Pochi giorni fa, la Commissione Europea e l’Alto Rappresentate per gli affari esteri e la politica di sicurezza, Catherine Ashton, hanno sottoposto al Consiglio e al Parlamento europeo la bozza di quella che può essere definita la prima cyber-security strategy dell’Unione Europea.
Ciò nonostante, non è la prima volta che l’Ue si interessa di sicurezza informatica. Già nel 2001, infatti, attraverso il “Communication Network and Information Security: Proposal for a European Policy Approach“, la Commissione aveva sottolineato la necessità di innalzare il livello di consapevolezza da parte degli Stati membri nel campo della Network and Information Security (NIS). Documento a cui ha fatto seguito, nel 2006, una “Strategy for a Secure Information Society” e, nel 2009, uno specifico “Action Plan and a Communication on Critical Information Infrastructure protection (CIIP)”. Il primo con l’obiettivo di continuare nello sviluppo della cultura in materia di cyber-security in Europa, il secondo, invece, focalizzato specificatamente sulla protezione delle infrastrutture critiche europee dalle minacce provenienti dal cyber-spazio.
Con la bozza di cyber-strategy appena presentata, tuttavia, l’Unione Europea si appresta a compiere un ulteriore ed importante passo in avanti, formalizzando una vera e propria strategia nel campo della sicurezza informatica, come già fatto da alcuni tra i più importanti attori internazionali (ad es.: Stati Uniti, Regno Unito, Germania, Francia, Olanda).
Preliminarmente è importante sottolineare che il focus principale di questo documento strategico è costituito dal cyber-crime. Poco o nulla, infatti, viene esplicitato riguardo al c.d. cyber-warfare. Perlomeno direttamente.
Tuttavia, occorre evidenziare come le caratteristiche uniche del cyber-spazio rendano i medesimi principi esplicitati per il contrasto della criminalità informatica utili anche per far fronte efficacemente anche ad altri settori della minaccia, come ad esempio il cyber-espionage. Fenomeno, questo, che sta suscitando sempre maggiori preoccupazioni presso i Servizi di Intelligence occidentali (è di poche ore, ad esempio, la notizia del primo National Intelligence Estimate statunitense dedicato proprio allo spionaggio elettronico).
Il documento strategico dell’Unione Europea può essere principalmente suddiviso in tre parti: una prima, che detta i principi fondanti e ispiratori per il settore della cyber-security; una seconda, in cui vengono enunciate le priorità strategiche ed una terza nella quale si affronta la questione dei ruoli e delle responsabilità sia a livello locale che europeo ed internazionale. Scopo dichiarato della cyber-strategy è quello di contribuire a garantire – in collaborazione con gli altri attori nazionali e sovranazionali – un cyberspazio “open, safe and secure”, nella certezza che le infrastrutture informative costituiscano oggigiorno la spina dorsale della crescita economica europea ed un importantissimo strumento per il benessere dei cittadini.
Cinque le priorità strategiche individuate nel documento:
1. Raggiungere un livello adeguato di cyber-resilienza (rilevanti per il conseguimento di questo obiettivo sono le attività che l’Unione Europea si ripromette di svolgere per dare attuazione alle norme già da tempo delineate in tema di Network ed Information Security);
2. Ridurre drasticamente l’incidenza del cyber-crime, sia attraverso le norme in vigore (si veda, ad esempio, la c.d. Convenzione di Budapest sul cyber-crime del 2001), che per mezzo di ulteriori impianti normativi volti a regolare specifici settori critici, ovvero, ancora, operando per accrescere le capacità operative di tutti i Paesi membri utili a far fronte al problema del crimine informatici, sia a livello nazionale che attraverso un miglior coordinamento e supporto delle specifiche strutture esistenti a livello europeo (come, ad esempio, il nuovo European Cybercrime Centre – EC3);
3. Sviluppare una cyber-defence policy;
4. Promuovere lo sviluppo delle risorse industriali e tecnologiche per la cyber-security all’interno dei Paesi membri;
5. Predisporre una International cyber-space Policy dell’Unione Europea, magari sulla falsa riga di quella americana.
Il documento strategico dell’Unione Europea, infine, prende in considerazione anche i ruoli e le responsabilità da mettere in campo su questo percorso di crescita tanto imprescindibile, quanto ambizioso.
Fondamentale rilievo viene dato al ruolo di ciascuno Stato membro nelle attività di contrasto alla minaccia sul proprio territorio nazionale, non solo per vicinanza territoriale alla protezione dell’interesse leso, quant’anche per un più rapido intervento di prevenzione, contrasto e coordinamento (anche con il settore privato, spesso detentore delle più importanti infrastrutture critiche tecnologiche di un Paese).
Di assoluto rilievo, inoltre, è l’imposizione che ciascuno Stato membro provveda alla scrittura di un proprio documento strategico nazionale in materia di cyber-security. Traguardo a cui, pare, anche l’Italia stia finalmente giungendo.
Nell’ottica del reciproco aiuto e dialogo a livello europeo, inoltre, risulta di assoluto rilievo l’inclusione nella cyber-strategy della possibilità per ciascun Stato membro di poter far ricorso alla clausola di solidarietà prevista dall’art. 222 del Trattato sul funzionamento dell’Unione Europea anche nel caso in cui siano vittime di un rilevante cyber-incident ovvero di un attacco informatico.
Stefano Mele è coordinatore dell’Osservatorio “Infowarfare e Tecnologie emergenti” dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”.
Claudio Neri è direttore del Dipartimento di ricerca dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”.