Gli obiettivi dell’indagine conoscitiva
La IV Commissione (Difesa) della Camera dei deputati, nella
seduta del 26 gennaio 2016, ha deliberato lo svolgimento di un’indagine
conoscitiva sulla sicurezza e la difesa
nello spazio cibernetico.[1]
Come precisato nel relativo programma “l’indagine si incentrerà sugli
specifici profili di interesse della Commissione Difesa, fermo restando che,
per far emergere più chiaramente il ruolo che le Forze armate svolgono oggi e
quello che dovranno svolgere in futuro in questo campo, essa dovrà tenere conto
del ruolo svolto dagli altri soggetti che operano nel complessivo sistema di
protezione dello spazio cibernetico nazionale, acquisendo, dove possibile,
anche il contributo di conoscenza che può venire dall’apporto di inquadramento
concettuale, di informazione e di esperienza di soggetti istituzionali che, pur
esterni al sistema della difesa in senso stretto, operino comunque in campi di
attività riconducibili al tema di cui si parla. L’attività di indagine si
articolerà principalmente in audizioni di soggetti competenti e qualificati
rispetto al tema e, ove necessario, in sopralluoghi o visite di studio al di
fuori della sede parlamentare (per i quali sarà di volta in volta chiesta l’autorizzazione
della Presidente della Camera) e si concluderà entro l’anno 2016”.
Quadro normativo
Definizioni
Secondo la definizione contenuta nel D.P.C.M 24 gennaio 2013, recante
gli Indirizzi per la protezione
cibernetica e la sicurezza informatica nazionale, lo spazio cibernetico è rappresentato dall’insieme delle
infrastrutture informatiche interconnesse, comprensivo di hardware, software,
dati ed utenti, nonché delle relazioni logiche, comunque stabilite, tra di
essi. Esso dunque comprende internet, le reti di comunicazione, i sistemi su
cui poggiano i processi informatici di elaborazione dati e le apparecchiature mobili
dotate di connessione di rete[2].
A sua volta la minaccia
cibernetica viene definita nel Quadro
strategico nazionale per la sicurezza dello spazio cibernetico (vedi infra),
come
l’insieme di quelle condotte c.d. ”controindicate” che possono essere
realizzate nel e tramite lo spazio cibernetico ovvero in danno di quest’ultimo
e dei suoi elementi costitutivi. La minaccia si sostanzia nei c.d. attacchi cibernetici[3] ovvero in azioni
più o meno automatizzate sulle reti da parte di singoli individui o
organizzazioni, statuali e non, finalizzate a distruggere, danneggiare o
ostacolare il regolare funzionamento dei sistemi, delle reti o dei sistemi
attuatori di processo da essi controllati ovvero a compromettere l’autenticità,
l’integrità, la disponibilità e la riservatezza dei dati ivi custoditi o che vi
transitano.
Come noto lo spazio cibernetico se da un lato ha consentito e consente
tuttora notevoli opportunità di sviluppo culturale, sociale ed economico,
dall’altro lato le caratteristiche stesse del cyber spazio hanno implicato ed implicano anche grandi
vulnerabilità per la sicurezza nazionale e per la stabilità economica dei
Paesi.
Gli attacchi cibernetici possono, infatti, originare da qualsiasi punto
della rete globale e per le loro peculiarità - sono asimmetrici, trasversali e
mutevoli -, possono determinare rilevanti conseguenze sul funzionamento e l’integrità
della rete informatica di un Paese ed in particolare sulle infrastrutture informatizzate critiche di interesse nazionale.
Al riguardo, in base alla definizione contenuta nel
del decreto del Ministero dell’Interno del 9 gennaio 2008, sono da considerarsi
infrastrutture informatizzate critiche
di interesse nazionale quei sistemi e quei servizi informatici di supporto dei
Ministeri, di agenzie e di enti operanti in settori strategici anche nei
rapporti internazionali quali, ad esempio, giustizia, difesa, finanza,
ambiente, Banca d’Italia, oppure società partecipate dallo Stato che forniscono
servizi essenziali in comuni con oltre 500.000 abitanti.
