L’Unione europea di fronte la grande sfida della cybersecurity. Vertice del Consiglio europeo per confrontarsi sul tema e trovare nuove soluzioni in termini di strumenti e misure di risposta. Non solo difendersi, ma anche saper sviluppare capacità di reazione appropriata alle minacce crescenti.

Si chiude oggi la riunione del Consiglio europeo, riunitasi in videoconferenza per discutere dell’attuale situazione della pandemia Covid-19 e di come far fronte alle minacce per la salute, delle relazioni nel bacino del mediterraneo e soprattutto dei temi strategici della sicurezza e della difesa.

Proprio su questi ultimi punti, sulla politica di sicurezza e sulla difesa europea, i leader europei si sono confrontati oggi in maniera approfondita, concentrandosi su più fronti, dallo sviluppo dei partenariati dell’Unione nel settore della sicurezza e della difesa (in particolare con la NATO) al riesame delle iniziative in materia di investimenti nella difesa, di sviluppo delle capacità e prontezza operativa, fino al lavoro da svolgere per accrescere la resilienza europea, in special modo nei confronti degli attacchi cibernetici e delle cosiddette minacce ibride.

Tra gli interventi più rilevanti, quello del segretario generale della NATO, Jens Stoltenberg, centrato su come migliorare la nostra capacità collettiva di risposta alle sfide e alle minacce per la sicurezza.

Attacchi informatici e minacce ibride, infatti, sono temi considerati centrali per la cooperazione strategica tra Ue e NATO, tra cui rientrano anche le “capacità di difesa” e lo “sviluppo di capacità”.

Nell’ambito dell’iniziativa “EU Cyber Diplomacy Toolbox”, che delinea le potenzialità di risposta degli Stati membri dell’Unione in caso di cyber attacchi, il Consiglio sembra intenzionato a promuovere un confronto più attento proprio sulle misure e gli strumenti a disposizione per prevenire e contrastare adeguatamente gli attacchi cibernetici, con l’intento di definire anche nuovi strumenti di cui disporre per proteggere le infrastrutture critiche e le reti dei servizi essenziali.

Abbiamo chiesto a Stefano Mele, Avvocato specializzato in Diritto delle tecnologie, privacy e cybersecurity e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano, di spiegarci in cosa consiste questo approccio dell’Unione Europea teso sia a potenziare i livelli di difesa delle infrastrutture critiche dagli attacchi informatici, sia a ridefinire capacità e strumenti di reazione a questi attacchi.

Stefano Mele. “Questa esigenza scaturisce dalla constatazione che la quasi totalità degli attacchi cyber che gli operatori strategici nazionali subiscono sono attacchi “sotto la soglia dell’attacco armato” .

“Il diritto internazionale prevede che se uno Stato, o un attore la cui condotta sia giuridicamente imputabile ad uno Stato, compie un attacco cyber nei confronti delle infrastrutture fondamentali di un altro Stato causando danni fisicamente rilevabili o la morte di persone, chi ha subito tale attacco può legittimamente reagire, anche militarmente. Si tratta della cosiddetta “reazione in legittima difesa”.

“Ecco perché gli Stati, da tempo, sono molto attenti nella fase di pianificazione delle operazioni cibernetiche a non oltrepassare questa soglia – ha proseguito Mele –, colpendo sì le infrastrutture critiche dei loro nemici o alleati, ma ponderando attentamente gli effetti dei loro attacchi cibernetici. Non è un caso, infatti, che registriamo giornalmente milioni di attacchi cyber alle nostre aziende e alla pubblica amministrazione, ma pochissimi di essi hanno un reale intento di danneggiamento dell’obiettivo.

Non si tratta, quindi, di un tema legato alla mancanza di capacità cibernetiche degli attori statali, ma di conseguenze sul piano delle relazioni internazionale e su quello giuridico.”

Key4biz. E allora quali possono essere le soluzioni?

Stefano Mele. “Questo scenario reclama da tempo la ricerca di una soluzione davvero efficace e l’EU Cyber Diplomacy Toolbox è stato il primo strumento individuato a tale scopo.

Il prossimo passo, invece, oggetto dell’odierna due giorni di incontri, è legato al valutare l’impiego da parte dell’Unione Europea anche degli strumenti normativi già previsti nel Trattato sul funzionamento dell’UE, al fine di cristallizzare che un attacco cyber alle infrastrutture critiche di uno Stato membro equivalga ad un attacco a tutta l’Unione.

Si tratta, infatti, della possibilità di estensione al ciberspazio dell’operatività della clausola di solidarietà prevista all’interno dell’articolo 222 del Trattato sul funzionamento dell’UE e della clausola di difesa reciproca – la mutual defence clause – prevista sempre nel medesimo Trattato all’articolo 42(7). È proprio questa la sfida odierna oggetto, tra gli altri temi, della riunione del Consiglio europeo: cercare di ampliare l’efficacia di tali misure di contenimento e risposta anche all’ambito della cybersecurity, al fine di creare deterrenza”.

