Per rispondere a quella che l’ultimo rapporto Clusit ha definito una situazione di “cyber guerriglia permanente”, l’Unione europea aggiunge un altro tassello alla sua strategia di sicurezza nel quinto dominio con l’approvazione, da parte del Consiglio europeo, di un meccanismo che prevede sanzioni mirate contro chi sferra attacchi informatici, ma anche ai danni di eventuali mandanti o finanziatori.

L’INIZIATIVA UE

Il quadro istituito consente in pratica all’Ue, spiega la nota del Consiglio, di imporre misure restrittive per scoraggiare e contrastare le offensive cyber “che costituiscono una minaccia esterna per l’Ue o i suoi Stati membri”, comprese quelle “nei confronti di Stati terzi o organizzazioni internazionali qualora le misure restrittive siano ritenute necessarie per conseguire gli obiettivi della politica estera e di sicurezza comune (Pesc)”. Gli attacchi informatici che rientrano nell’ambito di applicazione di questo nuovo regime di sanzioni, si aggiunge, sono quelli “che hanno effetti significativi e che provengono o sono sferrati dall’esterno dell’Ue, impiegano infrastrutture esterne all’Ue, sono compiuti da persone o entità stabilite o operanti al di fuori dell’Ue, sono commessi con il sostegno di persone o entità operanti al di fuori dell’Ue”.

LE SANZIONI PREVISTE

Si tratta di un provvedimento dai caratteri innovativi perché, per la prima volta, l’iniziativa permetterà in linea teorica all’Ue di imporre sanzioni a persone o entità responsabili di attacchi informatici (anche tentati, che forniscono sostegno finanziario, tecnico o materiale per queste offensive o che vi sono coinvolti in altro modo. Queste sanzioni potranno anche essere comminate a individui o realtà associate ad esse. Le misure restrittive includono un divieto per le persone che viaggiano verso l’Ue e un congelamento dei beni. Viene inoltre vietato in Ue di mettere fondi a disposizione di persone ed entità inserite nell’elenco.

LE ALTRE MISURE

Sono misure che si coniugano a una serie di altri provvedimenti che Bruxelles ha messo in campo in questi anni per aumentare la cyber security del Vecchio continente. Tra questi ci sono la direttiva Nis, che ha aumentato l’information sharing e creato un livello comune di sicurezza informatica tra gli Stati membri per ciò che concerne la protezione delle infrastrutture critiche, e il Cybersecurity Act, che ha definito un sistema europeo (per ora non obbligatorio) di valutazione e certificazione di software e hardware e ha rafforzato i poteri dell’Enisa, l’agenzia Ue per la cyber security, l’Enisa.

I PROBLEMI DA RISOLVERE

L’iniziativa odierna, tuttavia, è destinata scontrarsi con alcune criticità tecniche non nuove, che ne rendono complessa l’applicazione. “Queste misure”, spiega a Formiche.net Corrado Giustozzi, esperto di sicurezza cibernetica e membro del Permanent Stakeholders’ Group dell’Enisa, “che nascono nell’ambito di un dibattito ormai pluriennale sulla cyber diplomacy e sulla definizione di nuove regole per la Rete, sono da accogliere senz’altro con favore, perché contribuiscono a responsabilizzare i vari attori che operano nel cyber spazio e a trasmettere il messaggio che non si tratta di una terra di nessuno, dove non si è responsabili delle proprie azioni. Inoltre, il provvedimento tiene conto non solo dei cyber attacchi, ovvero offensive operate ai danni dei sistemi, ma anche di attacchi favoriti dalle infrastrutture cibernetiche, come lo possono essere quelli che attraverso una manomissione di un sistema informatico arrivano a colpire un elemento fisico, ad esempio un mezzo di trasporto”. Al tempo stesso, rileva Giustozzi, “l’iniziativa sconterà giocoforza, in sede di applicazione, una serie di problemi tecnici che affliggono da tempo le relazioni nel cyber spazio”. In primo luogo, spiega l’esperto, “non si chiarisce cosa sia giuridicamente un attacco informatico. Una azione di spionaggio informatico lo è o no?”. Secondariamente, “non si definisce cosa costituisca un impatto significativo che giustificherebbe le sanzioni”. Infine, “diventa cruciale l’attribuzione dell’attacco che darebbe il via alle misure restrittive. Bisognerebbe essere sicuri, con prove certe valide davanti a un tribunale internazionale, che l’attacco si partito per mano o per indicazione del soggetto o dell’entità colpita. E questo, così come gli altri punti elencati, resta ancora uno dei problemi da risolvere quando si cerca di rispondere a azioni offensive nel cyber spazio”.