Dal punto di vista della pericolosità gli attacchi vengono generalmente
classificati secondo diversi livelli di gravità[4]. Si
passa, infatti, dal vandalismo cibernetico alla vera e propria guerra cibernetica, di sovente
descritta come il quinto settore dell'attività militare accanto ai tradizionali domini di
terra, mare, cielo e spazio[5]. “Gli attori che
possono infatti avvalersi dello strumento informatico per azioni ostili
vanno dall’ hacker individuale che agisce a scopo di lucro, fino all’apparato
governativo che persegue obiettivi geopolitici o propagandistici, come nel caso
degli attacchi informatici verso l’Estonia nel 2007[6], passando per la
criminalità organizzata e i gruppi terroristici. Questi ultimi, ad esempio,
usano il Cyber-spazio per tutto lo spettro delle loro attività, dal
reclutamento al finanziamento, alla propaganda e, in misura sempre maggiore,
anche l’attacco informatico vero e proprio teso a procurare un danno all’avversario”[7].
Al riguardo, si segnala che da un punto di vista
dottrinario il tema della cyber
warfare ha assunto un rilievo crescente -soprattutto dopo gli attacchi rivolti contro
l’Estonia nel 2007- e con particolare riferimento alle logiche di difesa nazionale e all’evoluzione stessa
del concetto tradizionale di conflitto tra Stati. In particolare, è stato
rilevato come attualmente il conflitto “ha maggiore probabilità di manifestarsi
tramite il furto di informazioni riservate (cyber
spionaggio) o la paralisi di infrastrutture critiche nazionali piuttosto che
tramite mezzi militari convenzionali. La guerra tradizionale ha sempre meno
occasione di verificarsi, in contesti di tensione tra stati avanzati, e le
nuove frontiere delle minacce alla sicurezza nazionale attengono sempre più
alla dimensione cibernetica”[8], Sempre a livello dottrinario si discute se far rientrare questo tipo di attacchi
nella fattispecie dell’articolo 5 del Trattato istitutivo dell’Alleanza
Atlantica, consentendo così alla NATO di intervenire in legittima difesa
collettiva contro lo stato “aggressore” o contro lo Stato che non vigila
sull’operato lesivo di un proprio cittadino o comunque su un operato lesivo
svolto dal proprio territorio[9].
Normativa nazionale: il D.P.C.M. 24 gennaio 2013
L’Italia nell’arco degli ultimi anni ha adottato diverse iniziative,
anche di carattere normativo, per fronteggiare le minacce provenienti dal cyber spazio. Da ultimo la legge di
stabilità per l’anno 2016 ha previsto l’Istituzione di uno specifico Fondo per
il potenziamento degli interventi e delle dotazioni strumentali in materia di
protezione cibernetica e sicurezza informatica nazionali, con uno stanziamento
iniziale per l’anno 2016 di 150 milioni di euro (art. 1, comma 968, legge n. 208 del 2015).
L’Italia è, inoltre, impegnata a livello europeo, internazionale e
bilaterale per favorire la definizione di regole condivise in ambito digitale
che consentano una più facile e rapida capacità di risposta alle sfide di
sicurezza dello spazio cibernetico.
A livello nazionale, il DPCM 24
gennaio 2013, recante “Indirizzi per la protezione cibernetica e la
sicurezza informatica nazionale”, ha delineato “in un contesto unitario e
integrato l’architettura istituzionale deputata alla tutela della sicurezza
nazionale relativamente alle infrastrutture critiche materiali e immateriali,
con particolare riguardo alla protezione cibernetica e alla sicurezza
informatica nazionali, indicando a tal fine i compiti affidati a ciascuna
componente ed i meccanismi e le procedure da seguire ai fini della riduzione
della vulnerabilità, della prevenzione dei rischi, della risposta tempestiva
alle aggressioni e del ripristino immediato della funzionalità dei sistemi in
caso di crisi” (articolo 1).
In linea con quanto previsto dal predetto DPCM,
sono stati successivamente redatti il Quadro
Strategico Nazionale per la sicurezza dello spazio cibernetico ed il Piano Nazionale per la protezione
cibernetica e la sicurezza informatica che
contengono gli obiettivi strategici e operativi della cyber security italiana.
Sono stati così individuati, insieme con i profili e le tendenze evolutive
delle minacce alle reti ed ai sistemi di interesse nazionale, anche gli strumenti e le procedure per contrastarle
e sono stati allo stesso tempo definiti tanto i compiti dei vari attori pubblici
e privati, quanto gli obiettivi specifici e le linee di azione prioritarie[10].
