Skip to content

L’”eurosicurezza” cibernetica italiana: il governo agisce o recepisce?

CSI BULLETTIN

30 maggio 2021

a cura di Vittorio Ruocco

Alla citazione di “dematerializzazione” la mente di ciascuno viene rimandata allo scorso decennio, quando il processo di digitalizzazione dei documenti e delle comunicazioni incombeva, come una spada di Damocle, sulla Pubblica Amministrazione italiana. Oggi, nel 2021, è facilmente intuibile come tutte le risorse digitali “di valore” vadano protette da continui, piuttosto che episodici, tentativi di violazione di banche dati sempre più preziose. Non sono poche, infatti, le conseguenze che atti di pirateria informatica – tra i dieci rischi più pericolosi del pianeta secondo il World Economic Forum[1] – possono scatenare contro elementi sensibili della macchina statale: esponenti politici, dirigenti aziendali, comitati per brevetti, uffici contabili e così via. Episodi come il tentativo di hackeraggio dell’account Whatsapp dell’on. Raffaele Volpi, presidente del COPASIR[2] oppure come l’attacco hacker alla divisione aerostrutture e velivoli di Leonardo Spa[3], possono incutere timore e potenzialmente minare gravemente alla sicurezza nazionale. Scaramucce, queste, se accostate ai più noti e importati attacchi di cyber war come Wannacry[4] nel 2017, i cui effetti hanno prodotto milioni e miliardi di perdite, o il recentissimo attacco a Colonial Pipeline, la più grande rete di condutture petrolifere degli Stati Uniti.

L’esigenza di rafforzare la protezione delle infrastrutture critiche di rilievo nazionale è diventata sempre più imperante ed è stata rilevata dai vari Esecutivi susseguitisi nell’arco degli ultimi vent’anni. Già nel 2002 l’allora Ministro per l’innovazione e le tecnologie Lucio Stanca riconobbe che “le informazioni gestite dai sistemi informativi pubblici costituiscono una risorsa di valore strategico per il governo del Paese[5], postulato necessario per la successiva istituzione di un Comitato tecnico sulla sicurezza informatica e per l’avvio di una “rapida autodiagnosi” di tutte le pubbliche amministrazioni circa il livello di adeguatezza dell’infrastruttura ICT. Il taglio strategico, quasi allarmante, dato dall’allora governo Berlusconi II, non è stato sottovalutato da nessun Governo degli ultimi due decenni ed ha evidenziato sempre più il carattere geopolitico[6] della sicurezza cibernetica. Un caso eclatante, a dimostrazione di ciò, è la rimozione, nel luglio 2017, poi la messa al bando dell’azienda di cybersecurity russa Kaspersky Lab da parte dell’amministrazione Trump, motivata dalla necessità di “assicurare l’integrità e la sicurezza del sistema governativo e dei suoi network”.  

Per comprendere la natura più geopolitica che tecnica della sfera cibernetica, basti considerare che nell’ultima “Relazione sulla politica dell’informazione per la sicurezza 2020”, presentata annualmente dal DIS al Parlamento, il termine “cyber” ricorre oltre 70 volte. Nella sezione interamente dedicata alle minacce cibernetiche, si rileva come del 62,7% degli episodi di hackeraggio non si conoscano gli obiettivi, mentre solo il 2,5% di tali attacchi ha finalità di spionaggio. Gli attacchi, per quanto non manifestatamente volti a sottrarre informazioni strategiche, evidenziano come le istituzioni pubbliche siano prevalentemente coinvolte (83% verso sistemi IT di soggetti pubblici) rispetto ai soggetti privati, esposti in misura maggiore sul lato bancario e delle infrastrutture digitali.

Sebbene la caratteristica geopolitica della minaccia cibernetica lasci intendere l’esistenza di approcci politici e nazionali al settore, l’azione di contrasto si rivela essere da un lato non più relegata al solo livello ministeriale ma affiancata anche dall’apparato dei servizi segreti; dall’altro, supportata dall’attivismo essenzialmente europeo piuttosto che nazionale.

L’apparato istituzionale italiano deputato al contrasto delle minacce cibernetiche è individuato sia in alcuni ministeri, definiti “autorità competenti NIS”, sia nel Dipartimento per le Informazioni e la Sicurezza (DIS), unico punto di contatto tra le autorità italiane e il meccanismo di coordinamento europeo. Di fatti, l’organizzazione nazionale è stata predisposta in attuazione della famosa “direttiva NIS[7], con la quale l’Unione Europea ha individuato alcuni settori di applicazione della disciplina normativa, settori che il Governo italiano non ha ritenuto opportuno estendere. Non solo, la procedura di “listing” di sanzionamento dei soggetti coinvolti in operazioni di hackeraggio attiene al livello europeo e permette a ciascuno Stato membro di introdurre soggetti e/o entità ritenute pericolose, situate al di fuori – e non all’interno – del territorio comunitario.

