Un effetto collaterale delle restrizioni ai consumi energetici potrebbe essere lo spostamento di servizi critici verso i data center di Paesi energeticamente più stabili. L’intervento di Andrea Monti, professore incaricato di digital law nel corso di laurea in Digital Marketing dell’università di Chieti-Pescara
Il taglio trasversale della fornitura di elettricità e dunque eseguito anche nei confronti di centrali e apparati di telecomunicazioni, è una potenziale criticità del razionamento energetico annunciato dall’Unione Europea.
Al momento, non ci sono posizioni pubbliche del governo italiano il che ha spinto gli organi rappresentativi delle imprese del settore Tlc a chiedere l’adozione di un piano che scongiuri interruzioni a macchia di leopardo dell’alimentazione della rete.
L’esistenza o meno di un piano di emergenza per gestire questo problema, la sottovalutazione della dipendenza di infrastrutture critiche e servizi essenziali inclusi nel perimetro di sicurezza cibernetica da altre componenti della filiera che non ne fanno parte, l’assenza di un soggetto unico in grado di decidere sulle scelte che incidono sulla sicurezza della rete e delle informazioni rappresentano condizioni di fatto potenzialmente in grado di esporre a rischio la tenuta dei sistemi italiane.
Anche se in ritardo, quantomeno ora se ne comincia a parlare e (sperabilmente) a breve Mise, Mite, autorità indipendenti e Agenzia per la cybersicurezza forniranno indicazioni su tempi, modi e impatti della strategia nazionale da adottare.
Il rischio di fuga verso Paesi energeticamente stabili
C’è, tuttavia, un effetto di medio periodo che non risulta essere stato preso in considerazione: il rischio di fuga di imprese e dati verso Paesi energeticamente stabili e il conseguente indebolimento della sovranità digitale italiana, che è un componente essenziale della strategia di sicurezza nazionale.
Benché ai professionisti della sicurezza delle informazioni sia estremamente chiara l’importanza della continuità operativa —e dunque pure della disponibilità di “energia alternativa” in caso di black out— nei fatti questo requisito non è di solito gestito in una prospettiva geopolitica. In altri termini, il tema è, tradizionalmente, affrontato in chiave tecnica, relativa alla presenza o meno di impianti di alimentazione indipendenti e alla durata della alimentazione alternativa. Nello scenario attuale, tuttavia, affrontare il tema soltanto in questa prospettiva non è più sufficiente.
Le scelte politiche (più o meno razionali) che si sono tradotte nello spostare verso il cloud una rilevante parte di servizi pubblici e privati e nella creazione di infrastrutture sostanzialmente centralizzate (che però diventano single point of failure) inseriscono la sicurezza energetica fra gli elementi che fanno la differenza fra un fornitore italiano e un concorrente che opera in un Paese con una migliore capacità di sostenere l’impatto della crisi.
I potenziali effetti distorsivi per il mercato e la sovranità digitale
Questo significa, in altri termini, che il (relativamente) limitato numero di imprese multinazionali convenzionalmente chiamate “Big Tech” acquisiscono un vantaggio competitivo dagli effetti potenzialmente distorsivi del mercato interno e pericolosi per la sicurezza delle nostre infrastrutture.
Potersi dichiarare immuni — o limitatamente affetti — da black out da razionamento è una caratteristica di servizio che incide sia sul rispetto degli obblighi normativi (uno su tutti, il Regolamento sulla protezione dei dati personali), sia su quelli contrattuali sia, infine, sulle responsabilità degli organi amministrativi nei confronti di soci e investitori. Difficilmente, dunque, in assenza di queste garanzie un’azienda sceglierà un fornitore italiano. Questo non vale soltanto per l’industria nazionale, ma anche per quei soggetti stranieri che devono operare in Italia (per esempio gestori di sistemi di pagamento) e che potrebbero valutare di non localizzare all’interno dei nostri confini le proprie infrastrutture.
Dall’altro lato, e di conseguenza, questo significa perdere il controllo sulla localizzazione dei dati e consegnare a soggetti stranieri dei servizi che magari non rientreranno nelle definizioni normative di “critici” o “essenziali” ma che non sono meno importanti per il nostro Paese.
Il peccato originale del governo della sicurezza
Come ogni crisi, anche quella energetica opera come stress test della capacità di uno Stato e fornisce indicazioni concrete sulle scelte politiche e sui correttivi da adottare. Anche se, per ora e fortunatamente, non si sono ancora verificati eventi avversi la situazione attuale rende alquanto evidente come il peccato originale del governo della sicurezza delle informazioni sia la frammentazione orizzontale e verticale dei decisori istituzionali.
Il Codice europeo delle comunicazioni elettroniche affida al Mise un ruolo centrale nella protezione delle infrastrutture sia in termini regolamentari, sia in termini di poteri/doveri di controllo sugli operatori. Nello stesso tempo, però altri soggetti hanno acquisito, di fatto o di diritto, un titolo a interloquire in materia, mentre l’Agenzia per la cybersicurezza è ancora alla ricerca di un equilibrio fra una funzione eminentemente tecnico-operativa e un ruolo più strategico che, però, non può confinarla all’interno di un perimetro puramente di tipo informatico. È chiaro che l’assenza quantomeno di un coordinamento permanente e l’individuazione di una leading authority rappresentano un tema da affrontare quanto prima.
In questo quadro si inserisce, inoltre, anche il rapporto con l’Unione Europea. Da un lato l’articolo 4 del Trattato prevede il rispetto delle prerogative degli Stati membri in materia di sicurezza nazionale, ma dall’altro è evidentemente inevitabile che una crisi come quella energetica —che pure certamente rientra in questo ambito — debba essere gestita centralmente.
Come se ce ne fosse bisogno, questa è l’ennesima riprova dell’urgenza di completare il processo di trasformazione della Ue in un effettivo soggetto politico sovrano rispetto agli Stati membri per assicurare l’unitarietà delle decisioni e la tutela paritetica degli interessi di tutti i consociati.