Key4biz. La clausola di solidarietà può essere la risposta onnicomprensiva?

Stefano Mele. “E’ un elemento importante, ma non una risposta unica e definitiva. Stiamo parlando, infatti, di un ulteriore strumento da offrire ai singoli Stati membri e da ricomprendere all’interno dei numerosi già previsti nella strategia in materia di sicurezza cibernetica del 2017 e oggi nella nuova “EU’s Cybersecurity Strategy for the Digital Decade”, pubblicata a dicembre dello scorso anno. Un percorso strategico di ampio respiro, che ha trovato già parziale attuazione in alcuni provvedimenti normativi rilevanti come la Direttiva NIS o il Cybersecurity Act. Il primo, infatti, è deputato ad obbligare gli Stati membri a strutturarsi per far fronte alla minaccia cibernetica sia a livello governativo, che industriale. Il secondo, invece, è dedicato – tra le altre cose – all’ormai imminente nascita della prima certificazione europea in ambito di cybersecurity di prodotti, servizi e processi”.

Key4biz. La Direttiva NIS, quindi, non è solo un punto di partenza, ma è anche il perimetro entro cui muoversi. È da considerarsi, però, anche come il punto di approdo?

Stefano Mele. “La Direttiva NIS ha rappresentato un cambio di passo importante per la sicurezza cibernetica europea e dei singoli Stati membri, tant’è che si sta già lavorando al suo aggiornamento. La cosiddetta “NIS 2”, infatti, amplierà il ventaglio degli attori coinvolti nella difesa cibernetica europea, spingendoli a condividere le informazioni sugli incidenti informatici subiti e sollecitandoli ad elevare i propri livelli di difesa. Ciò, al fine di ottenere sempre più nel tempo comportamenti virtuosi utili ad un approccio comune di difesa cibernetica europea”.

Key4biz. E in caso di attacco?

Stefano Mele. “E’ proprio in quest’ottica che acquistano particolare rilievo strumenti come l’EU Cyber Diplomacy Toolbox o come l’auspicabile estensione al ciberspazio della clausola di solidarietà e della clausola di difesa reciproca: l’approccio europeo nel settore della cybersecurity è finora basato sulla diplomazia e sulla deterrenza, non sulla forza.”

Rimanendo all’interno dei confini nazionali, invece, riguardo alla questione del Perimetro di sicurezza nazionale cibernetica, rimangono due rilievi sollevati nei giorni scorsi dalla Commissione Difesa della Camera. Il primo è prevedere misure, anche di carattere economico, che rendano più agevole l’attuazione delle misure di sicurezza cibernetica disposte all’interno della bozza del cosiddetto “DPCM2” di attuazione del Perimetro. Il secondo riguarda la defiscalizzazione degli oneri relativi alla messa in sicurezza dei sistemi informatici delle imprese e dei privati, strumentali al miglioramento della sicurezza cibernetica.

Stefano Mele. “Sono almeno dieci anni che tutti gli esperti italiani di cybersecurity cercano di spingere il Governo nazionale a prendere in considerazione l’esigenza di defiscalizzare, o ridurre la pressione fiscale, per gli investimenti in materia di cybersecurity da parte delle aziende. Queste misure potrebbero rappresentare uno stimolo importante per innalzare gli investimenti nel settore.

In tale ottica, se le richieste del cosiddetto “DPCM2” di attuazione del Perimetro di Sicurezza Nazionale Cibernetica dovessero restare quelle che possiamo vedere nell’ultima bozza in analisi alle Commissioni parlamentari di Camera e Senato, lo sforzo richiesto dal Governo agli operatori pubblici e privati sarebbero senz’altro considerevoli ed eccezionali, soprattutto sotto il punto di vista economico e dei tempi di attuazione. A mio avviso, dunque, è necessario pensare anche ad alcuni incentivi per i soggetti ricompresi all’interno del Perimetro, evitando di ribaltare su di loro ogni onere, soprattutto economico e a maggior ragione in un periodo difficile come quello che purtroppo stiamo vivendo”.

Key4biz. E a fronte di queste pressioni qualcosa può cambiare o sta cambiando?

Stefano Mele. “Le commissioni Difesa di Camera e Senato hanno evidenziato che, in questo senso, un elemento incentivante da tenere in considerazione potrebbe essere proprio la defiscalizzazione degli investimenti in sicurezza cibernetica imposti dal Perimetro.

Seppure la sicurezza nazionale debba essere – giustamente – un tema di assoluta importanza e rilievo per ogni attore pubblico e privato ricompreso all’interno del Perimetro di Sicurezza Nazionale Cibernetica, che può portare anche alla richiesta di sforzi straordinari, non si deve dimenticare però che chiedere uno sforzo sproporzionato per numero di previsioni normative, tempistiche attuative complessive e ribaltamento unilaterale di ogni responsabilità senza una reale contropartita, rischia di vanificare tutto il buono che è alla base di questa normativa importantissima e pregevole nello scopo”.