Ciononostante, è tutto italiano lo strumento che nel corso dell’ultimo decennio ha acquisito sempre più importanza nella tutela degli interessi nazionali: il golden power. Sebbene la normativa sia stata rivista a seguito di una procedura d’infrazione europea, già nel 1994 l’Italia si era dotata di quest’istituto giuridico dedicato alla tutela dell’interesse pubblico nelle aziende statali in corso di privatizzazione, i cui effetti consistevano in poteri speciali e di veto su operazioni aziendali rilevanti. L’imposizione di condizioni specifiche, il veto su deliberazioni assembleari, l’opposizione all’acquisto di partecipazioni, obblighi di notifica. Questi erano, sommariamente, i margini d’azione governativi, ulteriormente ampliati dal governo Monti nel 2012 e dal governo Conte in occasione dell’emergenza pandemica [8]. In quest’ultimo caso, è proprio la cybersecurity a rientrare nei campi di applicazione del golden power governativo, risultato di quanto i disagi socioeconomici provocati dal COVID abbiano avuto l’effetto di dover estendere ed accrescere il perimetro di sicurezza nazionale.

Consci di tutto ciò, è salita alla ribalta la proposta di creazione di un’agenzia interamente dedicata alla cybersicurezza. Durante l’intervento ad un convegno su “Le Nuove Reti per la crescita, l’industria italiana, i cittadini” organizzato da Fratelli d’Italia l’8 aprile scorso, il Sottosegretario con delega all’intelligence, Franco Gabrielli [9], ha lanciato l’idea di creare “un’agenzia che tratti in maniera olistica il tema della sicurezza cibernetica” e che riporti le competenze su cyber intelligence, cyber defense e cyber investigation nell’ambito strettamente pubblico. Dopo il naufragato progetto dell’Istituto italiano di Cybersicurezza (IIC) pensato da Conte, questa struttura dovrebbe alleggerire il carico dei Servizi su questo tema e contrastare i tentativi di infiltrazione nel tessuto politico-istituzionale nazionale. Un chiaro esempio recente è l’allarme lanciato da un tweet del presidente dell’AIAD[10], Guido Crosetto – rilanciato da un articolo dal titolo piuttosto provocatorio: “Pronto, polizia? Risponde la Cina…” – con il quale evidenzia l’assenza di adeguate misure di prevenzione nel bando di gara per le telecomunicazioni delle forze di polizia.

Sicurezza nazionale o coordinamento internazionale? In un’oscillazione costante tra questi due estremi, è un bivio di fronte al quale il governo Draghi si trova, con una leggera inclinazione alla prima scelta piuttosto che alla seconda.

[1] Nel The Global Risk Report 2021, i guasti delle infrastrutture ICT sono posizionati al 10° posto tra i top risk per impatto, mentre la vulnerabilità della sicurezza cibernetica è al 9° posto tra i top risk per probabilità. (World Economic Forum 2021)

[2] Comitato parlamentare per la sicurezza della Repubblica. Istituito dall’art. 30 della Legge 3 agosto 2007, n. 124, il COPASIR ha funzioni consultive e di controllo dell’operato governativo nell’ambito del segreto di Stato e delle attività di intelligence.

[3] Leonardo S.p.A. è un’azienda con base in Italia ma operativa a livello globale attraverso joint venture e imprese sussidiarie, protagonista mondiale nell’aerospazio, nella difesa e nella sicurezza.

[4] WannaCry è un malware ransomware che, nel 2017, ha violato la sicurezza dei computer di diversi atenei in 74 nazioni, tra cui Russia, Cina, India, Egitto, Ucraina, Italia e, soprattutto, il Regno Unito.

[5] Direttiva del Ministro per l’innovazione e le tecnologie, d’intesa con il Ministro delle comunicazioni, del 16 gennaio 2002

[6] A tal fine, per «geopolitica» s’intende «la disciplina che lega le caratteristiche di un luogo fisico e il rapporto fra spazio e politica di quel luogo». La definizione è stata enunciata dalla prof.ssa Elisabetta Trenta, già Ministro della Difesa, in un’intervista al giornale online StartupItalia.

[7] Network and Information Security (NIS)

[8] Con il decreto-legge 8 aprile 2020, n. 23, convertito con modificazioni dalla legge 5 giugno 2020, n. 40 (c.d. “decreto liquidità”), il Governo ha esteso lo “scudo”, già previsto per sicurezza nazionale, energia, trasporti e comunicazioni, a nuovi settori strategici quali: alimentare, assicurativo, sanitario, finanziario e sicurezza cibernetica.

[9] Autorità Delegata per la sicurezza della Repubblica, nominato ex L. 124/2007. Già direttore di SISDE, AISI e Capo della Polizia.

[10] Federazione aziende italiane per l’aerospazio, la difesa e la sicurezza