L’escalation espone la vulnerabilità normativa: a rischio anche le infrastrutture digitali “fuori le mura”. L’analisi di Andrea Monti, professore incaricato di Digital Law nel corso di laurea in Digital Marketing dell’Università di Chieti-Pescara
L’allarme lanciato dall’Agenzia per la cybersicurezza nazionale sulla necessità di elevare i livelli di sicurezza da parte degli operatori di infrastrutture digitali nazionali è un indice abbastanza attendibile del fatto che, a seguito delle scelte politiche assunte, anche l’Italia può diventare bersaglio della controffensiva russa.
Significativamente, l’Agenzia rivolge il grido di allarme verso i gestori di infrastrutture digitali e non – come pure avrebbe dovuto, visto il suo mandato – soltanto verso le infrastrutture critiche e i fornitori di servizi essenziali.
La spiegazione di questa scelta risiede, probabilmente, in una valutazione pragmatica: l’esistenza di un difetto strutturale della normativa sul Perimetro nazionale di sicurezza cibernetica.
La legge numero 133 del 2019 (che ha convertito il decreto legge numero 105 del 2019) è basata sull’individuazione di un “dentro” – il perimetro da proteggere – e di un “fuori” che è lasciato sostanzialmente privo di presidio e difesa. Questa scelta normativa avrebbe avuto senso se, fisicamente e posto che fosse stato possibile, le infrastrutture critiche e quelle che erogano servizi essenziali fossero state migrate su una rete separata e “impermeabile” rispetto a quella normalmente in uso al resto del Paese (che fosse possibile o fattibile, è un altro discorso). La realtà è un’altra e dunque ampie parti del perimetro nazionale sono connesse con, o dipendono da infrastrutture esterne.
L’Agenzia per la cybersicurezza nazionale, da organismo tecnico, rileva che a prescindere dalle definizioni giuridiche, in caso di di attacchi è l’intera infrastruttura nazionale nel suo insieme ad essere un bersaglio. Dunque, se cominciano a cadere pezzi di rete al di fuori del Perimetro, presto o tardi anche questo subirà un destino analogo. Interconnessione e interdipendenza sono infatti il punto di forza ma anche, come in questo caso, di enorme debolezza di un sistema di rete, anzi, di reti.
Un’altra conseguenza dell’errore di impianto della normativa sul Perimetro nazionale di sicurezza cibernetica è avere trascurato la dimensione transnazionale e dei servizi di comunicazione elettronica sotto due profili.
Il primo è che nonostante la facilità di scambio di informazioni, i confini politici sono identificabili, proteggibili e violabili anche nella topografia delle reti di telecomunicazioni.
Il secondo è che non solo negli scambi commerciali ma anche nelle azioni criminali la raggiungibilità permanente e ubiqua di qualsiasi risorsa di rete non è necessariamente un valore perché costringe i Paesi a complesse operazioni di polizia che portano al limite la resistenza del diritto internazionale.
La consapevolezza politica che questi problemi non possano essere affrontati a livello locale è finalmente arrivata sui tavoli dei decisori internazionali. Le Nazioni Unite hanno infatti istituito un “Ad Hoc Commitee” per elaborare una proposta di convenzione internazionale sul cybercrime che si terrà il prossimo 28 marzo nella sede newyorkese dell’Organizzazione.
Da un lato, questa è senz’altro una buona notizia perché sperabilmente segnerà un’evoluzione verso la definizione di una strategia complessiva per la sicurezza nazionale tecnologica che responsabilizzi anche e soprattutto i produttori di apparati e software. Dall’altro, è auspicabile che le scelte di public policy che verrano assunte siano orientate all’efficacia e alla riappropriazione da parte degli Stati del ruolo di governo della sicurezza tecnologica, sottraendole a un settore privato che non necessariamente condivide la stessa agenda.