Skip to main content

L’offensive cybersecurity di Stato richiede un quadro normativo organizzato

Con il dl Aiuti anche l’Italia cerca di dotarsi della capacità reattiva ad attacchi informatici. Ma “l’articolo 37” è solo il primo passo. L’analisi di Andrea Monti, professore incaricato di Digital Law nel corso di laurea in Digital Marketing dell’università di Chieti-Pescara

L’articolo 37 del decreto legge “Aiuti” prevede una norma che consente all’Italia di reagire ad attacchi informatici anche provenienti dall’estero grazie anche al coinvolgimento delle strutture militari della Difesa. Rinviando l’analisi della norma alla sua versione definitiva, in questa sede è, piuttosto, utile formulare alcune considerazioni di sistema su una scelta di questo genere che allinea normativamente l’Italia ad altri Paesi come gli Usa e la Francia.

I precedenti internazionali

Lo scorso 8 novembre 2021 lo US Department of Justice rende noto di avere smantellato un gruppo criminale ucraino accusato di essere dietro innumerevoli attacchi ransomware. Dai pochi dettagli pubblicamente noti sull’indagine è emerso che l’indagine è stata qualificata come caso di sicurezza nazionale (coinvolgendo dunque  anche i servizi segreti e il Department of Defence). Risulta inoltre che l’FBI ha utilizzato tecniche di offensive security per individuare i server che veicolavano il ransomware e per impiantare a sua volta del codice informatico necessario all’individuazione dei sospettati.

Una procedura analoga è stata utilizzata dalle autorità francesi nel caso Encrochat. L’indagine, partita nel 2017, ha riguardato un’azienda che forniva versioni personalizzate di smartphone Android trasformati in criptotelefoni per lo scambio di comunicazioni tramite un’infrastruttura di server sicuri. Analogamente al caso ReVIL, le autorità francesi hanno fatto ricorso alla sicurezza nazionale per coinvolgere la Direction Générale de la Sécurité Intérieure e hanno utilizzato un malware “piazzato” nei server di Encrochat ospitati in un data-centre francese.

Le decisioni giudiziarie straniere

Come era prevedibile, una volta finita a giudizio la vicenda ha suscitato una serie di contestazioni da parte degli avvocati difensori sulla regolarità dei metodi utilizzati dalle autorità francesi. Con una sentenza pronunciata lo scorso 8 aprile 2022 il Conseil Constitutionel ha dichiarato legittima la norma che consente alla procura della Repubblica di invocare il secret de la défense nationale per utilizzare apparati dello Stato diversi dalla magistratura.

Il futuro quadro normativo italiano

Considerati complessivamente, i due casi forniscono indicazioni utili al legislatore italiano per quella che sarà la legge di conversione del decreto Aiuti e per l’emanazione di ulteriori provvedimenti necessari a rendere efficace l’apparato di sicurezza informatica attiva dell’Italia.

Definire normativamente la sicurezza nazionale

Prendendo spunto dalla normativa francese, la prima cosa da fare è definire normativamente in modo chiaro il perimetro operativo della sicurezza nazionale. A differenza dell’Italia, che continua ad utilizzare la nozione di sicurezza nazionale in modo vago e ambiguo, la Francia è molto chiara sul punto. Volendo procedere verso un quadro normativo armonizzato per consentire la reazione immediata in caso di attacchi, questo è un passaggio ineliminabile. Una volta definita normativamente la sicurezza nazionale, infatti, diventa possibile operare il giudizio di bilanciamento fra interessi dello Stato e diritto di difesa valutando caso per caso le singole situazioni.

Coordinare le capacità reattive con il codice di procedura penale

Inoltre, una norma del genere consentirebbe il coordinamento fra le indagini penali e il coinvolgimento di strutture diverse dalla polizia giudiziaria.

Gli attacchi informatici anche provenienti dall’estero sono, infatti, reati perseguibili dalle autorità nazionali in base al principio dell’ubiquità dell’azione penale. Se, poi, riguardano impianti di pubblica utilità sono addirittura perseguibili d’ufficio. Di conseguenza, in caso di azioni criminali di questo genere l’attività di reazione immediata dovrebbe prevedere l’immediata informativa al pubblico ministero e la documentazione analitica delle attività svolte, da mettere a disposizione del magistrato.

Rispettare il diritto di difesa

In parallelo, dovrebbe anche essere rivista la normativa sul segreto istruttorio in modo da non diffondere informazioni sugli operanti coinvolti nelle attività e sui metodi adottati. Si tratta certamente di un compito non facile, dovendo pur sempre garantirsi il diritto di difesa, ma che deve essere necessariamente portato a buon fine per evitare che i procedimenti penali vengano sostanzialmente sottratti a qualsiasi forma di controllo.

Tutelare gli operanti

Un altro aspetto da considerare è la tutela degli operanti. Mentre, infatti, la reazione ad un attacco potrebbe essere considerata lecita —e dunque non perseguibile— in quanto prevista per legge, questo non sarebbe automaticamente possibile se il bersaglio dell’azione fosse localizzato in un altro Paese. In assenza di una attribuzione chiara dell’attacco a uno State-sponsored actor (ipotesi praticamente irrealizzabile) che potrebbe giustificare la rappresaglia, ogni evento dovrebbe essere qualificato come atto di criminalità comune. Quindi gli operanti italiani che dovessero a propria volta attaccare i criminali stranieri potrebbero trovarsi a commettere un reato perseguibile nella giurisdizione del Paese in cui si trovano i server oggetto di reazione.

Potenziare gli accordi per la cooperazione giudiziaria e preventiva

Il modo in cui sono state scambiate le informazioni fra le varie autorità investigative e quelle di supporto, come Europol, nell’indagine Encrochat è stato oggetto di ricorso giurisdizionale. Dalla motivazione di una sentenza della Corte federale tedesca emerge che le informazioni sui risultati investigativi sono state scambiate prima dell’emissione di un ordine di investigazione europea e che l’ordine in questione sia stato emanato soltanto successivamente, quasi come una formalità. Benché la Corte federale tedesca abbia ritenuto corretto questo modo di operare, c’è qualche perplessità sul fatto che un approccio del genere possa funzionare anche nel diritto italiano. Di conseguenza, dovrebbero essere stabilite norme di cooperazione anche per le fasi preventive.

Conclusioni

Prevedere per legge la possibilità di reagire ad attacchi informatici provenienti da altre giurisdizioni allinea l’Italia a una tendenza già manifestata in altri Paesi dell’Unione e negli Usa.

L’articolo 37 del decreto Aiuti va in questa direzione, ma richiede di essere integrato con una serie di provvedimenti normativi e regolamentari che ne consentono l’efficacia operativa e la tenuta giurisdizionale.

Il rischio di lasciare questa norma abbandonata a se stessa è che, pur con i tempi geologici della giustizia, risultati ottenuti nell’immediato siano vanificati da decisioni giudiziarie nazionali o di corti internazionali. In altri termini, una vittoria in ambito tattico rischia di tradursi in un fallimento strategico e, dunque, in una sconfitta totale.



×

Iscriviti alla newsletter