Negli ultimi mesi il tema della cyber security è sempre più prioritario e discusso in tutti gli ambienti, dalla politica all’economia, dai salotti televisivi ai social. Questo perché con la guerra in Ucraina sono coincisi anche in Italia attacchi informatici, o ‘malfunzionamenti’. Il quesito che ne scaturisce e per il quale ci sono tuttora posizioni contrastanti, non riguarda solamente se questi attacchi siano di matrice russa, ma se si possa finalmente parlare chiaro: lo scontro russo-ucraino non è solo una guerra, ma una vera e propria cyber war. Per questo abbiamo voluto rivolgere alcune domande a Ranieri Razzante, Consigliere per la cybersecurity del sottosegretario alla Difesa, docente di Legislazione antiriciclaggio all’Università di Bologna e di Diritto dell’economia all’Università di Cassino, direttore Centro di ricerca su sicurezza e terrorismo. Gli investimenti e le riforme per la trasformazione digitale della PA, soprattutto per il cloud, prospettati dal PNRR, prevedono misure di rafforzamento per le difese cyber, ma il Piano sembrerebbe porre molta attenzione alla PA e alla continuità dei suoi servizi, non considerando appieno la cyber security delle imprese valutata come capacità per far fronte ad attacchi massivi volti a bloccare la produzione. Cosa sta facendo di concreto l’Italia per aumentare la resilienza agli attacchi cyber? A oggi siamo supportati da idonee politiche di investimento e da una governance efficace? È l’investimento 1.5 della M1C1 che prevede 0,62 miliardi di euro per la cyber security sufficiente? La nascita dell’Agenzia per la cybersicurezza, unita alla riorganizzazione del comparto intelligence e security dedicato al contrasto alla criminalità informatica, è quanto mai tempestiva, ed è avvenuta proprio a ridosso degli attacchi-cyber che l’Italia ha subito, nel corso di questi mesi. Le disposizioni italiane contengono una serie di novità di non poco momento per l’ordinamento giuridico del nostro Paese. Innanzitutto, la delimitazione degli oggetti di tutela: reti, sistemi informativi, servizi informatici, comunicazioni elettroniche, al fine di assicurarne “la disponibilità, la confidenzialità, l’integrità, la resilienza”. In Italia il suddetto decreto istitutivo accentra di competenze, nel senso però del loro migliore coordinamento, che passa alla Presidenza del Consiglio in via diretta. Troppe erano infatti le frammentazioni tra enti, ministeri, organi investigativi, come ribadito nelle audizioni parlamentari. Si chiarisce, in buona sostanza, che al ministero della Difesa resterà l’avanzata expertise e cura della protezione delle strutture militari e strategiche, al Dis e ai Servizi la raccolta di informazioni, alle forze di Polizia la repressione degli attacchi cyber. È stato creato come noto un Comitato interministeriale per la cybersicurezza, con funzioni consulenziali, di proposta e vigilanza sulle policy in materia. In sostanza, vi partecipano i rappresentanti dei dicasteri tutti, ed è evidente, con ciò, la trasversalità della minaccia, così come la necessità integrata della risposta. Inoltre, la creazione di un cloud che faccia da recovery dei dati essenziali da proteggere è una delle mission più importanti, nonché – come conclusione sembra la migliore – “il rafforzamento dell’autonomia industriale e tecnologica dell’Italia, valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali” (art. 7, comma 2, lett. m-bis). Una “nostra” industria cyber, insomma. Sono più di 600 milioni di euro i fondi destinati a interventi per implementare la cybersecurity nel Paese e nelle Pubbliche Amministrazioni italiane. L’obiettivo dell’investimento 1.5 del PNRR (M1C1 Digitalizzazione, innovazione e sicurezza nella PA) sulla cybersecurity è infatti quello di rafforzare i servizi di gestione della minaccia cyber per la protezione dell’ecosistema digitale nazionale. L’Agenzia curerà la realizzazione dell’investimento, l’attuazione della strategia cyber nazionale, che si articola a sua volta su tre pilastri: sviluppare e rafforzare i servizi cyber nazionali in modo diffuso nel Paese, identificando tempestivamente gli eventi informativi malevoli e mitigandone gli effetti; rafforzare