Nel nuovo Dl-Aiuti una norma con cui il premier (dimissionario) Mario Draghi autorizza Aisi ed Aise, le agenzie dei Servizi segreti, a colpire con un attacco cyber nemici esterni. Contro hacker e criminali serve il pugno duro. Ma a vigilare sulle operazioni restano il Parlamento e il Copasir
Con hacker e criminali niente bon-ton. L’Italia passa al contrattacco cyber. Nella bozza del nuovo dl-Aiuti un articolo, il 7-ter (“misure di intelligence di contrasto in ambito cibernetico”), sdogana la “guerra cibernetica” del governo. Il presidente del Consiglio dimissionario Mario Draghi, dopo aver sentito il Copasir, ha emanato “disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale”, si legge nel testo. Tradotto: la difesa da sola non basta. E a volte l’attacco è la migliore difesa.
Le Offensive cyber capabilities (Occ) non sono una novità. Spetta all’intelligence nazionale il compito di colpire con un’operazione cyber, anche preventivamente, una potenziale minaccia esterna. Il decreto fa nomi e cognomi: le “misure di contrasto in ambito cibernetico” autorizzate, si legge, saranno attuate “dall’Agenzia informazioni e sicurezza esterna e dall’Agenzia informazioni e sicurezza interna”. Aise ed Aisi, le due braccia degli 007 italiani, hanno dunque “licenza di uccidere” (in senso figurato) sul fronte cyber e dovranno farlo sotto il coordinamento del Dis.
Potranno inoltre avvalersi “della cooperazione del Ministero della Difesa” e del “ricorso alle garanzie funzionali” elencate nella legge quadro sui Servizi segreti italiani, la 124 del 2007. A partire dalla previsione (art. 17) per cui “non è punibile il personale dei servizi di informazione per la sicurezza che ponga in essere condotte previste dalla legge come reato, legittimamente autorizzate di volta in volta in quanto indispensabili alle finalità istituzionali di tali servizi”.
Il perimetro di azione è comunque ben delimitato. Riguarda cioè esclusivamente i “delitti diretti a mettere in pericolo o a ledere la vita, l’integrità fisica, la personalità individuale, la libertà personale, la libertà morale, la salute o l’incolumità di una o più persone”. Il tema è delicato. Altrove, è il caso degli Stati Uniti, è già stato affrontato da tempo. Agenzie operative come la Cia hanno tutte le coperture legali necessarie a condurre in sicurezza operazioni cyber-offensive contro nemici esterni.
Anche in Italia non mancano, ma il rafforzamento del quadro normativo incluso nel Dl-Aiuti segnala un cambio di fase per la cybersicurezza italiana. Complice un periodo non ordinario per chi deve fare i conti con i “cattivi” del web: come denunciato dall’Agenzia per la cybersicurezza nazionale (Acn) diretta da Roberto Baldoni – che invece si occupa di resilienza cibernetica – già da metà gennaio l’Italia è entrata nel mirino di una campagna di attacchi cyber da parte di attori russi che si è acuita con l’invasione russa dell’Ucraina ed è ancora in corso.
Nella stesura della strategia per la cybersicurezza nazionale il governo aveva già fatto riferimento alle operazioni offensive dei Servizi al punto 45 del Piano di implementazione, dove è citato l’obiettivo di “rafforzare le capacità di deterrenza in ambito cibernetico, in ragione degli scenari in atto”. A vigilare sull’attività dei Servizi, sottolinea il decreto, dovrà essere come sempre il Copasir. Al comitato di Palazzo San Macuto il premier dovrà riferire ogni volta che si renderà necessario un attacco cyber. Dopo 24 mesi dall’entrata in vigore delle nuove norme, l’organo bipartisan dovrà poi presentare in Parlamento una relazione sulle operazioni messe in campo.