincolata ai KAT — con tre brevetti depositati presso l'UIBM nel 2026, e non possiede ancora certificazioni: niente FIPS 140-3, niente Common Criteria, nessuna approvazione ANSSI, BSI o ACN. Le organizzazioni che oggi richiedono prodotti certificati devono tenerne conto. Quelle che progettano la propria architettura ex articolo 21(2)(j) per il prossimo decennio — custodia delle chiavi, capacità out-of-band, harvest-now-decrypt-later — potrebbero trovare nell'isolamento hardware la base più duratura. In ogni caso, l'obbligo è già in vigore: il momento giusto per decidere cosa significa 'voce protetta' per il proprio soggetto era il 18 ottobre 2024.

Fonti

  1. Directive (EU) 2022/2555 (NIS2 Directive) — full text, EUR-Lex CELEX:32022L2555
  2. Commission Implementing Regulation (EU) 2024/2690 of 17 October 2024 — EUR-Lex CELEX:32024R2690
  3. Decreto legislativo 4 settembre 2024, n. 138 — Gazzetta Ufficiale Serie Generale n. 230 del 01-10-2024
  4. European Commission — The Commission calls on 23 Member States to fully transpose the NIS2 Directive (28 November 2024)
  5. Agenzia per la Cybersicurezza Nazionale — Portale NIS

Pronto a proteggere la sua sovranità digitale?

Si unisca alla rivoluzione europea della sicurezza post-quantum. Contatti il nostro team per partnership istituzionali e collaborazioni strategiche.