La sentenza della Corte Suprema potrebbe minacciare la regolamentazione e le regole sulla sicurezza informatica
Una recente sentenza della Corte Suprema ha modificato in modo significativo il panorama dell’applicazione della regolamentazione negli Stati Uniti, con profonde implicazioni per la regolamentazione della sicurezza informatica. Il 28 giugno 2024, la Corte Suprema ha annullato la dottrina Chevron, un principio giuridico stabilito nel 1984 (Chevron v. Natural Resources Defense Council) che consentiva alle agenzie federali di interpretare le ambiguità della legge utilizzando la propria esperienza. Questa dottrina è stata la pietra angolare del sistema di regolamentazione federale per quattro decenni, consentendo alle agenzie di creare e far rispettare le regole con competenza tecnica ed efficienza.
La decisione della Corte Suprema impone che i tribunali debbano ora esercitare un giudizio indipendente nel determinare se un'agenzia ha agito nell'ambito della sua autorità statutaria. Questa sentenza elimina di fatto la necessità per i tribunali di rimettersi alla competenza dell’agenzia nei casi che coinvolgono statuti ambigui, ribaltando una pratica che è in vigore da quarant’anni. Secondo la Corte Suprema, "La legge sulla procedura amministrativa richiede che i tribunali esercitino il loro giudizio indipendente nel decidere se un'agenzia ha agito nell'ambito della sua autorità statutaria, e i tribunali non possono rimettersi all'interpretazione della legge da parte di un'agenzia semplicemente perché uno statuto è ambiguo; Chevron viene annullato."
Questo cambiamento ha ripercussioni significative sulla regolamentazione della sicurezza informatica negli Stati Uniti, che è gestita prevalentemente da agenzie federali come FDA, SEC e DHS. Queste agenzie hanno storicamente fatto affidamento sulla propria esperienza per interpretare e applicare leggi e regolamenti sulla sicurezza informatica. Tuttavia, con la sentenza della Corte Suprema, il controllo giudiziario svolgerà ora un ruolo più significativo in queste questioni, portando potenzialmente ad un aumento del contenzioso e delle sfide alle decisioni delle agenzie.
Ilia Kolochenko, avvocato presso Platt Law LLP e CEO di Immuniweb, ha osservato: "Questa decisione storica della Corte Suprema degli Stati Uniti avrà probabilmente conseguenze tettoniche e di lunga durata per la regolamentazione amministrativa negli Stati Uniti. Annullando la decisione quarantennale Secondo la vecchia dottrina Chevron, la Corte Suprema ha dato molto più potere giudiziario e margine di manovra ai tribunali nell’interpretazione della legge federale che può essere vaga, poco chiara o semplicemente silenziosa su alcuni elementi, come la sicurezza informatica, la privacy o la divulgazione di violazioni dei dati.
La sentenza implica che le aziende ora possono appellarsi alle decisioni delle agenzie senza che i tribunali si rimettano alla competenza delle agenzie. Ciò potrebbe portare a un aumento delle sfide legali e dei ricorsi, con aziende ben finanziate che potrebbero trattare le normative statunitensi in modo simile al modo in cui si avvicinano a quelle europee, attraverso ampie battaglie legali. Ken Dunham, direttore delle minacce informatiche presso Qualys TRU, prevede "uno tsunami di contenziosi per agenzie e/o funzionari federali, che ora potranno essere citati in giudizio in perpetuo per le decisioni prese".
Jody Freeman, docente della Harvard Law School, aggiunge: "Si tratta di un enorme spostamento di potere verso i tribunali e lontano dalle agenzie. E per contestualizzare il tutto, questo fa parte di una serie di casi in cui la Corte Suprema ha reso più difficile per le agenzie fare il loro lavoro."
Questo sviluppo solleva preoccupazioni sul futuro delle normative sulla sicurezza informatica. Kolochenko sottolinea che i tribunali potrebbero ora invalidare le norme amministrative che ritengono incompatibili con gli scopi statutari, influenzando le norme sulla sicurezza informatica, la divulgazione delle violazioni e le infrastrutture nazionali critiche. Ciò include iniziative recenti come le norme CIRCIA della CISA, che richiedono un'ampia segnalazione degli incidenti informatici nei settori delle infrastrutture critiche. Con il nuovo controllo giudiziario, queste regole sono più suscettibili di essere ribaltate.
Jason Porter, VP e CTO di Optiv + ClearShark, osserva: "Questo cambiamento probabilmente comporterà la messa in discussione e, infine, l'annullamento di ulteriori azioni normative, portando all'incertezza giuridica per gli organismi di regolamentazione e le industrie da loro supervisionate".
Anche se la sentenza della Corte Suprema pone diverse sfide, potrebbero esserci anche alcuni risultati positivi. Aaron Rose, ufficio del CTO di Check Point Software, vede potenziali vantaggi, come costringere il Congresso a redigere una legislazione più precisa e garantire che le agenzie basino le loro normative su standard legali chiari. Un maggiore controllo giudiziario potrebbe portare a sentenze più coerenti ed eque basate su principi giuridici consolidati.
Tuttavia, Rose evidenzia anche gli svantaggi: "Con la rapida evoluzione della tecnologia, in particolare nel campo della sicurezza informatica, un adattamento tempestivo è fondamentale. La decisione della Corte Suprema potrebbe rallentare l'attuazione delle misure necessarie, lasciando lacune da sfruttare da parte di hacker e malintenzionati."
In conclusione, la decisione della Corte Suprema di ribaltare la dottrina Chevron ha inaugurato una nuova era di supervisione normativa, spostando il potere dalle agenzie di esperti al sistema giudiziario. Sebbene questo cambiamento mira a garantire che le normative siano fondate su principi giuridici chiari, introduce incertezza e potenziali ritardi nel campo in rapida evoluzione della sicurezza informatica. Man mano che il panorama giuridico si adatta a questa sentenza, la sfida sarà quella di bilanciare il controllo giudiziario con la necessità di normative sulla sicurezza informatica guidate da esperti, tempestive ed efficaci.