le capacità nazionali di scrutinio e certificazione tecnologica a supporto di un’adozione consapevole di nuove tecnologie digitali; potenziare le capacità cyber della Pubblica Amministrazione per conservare e gestire in tutta sicurezza i dati e i service dei cittadini. Credo sinceramente che ciò sia a oggi sufficiente per una protezione efficace, fermo rimanendo che si monitoreranno nel tempo e nel continuo le esigenze e le minacce. A inizio aprile, in merito alle presunte minacce esterne sulla rete del ministero della Transizione ecologica, il ministro Cingolani dichiarava: “Abbiamo minacce esterne rilevate sulla rete informatica del ministero e per prudenza abbiamo dovuto sospendere il funzionamento di tutti i sistemi informatici del ministero”. E alla domanda se si trattasse di cyber attacco russo, il ministro rispondeva: “Impossibile rispondere in questo momento”. Poi è stato il down dei siti di Agenzia delle Entrate, ministero delle Finanze, Agenzia delle dogane e Sogei. E infine anche Trenitalia è stata colpita da un attacco ransomware. Perché questo tipo di attacco è tanto frequente e perché siamo ancora così vulnerabili? Come si potrebbero evitare? In questi casi, l’ipotesi che si tratti di attacchi partiti dalla Russia, è da escludere? L’attacco hacker a Trenitalia – come gli altri citati – non serve più di tanto come spunto per farci prendere atto di una realtà immanente e incombente. Gli attacchi di terra sono prevedibili e per fortuna in parte contrastabili. Purtroppo le guerre convenzionali trascinano le persone, quindi il prezzo è molto più alto indubbiamente. Ma stanno diventando altrettanto cruenti gli attacchi non convenzionali, perché non sono prevedibili e fronteggiabili da nessun esercito attrezzato. Va detto che siamo potenziali bersagli di hacker russi, cui l’esperienza non manca certo, e di quanti altri abbiano deciso – e sono in tanti – di approfittare degli sterminati spazi offerti dal web per spaventare i governi, e in ogni caso trarne profitti. Ogni guerra, annunciata e, peggio, condotta in porto, crea disastri visibili e non. Tra questi ultimi, la devastazione psicologica e sociale, l’incertezza ansiogena sul futuro, le aspettative funeste su sicurezza ed economia. Gli attacchi cyber fanno lo stesso, e forse di più. I danni conseguenza, come si chiamano nel gergo militare, vengono centellinati nell’immediato defluire del cyber attacco. Il ripristino della rete o sito attaccati richiedono molto tempo e denaro. Nel nostro caso, e grazie alla prontezza delle forze dedicate, si è contenuto l’impatto sulla circolazione dei treni, per esempio, e si è evitata una perdita importante di dati. Secondo un rapporto del World Economic Forum dell’inizio di quest’anno, i due rischi micidiali che il mondo dovrà affrontare per il 2022 sono l’affollamento spaziale e proprio gli attacchi informatici. Questi ultimi sarebbero costati nel solo 2020 oltre 400 milioni di dollari in riscatti. Mentre i governi di tutto il mondo cercano di promuovere il sacrosanto e auspicabile accordo tra Russia e Ucraina perché cessino di combattersi, le stesse potenze economiche e industriali devono prendere atto di una urgente riconsiderazione dell’utilizzo delle tecnologie, e della loro messa in sicurezza secondo schemi di protezione non più ancorati ai semplici antivirus. Anche perché, se pensiamo al caso Kaspersky, sugli antivirus dobbiamo davvero essere molto prudenti. Per tali motivi, gli attacchi si evitano non solo con la prevenzione dell’intelligence, della Difesa e dell’ACN, ma soprattutto con comportamenti individuali responsabili dei cittadini che usano la rete. Per quanto riguarda gli hacker russi, certamente non possiamo escludere che abbiano agito e che possano continuare a farlo. D’altronde non è la prima volta che la Russia sferra attacchi cibernetici ad altri Paesi. Pensiamo agli ultimi contro l’Ucraina: il malware distruttivo c.d. WhisperGate, gli attacchi DDoS che hanno reso irraggiungibili molteplici siti dell’esercito, del governo e delle banche del territorio ucraino contro l’Ucraina, i malware HermeticWiper, IsaacWiper, MicroBackdoor. Le stesse Big Tech, da Facebook ad Amazon, in questo ultimo