La cyber security è una delle indiscusse priorità che negli ultimi dodici mesi hanno caratterizzato il lavoro degli 007 italiani. Lo scenario emerge dalla relazione annuale (e in questo caso conclusiva) che il Copasir – il comitato parlamentare di vigilanza sui servizi segreti – ha inviato al Parlamento e che Cyber Affairs e Formiche.net hanno visionato.
I PERICOLI NEL CYBER SPAZIO
Pur con la consueta prudenza che caratterizza questo genere di documenti, il testo pone grande enfasi alle minacce provenienti dal cyber spazio. In particolare, dalle audizioni dei responsabili dell’intelligence italiana spunta la preoccupazione per uno scenario caratterizzato dal coinvolgimento attivo di Paesi (una questione rilevante anche nel campo dell’intelligence economica). Il direttore generale del Dipartimento delle Informazioni per la Sicurezza (Dis), Alessandro Pansa, ha posto ad esempio l’accento sul fatto che “il terrorismo cibernetico non rappresenta una minaccia molto pericolosa, al contrario dello spionaggio cibernetico che invece si incarna attacchi sofisticati, di tipo sia tattico che strategico, prodotti da realtà statuali con grande disponibilità di mezzi e persone”. Più espliciti i concetti espressi dal capo dell’Aise, Alberto Manenti, che a dicembre scorso ha parlato di “attivismo russo sui vari scenari internazionali di crisi e nel settore cibernetico”.
SICUREZZA E PRIVACY
Nella relazione si parla anche di data retention (a novembre scorso, all’interno del recepimento della Legge Europea per il 2017, il Parlamento ha approvato in via definitiva alla Camera la norma che impone agli operatori di telecomunicazioni di conservare i dati di traffico telefonico e telematico per sei anni, caso unico nel Vecchio continente), evidenziando come “strettamente connesso al tema della sicurezza cibernetica è quello della corretta gestione di una moltitudine di dati ed informazioni”.
L’argomento è stato affrontato a luglio, durante l’audizione del presidente dell’Autorità garante per la protezione dei dati personali, Antonello Soro, che ha parlato tra le altre cose della “complementarietà tra protezione dei dati e sicurezza cibernetica”. Nell’occasione, Soro “ha svolto alcune riflessioni sulla sorveglianza massiva” a suo dire “incompatibile con la giurisprudenza europea oltreché inefficace e che quindi va limitata parallelamente alla promozione di metodi di analisi e di cooperazione investigativa sempre più efficaci” (a tal proposito Dis e Garante privacy hanno stretto un protocollo d’intenti “sugli accessi da parte dei Servizi alle banche dati esterni, sul diritto all’oblio, sulle modalità e sui limiti alla conservazione dei dati”.
IL LAVORO SVOLTO
La relazione riconosce il lavoro svolto dal governo in campo cyber, anche in vista della piena adozione – entro maggio 2018 – delle misure previste dalla direttiva europea Network and Information Security (Nis). Con riferimento al cosiddetto Dpcm Gentiloni di febbraio 2017, si evidenzia che “mediante una nuova architettura istituzionale si dispone ora di una cornice di regole più chiare e lineari in tema di responsabilità e prerogative sia in ambito politico sia tecnico” (val la pena ricordare che con il citato provvedimento la catena di comando è stata accorciata e vede ora nel presidente del Consiglio dei ministri la responsabilità delle politica generale del Governo, e nel Dis – che conta ora su un vicedirettore espressamente dedicato alla cyber security, il professor Roberto Baldoni – l’organismo di coordinamento per la sicurezza cibernetica a livello nazionale).
Si sottolineano, inoltre: il rilievo centrale assunto dal Nucleo per la Sicurezza cibernetica (ora passato sotto il controllo del Dis); il ruolo svolto da Cnaipic (Polizia Postale), Cert Nazionale (Ministro dello Sviluppo economico) e Cert PA (Agenzia per l’Italia Digitale); e la creazione, “in linea con le indicazioni del Comitato”, di un sistema di valutazione e certificazione nazionale per la verifica delle condizioni di sicurezza e l’assenza di vulnerabilità (sempre nell’ambito del Mise).
GLI INVESTIMENTI CHE SERVONO
Nonostante queste evoluzioni, considerate positive, il Comitato non ha mancato di dire la sua evidenziando “l’esigenza di accrescere il volume degli investimenti e delle risorse personali, tecnologiche e finanziarie anche nell’ottica di tutelare il principio della sovranità nazionale nel campo della sicurezza cibernetica”.
Tra i consigli del Copasir ci sono anche la “creazione di un eco-sistema cyber nazionale” e la “formazione di una rete che preveda la collaborazione ed interazione tra settore pubblico, mondo privato ed accademico in modo da rafforzare la cultura della sicurezza cibernetica”.
VERSO UN CERT UNICO?
Lo stesso organo parlamentare, ha poi detto di aver “registrato l’esigenza, in particolare segnalata dal Mise” Carlo Calenda nell’audizione del 21 novembre “di un Cert unico e di una generale unificazione dei processi di gestione delle informazioni, delle certificazioni e delle autorizzazioni”.
LE RICHIESTE DEL COPASIR
Sempre sul tema della sicurezza cibernetica, i commissari, si legge ancora, “hanno chiesto” a Pansa “chiarimenti su un emendamento inserito sia nel disegno di legge di bilancio che nel disegno di legge fiscale, poi stralciato da entrambi, sulla creazione di una Fondazione per la sicurezza cibernetica di diritto privato e sul riconoscimento della Scuola di formazione del Sistema di informazione per la sicurezza quale istituzione di alta formazione e ricerca”.
Mentre, in tema di cyber defense, sono state avanzate nel corso delle audizioni richieste di “vari chiarimenti in ordine alla configurabilità di operazioni cibernetiche di natura proattiva, dato che un eccessivo anticipo della difesa può trasformarsi in un attacco preventivo che pone seri interrogativi dal punto di vista della legittimità costituzionale”.
L’INDAGINE CONOSCITIVA
Oltre che sul piano strettamente normativo, infine, il tema della cyber security è stato trattato dal Copasir mediante un’apposita indagine conoscitiva tenuta tra il 2016 e il 2017 – alla quale è stata dedicata un’apposita relazione – sulle procedure e la normativa per la produzione ed utilizzazione di sistemi informatici per l’intercettazione di dati e comunicazioni (i cosiddetti trojan o captatori informatici).
L’approfondimento è servito a esaminare “gli aspetti concernenti le possibili misure di prevenzione e di verifica necessarie per elevare il grado di affidabilità delle aziende produttrici di software, a fronte dei tentativi di intrusione sull’esempio di quelli subiti da Hacking Team”. Al contempo, si rimarca, “è stata delineata la complessità di una situazione storica in cui la nostra intelligence e altri soggetti istituzionalmente impegnati nella difesa dai rischi cibernetici sono chiamati ad un rilevante impegno di innovazione e crescita per fronteggiare la rapida e pressoché ininterrotta evoluzione degli strumenti tecnologici”.
