Pochi giorni fa, la Commissione Europea e l’Alto Rappresentate per
gli affari esteri e la politica di sicurezza, Catherine Ashton, hanno
sottoposto al Consiglio e al Parlamento europeo la bozza di quella che
può essere definita la prima cyber-security strategy dell’Unione Europea.
Ciò nonostante, non è la prima volta che l’Ue si interessa di sicurezza informatica. Già nel 2001, infatti, attraverso il “Communication Network and Information Security: Proposal for a European Policy Approach“,
la Commissione aveva sottolineato la necessità di innalzare il livello
di consapevolezza da parte degli Stati membri nel campo della Network
and Information Security (NIS). Documento a cui ha fatto seguito, nel
2006, una “Strategy for a Secure Information Society” e, nel 2009, uno specifico “Action Plan and a Communication on Critical Information Infrastructure protection (CIIP)”.
Il primo con l’obiettivo di continuare nello sviluppo della cultura in
materia di cyber-security in Europa, il secondo, invece, focalizzato
specificatamente sulla protezione delle infrastrutture critiche europee
dalle minacce provenienti dal cyber-spazio.
Con la bozza di cyber-strategy appena presentata, tuttavia, l’Unione
Europea si appresta a compiere un ulteriore ed importante passo in
avanti, formalizzando una vera e propria strategia nel campo della
sicurezza informatica, come già fatto da alcuni tra i più importanti
attori internazionali (ad es.: Stati Uniti, Regno Unito, Germania,
Francia, Olanda). Preliminarmente è importante sottolineare che il focus principale di
questo documento strategico è costituito dal cyber-crime. Poco o nulla,
infatti, viene esplicitato riguardo al c.d. cyber-warfare. Perlomeno
direttamente.
Tuttavia, occorre evidenziare come le caratteristiche uniche del
cyber-spazio rendano i medesimi principi esplicitati per il contrasto
della criminalità informatica utili anche per far fronte efficacemente
anche ad altri settori della minaccia, come ad esempio il
cyber-espionage. Fenomeno, questo, che sta suscitando sempre maggiori
preoccupazioni presso i Servizi di Intelligence occidentali (è di poche
ore, ad esempio, la notizia del primo National Intelligence Estimate statunitense dedicato proprio allo spionaggio elettronico).
Il documento strategico dell’Unione Europea può essere principalmente
suddiviso in tre parti: una prima, che detta i principi fondanti e
ispiratori per il settore della cyber-security; una seconda, in cui
vengono enunciate le priorità strategiche ed una terza nella quale si
affronta la questione dei ruoli e delle responsabilità sia a livello
locale che europeo ed internazionale. Scopo dichiarato della
cyber-strategy è quello di contribuire a garantire – in collaborazione
con gli altri attori nazionali e sovranazionali – un cyberspazio “open,
safe and secure”, nella certezza che le infrastrutture informative
costituiscano oggigiorno la spina dorsale della crescita economica
europea ed un importantissimo strumento per il benessere dei cittadini.
Cinque le priorità strategiche individuate nel documento:1. Raggiungere un livello adeguato di cyber-resilienza (rilevanti per il conseguimento di questo obiettivo sono le attività che l’Unione Europea si ripromette di svolgere per dare attuazione alle norme già da tempo delineate in tema di Network ed Information Security);
2. Ridurre drasticamente l’incidenza del cyber-crime, sia attraverso
le norme in vigore (si veda, ad esempio, la c.d. Convenzione di Budapest
sul cyber-crime del 2001), che per mezzo di ulteriori impianti
normativi volti a regolare specifici settori critici, ovvero, ancora,
operando per accrescere le capacità operative di tutti i Paesi membri
utili a far fronte al problema del crimine informatici, sia a livello
nazionale che attraverso un miglior coordinamento e supporto delle
specifiche strutture esistenti a livello europeo (come, ad esempio, il
nuovo European Cybercrime Centre – EC3);
3. Sviluppare una cyber-defence policy;4. Promuovere lo sviluppo delle risorse industriali e tecnologiche per la cyber-security all’interno dei Paesi membri;
5. Predisporre una International cyber-space Policy dell’Unione Europea, magari sulla falsa riga di quella americana.
Il documento strategico dell’Unione Europea, infine, prende in
considerazione anche i ruoli e le responsabilità da mettere in campo su
questo percorso di crescita tanto imprescindibile, quanto ambizioso. Fondamentale rilievo viene dato al ruolo di ciascuno Stato membro
nelle attività di contrasto alla minaccia sul proprio territorio
nazionale, non solo per vicinanza territoriale alla protezione
dell’interesse leso, quant’anche per un più rapido intervento di
prevenzione, contrasto e coordinamento (anche con il settore privato,
spesso detentore delle più importanti infrastrutture critiche
tecnologiche di un Paese). Di assoluto rilievo, inoltre, è l’imposizione che ciascuno Stato
membro provveda alla scrittura di un proprio documento strategico
nazionale in materia di cyber-security. Traguardo a cui, pare, anche l’Italia stia finalmente giungendo. Nell’ottica del reciproco aiuto e dialogo a livello europeo, inoltre,
risulta di assoluto rilievo l’inclusione nella cyber-strategy della
possibilità per ciascun Stato membro di poter far ricorso alla clausola
di solidarietà prevista dall’art. 222 del Trattato sul funzionamento
dell’Unione Europea anche nel caso in cui siano vittime di un rilevante
cyber-incident ovvero di un attacco informatico.
Claudio Neri è direttore del Dipartimento di ricerca dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”.