periodo hanno poi rilevato tentativi di diffusione di false informazioni e sottrazione di dati personali. Possiamo allora definirla cyber war? Sì, il tentativo di diffusione di false informazioni, la sottrazione di dati personali e, più in generale, gli attacchi informatici nei confronti dei Governi possono essere definiti come cyber war. Mi limito a far notare che la peculiarità esplosiva dei cyber attacchi è quella di risultare efficaci anche se non riescono o, peggio, se vengono semplicemente annunciati. La nostra agenzia per la cybersicurezza lo aveva opportunamente già annunciato, credo però sia arrivato il momento di riunire intorno a un tavolo, appena dopo gli auspicabili portatori di pace nel conflitto terrestre in Ucraina, anche i rappresentanti dei governi che contano per stringere un’alleanza contro la cyber war che passi, devo ripeterlo, attraverso la creazione di un quadro normativo adeguato alla pericolosa evoluzione delle minacce. Posso aggiungere poco a quanto già autorevolmente detto dal sottosegretario Gabrielli e dal presidente Urso, ma mi preme sottolineare che il grosso problema resta comunque quello della imputabilità e della perseguibilità degli attacchi hacker, assai poco prevedibili e per i quali il mondo non è ancora sufficientemente attrezzato alla limitazione dei danni. Serve, in una parola, un nuovo “codice di guerra cyber”. Cosa pensa dell’accordo raggiunto negli ultimi giorni sul Digital Services Act (DSA), il documento che mira a proteggere lo spazio digitale dalla diffusione di contenuti illegali e a garantire la tutela dei diritti fondamentali degli utenti? Il Consiglio e l’Europarlamento hanno raggiunto un accordo provvisorio sulla legge sui servizi digitali (Digital services act), che insieme alla legge europea sui mercati digitali (Digital markets act), è uno dei pilastri della riforma dello spazio digitale presentata nel 2020 dalla Commissione europea. Scopo del Digital services act, ricordo, insieme al Digital markets act, è proteggere in modo più efficace i diritti fondamentali degli internauti, rendendo i mercati digitali più equi e più aperti per tutti. Proposto dalla Commissione UE nell’ambito del pacchetto sul digitale, il Digital services act (DSA) intende svecchiare il quadro normativo dell’UE sui servizi digitali, fermo alla direttiva 2000/31/CE sull’e-commerce, assicurando che le norme europee siano adeguate all’era digitale. Le piattaforme online, in particolare, hanno creato vantaggi significativi per i consumatori e per l’innovazione, agevolando gli scambi transfrontalieri all’interno e all’esterno dell’Unione e aprendo nuove prospettive a un’ampia gamma di aziende e di operatori commerciali europei. I nuovi assetti prevedono: nuovi obblighi per le piattaforme di grandi dimensioni di adottare misure basate sul rischio, al fine di prevenire abusi dei loro sistemi; misure di trasparenza di ampia portata, anche per quanto riguarda la pubblicità online e gli algoritmi utilizzati per consigliare contenuti agli utenti; nuovi poteri per verificare il funzionamento delle piattaforme, anche agevolando l’accesso dei ricercatori a dati chiave delle piattaforme; un processo di cooperazione innovativo tra le autorità pubbliche per garantire un’applicazione efficace in tutto il mercato unico. Come non pensare bene di tutto questo? Ne attendo però l’implementazione operativa, possibilmente uniforme nella UE. Lo scorso 21 marzo il Consiglio Europeo ha annunciato di voler ridisegnare il proprio assetto difensivo, pubblicando il documento denominato “Bussola strategica per la sicurezza e la difesa” dell’Ue. Il documento ha quindi subito un’accelerazione in conseguenza dell’aggressione da parte della Russia dell’Ucraina il 24 febbraio scorso. Con la Bussola strategica l’UE mirerebbe a compiere un salto quantico in avanti nel campo della difesa, aumentando la sua capacità di azione e rafforzando la sua resilienza militare. La Bussola riconosce che l’UE dovrebbe potere agire in politica estera in modo più rapido ed efficiente: ciò non si scontra con l’ostacolo dell’unanimità, che è prevista nei trattati come condizione per la decisione (salvo l’opzione dell’astensione