Il rinvio della costituzione dell’Istituto italiano di cybersicurezza e i limiti operativi emersi dall’applicazione pratica del decreto legislativo 65/18 e della normativa sul perimetro cibernetico evidenziano la necessità di ripensare l’architettura del sistema intelligence italiana. L’opinione di Andrea Monti, professore incaricato di diritto dell’ordine e sicurezza pubblica all’Università di Chieti-Pescara
L’intelligence italiana sta attraversando un periodo di profondo rinnovamento che la sta trasformando da struttura informativa “pura”, incaricata essenzialmente di svolgere un ruolo passivo nella raccolta e condivisione di informazioni con gli altri apparati dello Stato, a soggetto attivo nella tutela degli interessi nazionali. Questa scelta politica porterà le nostre strutture informative a giocare sugli stessi campi nei quali operano quelle delle grandi potenze, e dai quali oggi l’Italia è esclusa.
Benché la scelta politica sia chiara e condivisibile, l’indispensabile processo di normativizzazione delle attività di intelligence soffre di un approccio non adatto ai tempi e agli obiettivi. La cintura legislativa che tiene insieme le attività degli apparati per la raccolta delle informazioni a tutela dello Stato, tradizionalmente, è ridondante, non coordinata e carente degli strumenti necessari a traghettare le attività di intelligence verso il nuovo assetto definito dalla Presidenza del Consiglio.
IL CAMBIO DEL RUOLO DELL’AUTORITÀ
Il mutamento di funzione dell’Autorità di sicurezza nazionale (cioè della presidenza del Consiglio) emerge chiaramente da una lettura diacronica della normativa di settore. La legge 124/07 è impostata sul paradigma tradizionale di una intelligence delle “barbe finte” e della necessità di schermare la sua attività dagli sguardi curiosi dei “non addetti” (siano essi magistrati, giornalisti o concerned citizen). Non è un caso che la normativa in questione si preoccupi di regolamentare il segreto di Stato, le garanzie funzionali degli operatori e la possibilità di accedere a banche dati, il tutto nella prospettiva di rendere più efficiente l’attività di raccolta informativa.
I provvedimenti emanati in seguito, da quelli meramente organizzativi come il Dpcm Gentiloni del 2017 a quelli cogenti come il d.lgs. 65/18 (recepimento della direttiva NIS), la L. 133/19 (espansione del raggio di azione del golden power e l’istituzione del perimetro cibernetico) e il tentativo (purtroppo non andato a buon fine) di istituire l’Istituto italiano di cybersicurezza, hanno sostanzialmente cambiato sia la natura sia gli obiettivi dell’intelligence nazionale.
In primo luogo, la presidenza del Consiglio assume un ruolo attivo non solo nella definizione delle politiche sulla raccolta di informazioni per la sicurezza, ma anche nella protezione concreta delle infrastrutture fisiche e logiche della Nazione. In secondo luogo, come testimonia l’idea di creare l’Istituto italiano di cybersicurezza, Palazzo Chigi pensa evidentemente a strumenti giuridici e operativi diretti a consentire maggiore libertà di manovra in operazioni di acquisizione informativa a (relativamente) bassa criticità che non necessariamente richiedono l’impiego di personale istituzionale.
Infine, è altrettanto evidente l’apertura di un ulteriore direttrice operativa rivolta non alla sicurezza tout-court ma alla tutela degli interessi nazionali, protetti dalla possibilità di operare sia nell’ambito puramente informativo (Dis), che in quello economico (golden power) e tecnologico (Csirt).
L’apertura verso il mondo esterno causata dal cambio di funzione dell’intelligence ha creato, tuttavia, dei problemi di coerenza normativa sia all’interno della legislazione specifica, sia nella relazione con altre componenti dell’apparato di gestione della sicurezza dello Stato.
Sotto il primo profilo, l’impostazione del recepimento della direttiva Nis si è rivelata carente per via di un difetto di visione. Il d.lgs. 65/08, infatti, sembra basato sul presupposto che, concettualmente, sia possibile costruire un muro di cinta attorno ad un’infrastruttura critica in modo da isolarla e proteggerla da eventi esterni.
In realtà non è così perché le infrastrutture critiche sono connesse verticalmente e trasversamente con altri soggetti che non appartengono formalmente alla categoria, ma che possono rappresentare veri e propri cavalli di Troia per la sicurezza. Basta pensare, per fare un esempio, al tema dell’insider threat o alla vulnerabilità di soggetti che, pur fuori perimetro, contribuiscono al funzionamento dell’infrastruttura critica. La L. 133/19, che disciplina il controllo tecnologico sull’infrastruttura di telecomunicazioni e, ulteriormente, il ruolo dei fornitori di servizi essenziali aggiunge ulteriori livelli di complessità, derivanti in primo luogo dall’impreciso coordinamento dell’ambito operativo delle due norme fra loro e con il Codice penale che già contiene specifiche fattispecie in materia di protezione di sistemi pubblici e di pubblica utilità.
L’IMPORTANZA DEL RIPARTO DI COMPETENZE
Un altro tema rilevante è la sovrapposizione delle competenze fra lo Csirt (afferente alla presidenza del Consiglio e istituito con Dpcm 8 agosto 2019) e il Centro nazionale anticrimine informatico protezione infrastrutture critiche (CNAIPIC) che è un servizio della Polizia postale, afferente dunque al Ministero dell’interno.
Entrambi, il primo ai sensi degli articoli 13 L. 124/07 e 4 Dpcm 8 agosti 2019 e il secondo per espressa destinazione organizzativa si occupano di prevenzione ma, nei fatti, non hanno uno specifico ambito operativo e operano sulla base di poteri molto diversi.
Lo Csirt non è una struttra di polizia giudiziaria o di sicurezza, quindi è escluso che possa avere poteri cogenti verso l’esterno, in particolare per quanto riguarda l’obbligo di fornire informazioni dietro richiesta, o di procurarsele in modo indiretto.
In altri termini, a fronte di fatti fatti penalmente rilevanti non si può configurare un ruolo dello CSIRT che possa superare le attribuzioni dell’autorità giudiziaria. Il Cnaipic, invece, è composto da agenti e ufficiali di polizia giudiziaria che, a fronte di una notizia di reato perseguibile d’ufficio in quanto relativa a sistemi pubblici o di pubblica utilità, possono attivare immediatamente i poteri di iniziativa previsti dal Codice di procedura penale per l’assicurazione degli elementi di prova. Per la medesima ragione è escluso che la struttura in questione possa, invece, formulare generiche richieste di informazioni o richiesta dati, specie nei confronti di soggetti che non fanno parte dell’elenco (riservato) delle infrastrutture critiche.
Siamo dunque di fronte a strutture che, pur condividendo sostanzialmente la stessa missione, hanno poteri e prerogative profondamente diversi e che a volte, come evidenzia l’esperienza concreta, soffrono di questa oscurità normativa operando anche al di fuori dei soggetti qualificati come “infrastruttura critica”.
CONCLUSIONI
Il nuovo volto dell’intelligence italiana richiede un’opera di coordinamento normativo che eviti la sovrapposizione fra enti e definisca per legge (e non per decreto ministeriale o circolare interna) attribuzioni, potere e ambito operativo. Questo consentirebbe di rendere più efficiente il funzionamento di queste strutture e di raggiungere sia gli obiettivi tradizionali perseguiti dai servizi di intelligence, sia quelli più moderni, volti a integrare l’attività informativa nel sistema di difesa, sicurezza e tutela degli interessi nazionali.
