La proposta della Commissione europea di una Joint Cyber Unit è una svolta cruciale, perché protegge il sistema su cui tutta l’attività e l’azione europea si fondano. Ecco i cinque pilastri della rivoluzione cyber a Bruxelles. L’analisi di Fabio Bassan, professore di Diritto internazionale dell’Economia all’Università di Roma Tre
Molti dei primi commenti sulla Joint Cyber Unit (JCU) annunciata mercoledì scorso dalla Commissione europea evidenziano le difficoltà di integrare infrastruttura pubblica e risorse private, queste ultime peraltro oggi in concorrenza tra loro, per realizzare quella security by design che dovrebbe innalzare in modo strutturale nell’Unione il livello di protezione di imprese e Pa, e non solo consentire una reazione immediata a un allarme rapido.
Le perplessità sono comprensibili. Se si guarda però alla big picture, l’azione della Commissione (almeno) negli ultimi due anni appare mossa da qualcosa di più che un mero ottimismo della volontà.
In un primo commento all’annuncio della Jcu ho evidenziato tre profili di novità della proposta che ritengo indichino un percorso, non solo un obiettivo, e siano decisivi per raggiungerlo. La prima novità consiste proprio in quella forma di collaborazione tra pubblico e privato su cui si concentra lo scetticismo dei primi commentatori. Enisa è agenzia che regola, Europol e EC3 sono braccia operative, i privati competono tra loro con soluzioni alternative e non interoperabili: pezzi di sicurezza, come inserirli in un puzzle coerente?
Il percorso individuato dalla Commissione europea si sviluppa in 5 punti, che caratterizzano l’azione europea non solo in materia di cybersecurity ma, più in generale, nelle politiche regolatorie, in cui questa finisce, come vedremo, per inserirsi in modo del tutto coerente.
Il primo punto: non corrisponde più a realtà la divisione tra regole e mercato, tra regolatore e regolato. Nel digitale le regole sono incorporate (embedded) nella tecnologia. Chi sviluppa la tecnologia definisce le regole cui l’ecosistema tecnologica deve sottostare. Pensare di imporre regole dall’esterno, magari ex post, non è realistico.
Un esempio recente auto-esplicativo: molti Paesi europei (Francia e Germania incluse) hanno adottato nella primavera 2020 leggi per la notifica di esposizione al Covid 19 che prevedevano database centralizzati, e che sono state abrogate venti giorni dopo la loro pubblicazione in Gazzetta, sostituite da norme che prevedevano esattamente il contrario: decentralizzazione del controllo. La ragione: un accordo tra Google e Android, non notificato ad alcuna autorità di regolazione, vigilanza o concorrenza, applicato automaticamente su tutti i terminali, basato sulla decentralizzazione. Questo accade alle regole, se avulse dalla tecnologia.
Secondo: non corrisponde alla realtà la divisione tra regolazione pubblica e privata. Se è il regolato che si regola (perché le regole sono incorporate nella tecnologia), ci si muove verso schemi di gioco nuovi: autoregolazione negli Stati Uniti, co-regolazione nell’Unione Europea. Per co-regolazione s’intende collaborazione tra autorità e mercato nella definizione delle regole.
La forma di co-regolazione scelta dalla Commissione europea è il ‘circolo regolatorio’: il mercato definisce regole, tra le quali le autorità di regolazione o vigilanza scelgono le best practices, che diventano benchmark nazionali e poi europee, via coordinamento tra autorità che elaborano standard che si impongono al mercato, o se necessario, avanzano proposte alla Commissione europea, che adotta atti esecutivi o, se necessario, proposte normative.
Terzo: la matrice regolatoria non esiste più. I silos verticali (banche, assicurazioni, mercati finanziari, energia, comunicazioni, trasporti ecc…) sono implosi (integrati molti, separati alcuni) e quelli orizzontali (concorrenza, tutela della privacy e dei consumatori) sono meno efficaci che in passato. Nel digitale confluisce gran parte dell’economia attuale, quasi tutta quella futura, che tuttora resta non regolata (errori del passato: nell’Unione, la direttiva 200/31/CE sul commercio elettronico, sandbox ante litteram).
Quarto: uno sviluppo del digitale che prescinda da una sicurezza by design, incorporata a sua volta nella tecnologia che si evolve, espone l’intero sistema a un rischio non controllato e dunque vanifica tutti i tentativi dell’Unione di ritagliarsi sul mercato un ruolo che oggi non ha. Le regole sono un modo per partecipare allo sviluppo della tecnologia, se è vero che sono incorporate in questa.
Quinto: se i quattro presupposti di cui sopra sono veri, legislatori e regolatori non possono fare a meno delle imprese, pubbliche e private: per definire regole, standard, protocolli, per verificarne l’efficacia e l’efficienza, per garantire l’enforcement, la reazione a un allarme rapido. Si tratta di una (leale) cooperazione continua, i cui contenuti variano nel tempo. I dettagli, certo, contano.
Ma allora, sulla base di questi presupposti generali, la Joint Cyber Unit non è che un altro ‘pezzo di sicurezza’, che segue gli stessi percorsi e si avvale delle esperienze già operative. Non solo GaiaX dunque (standard e protocolli condivisi tra imprese, governi e autorità, nel presupposto dell’interoperabilità), ma anche i mercati bancari, assicurativi, finanziari, dove i temi della sicurezza sono da sempre a fondamento del sistema, il cui grado di resilienza è ormai verificato costantemente.
È sufficiente leggere la Cyber Resilience Oversight della Bce, le linee guida di Eba sulla gestione dei rischi Ict, i Principles for Operational Resilience del Comitato di Basilea, la proposta Dora (regolamento Ue sulla resilienza operativa digitale per il settore finanziario – Digital Resilience Operational Act) per rendersi conto che principi, norme, modalità applicative, sono analoghe a quelle proposte per la Jcu e applicano i cinque fondamenti di cui sopra.
La proposta della Commissione europea di una Joint Cyber Unit costituisce quindi uno dei precipitati di un’azione coordinata (con il Consiglio Ue, la Bce, le agenzie europee, i governi nazionali, le imprese) e promossa negli ultimi anni per un riposizionamento geopolitico e per la promozione di una politica di europea di crescita sostenibile necessaria (la ‘vecchia’ politica industriale).
È uno dei precipitati più importanti, perché protegge il sistema su cui tutta l’attività e l’azione si fondano. Segue modelli e percorsi già collaudati. Anche per questa ragione, non impegnarsi fino in fondo per raggiungere l’obiettivo, per quanto questo sia complesso, non è un’opzione: sarebbe vanificata non la costituzione di una JCU, ma una parte importante (fondamentale) del progetto europeo.