costruttiva)? La deadline imposta dalla Bussola per raggiungere gli obiettivi previsti da qui al 2025– quali, istituzione della forza di intervento rapido, rafforzamento delle strutture di comando militare, elaborazione di piani strategici nel campo della difesa cibernetica, spaziale o tecnologica –, è compatibile con le esigenze operative che la guerra in Ucraina ha reso necessarie e urgenti? Il documento afferma senza equivoci che le forze armate, la cui capacità viene rafforzata, “restano in mano agli Stati membri”: non è deludente che nel capitolo sui finanziamenti per la spesa di difesa, la principale strategia abbracciata sia quella di aumentare la sinergia tra le spese di difesa nazionale, e non quella di investire su una spesa comune sovranazionale, magari sul modello di Next Generation EU? Il Consiglio Europeo ha annunciato – lo scorso 21 marzo – di voler ridisegnare il proprio assetto difensivo, pubblicando il documento denominato “bussola strategica”. L’obiettivo è quello di rafforzare, entro il 2030, la politica di sicurezza e di difesa dell’UE, puntando su cooperazione e collaborazione tra i Paesi membri. Inoltre, è importante rendere l’UE un garante della sicurezza più forte e capace. Il documento propone quattro pilastri: azione, investimenti, partner e sicurezza. Per quanto riguarda quest’ultima, l’Unione Europea, per rafforzare la sua potenzialità di anticipare, scoraggiare e rispondere alle minacce, incrementerà le sue capacità di analisi e di intelligence. Svilupperà il pacchetto di strumenti della diplomazia informatica e istituirà una politica dell’UE in materia di cyber difesa, al fine di essere preparati a rispondere agli attacchi informatici. Per quanto riguarda gli investimenti, gli Stati si sono impegnati ad aumentare le spese per la difesa e per rafforzare la base tecnologica e industriale. Al di là di ogni polemica, è giusto. Le guerre, purtroppo, prevedono l’uso di armi, per difesa, se non si vuole attaccare. Noi non siamo belligeranti, ma difensivi sì. Per migliorare la direzionalità della spesa, l’UE procederà ad uno scambio di opinioni in merito agli obiettivi nazionali e fornirà incentivi agli Stati, i quali dovranno collaborare tra di loro per operare nel cyber spazio e nello spazio extra-atmosferico. Questa, al di là delle apparenze, è una buona notizia. Se si deve parlare di guerra, meglio in termini preventivi. La nostra cybersecurity non è ancora ai massimi livelli, anche se si sta avviando verso parametri di confidenzialità. Quella UE e mondiale sono ancora, dati alla mano, molto vulnerabili. Le nostre strutture di difesa e di intelligence sono eccellenze, adesso in coordinamento funzionale da parte dell’ANC. Possiamo essere quindi, come ha giustamente ricordato anche il Presidente del Consiglio con il nostro ministro della Difesa, partner affidabili e motori propulsivi di un nuovo atteggiamento verso la difesa non convenzionale. Bisogna passare per obiettivi comuni, per esempio definendo la cyber difesa non solo in termini di cyber war, ma soprattutto di cyber security e cyber crime. Gli Stati UE devono fare fronte solidale nella condivisione di intelligence predittiva, disciplinando lo scambio di informazioni e la fornitura di tecnologie ed expertise. Vanno riformulati i reati informatici, che, al contrario, devono atteggiarsi in modo da contemplare la possibilità di attacco/resistenza a postazioni ostili, sempre in chiave preventiva e difensiva, ovviamente. La passività degli ambienti web è già legata alla loro natura, e quindi va protetta anche con azioni strategiche e tattiche che non debbano necessariamente – dato che passano, come è ovvio, attraverso le strutture di governance e sorveglianza della nostra sicurezza – essere censurate come atti di guerra secondo il diritto internazionale. Un po’ come le operazioni cosiddette sotto copertura, consentite con tutte le cautele del caso. Senza la capacità normativa della attribuzione dei delitti informatici, ripeto, avremo sempre armi spuntate. E qui c’è davvero poco da discutere. Le faziosità, come quelle sul (fisiologico, invece) incremento delle spese militari nell’UE, vanno lasciate altrove.
© RIPRODUZIONE RISERVATA