Il sistema delineato dal DPCM 24 gennaio 2013 pone al vertice del potere
decisionale il Presidente del Consiglio
dei ministri e i Ministri che compongono il Comitato per la sicurezza della
Repubblica (CISR), a cui sono
demandati i compiti di indirizzo politico-strategico. Ad essi, infatti, spetta
la definizione della strategia nazionale
di cyber-security nonché
l’emanazione delle conseguenti direttive d’indirizzo. A supporto del Comitato
interministeriale opera un apposito organismo
collegiale di coordinamento (articolo 5), presieduto dal Direttore generale
del Dipartimento delle Informazioni per la Sicurezza (DIS).
Il comitato
interministeriale per la sicurezza della Repubblica (CISR) è un organismo di consulenza, proposta e deliberazione sugli
indirizzi e le finalità generali della politica dell’informazione per la
sicurezza. In particolare il Comitato:
·
delibera sulla ripartizione delle risorse finanziarie e sui bilanci
preventivi e consuntivi di DIS, AISE e AISI
·
indica il fabbisogno informativo necessario ai ministri per svolgere
l’attività di governo.
Sono membri
del CISR:
·
il Presidente del
Consiglio dei ministri;
·
l’Autorità
delegata;
·
il Ministro degli affari esteri;
·
il Ministro dell’interno;
·
il Ministro della difesa;
·
il Ministro della giustizia;
·
il Ministro dell’economia e delle finanze;
·
il Ministro dello sviluppo economico.
Al Direttore
generale del DIS
sono assegnate le funzioni di segretario del Comitato.
A sua volta l’ organismo
collegiale di coordinamento svolge attività
preparatoria delle riunioni del CISR dedicate alla materia della sicurezza
cibernetica; assicura l'istruttoria per
l'adozione degli atti e per l'espletamento delle attività, da parte del CISR;
espleta le attività necessarie a
verificare l'attuazione degli interventi previsti dal Piano nazionale per
la sicurezza dello spazio cibernetico e l'efficacia delle procedure di
coordinamento tra i diversi soggetti, pubblici e privati, chiamati ad attuarli;
coordina, in attuazione degli
indirizzi approvati dal CISR e sulla base degli elementi forniti dalle
Amministrazioni ed enti competenti, dagli organismi di informazione per la
sicurezza, dal Nucleo per la sicurezza cibernetica e dagli operatori privati,
nonché avvalendosi del comitato scientifico di cui all' articolo
6,
la formulazione delle indicazioni necessarie allo svolgimento delle attività di individuazione delle minacce
alla sicurezza dello spazio cibernetico, al riconoscimento delle vulnerabilità, nonché per l'adozione di best practices e misure di sicurezza.
Inoltre, l'organismo collegiale di coordinamento compie approfondimenti ed
acquisisce ogni utile contributo e valutazione ritenuti necessari.
A supporto del Presidente del Consiglio per gli aspetti relativi alla
prevenzione e all’approntamento rispetto a situazioni di crisi, il Decreto
istituisce anche il Nucleo per la
sicurezza cibernetica (articolo 8), costituito in via permanente presso
l’Ufficio del Consigliere militare e da questi presieduto. Il Nucleo è altresì
composto da un rappresentante rispettivamente del DIS, dell'AISE, dell'AISI, del Ministero degli affari
esteri, del Ministero dell'interno, del Ministero della difesa, del Ministero
dello sviluppo economico, del Ministero dell'economia e delle finanze, del
Dipartimento della protezione civile e dell'Agenzia per l'Italia digitale. Per
gli aspetti relativi alla trattazione di informazioni classificate il Nucleo è
integrato da un rappresentante dell'Ufficio centrale per la segretezza di cui
all'articolo 9 della legge n. 124/2007.
Ai sensi dell’articolo 11 del D.P.C.M. 01/10/2012,
recante l’ordinamento delle strutture generali della Presidenza del Consiglio
dei Ministri, l’Ufficio del Consigliere
Militare assiste il Presidente del Consiglio nel coordinamento
interministeriale e nelle relazioni con Enti ed Organismi, nazionali ed
internazionali, in materia di difesa e sicurezza nazionale, gestione delle
crisi, protezione cibernetica e sicurezza informatica, politica spaziale,
esercizio dei poteri speciali sugli assetti societari nei settori della difesa
e della sicurezza nazionale, attività di rilevanza strategica nei settori
dell’energia, dei trasporti e delle comunicazioni ed infrastrutture critiche;
cura gli affari di interesse della Presidenza relativi agli aspetti militari,
compresi quelli industriali, connessi all’appartenenza dell'Italia alle
organizzazioni internazionali; fornisce supporto all’Autorità politica nello
sviluppo di tematiche afferenti l’esportazione, importazione e transito di
prodotti per la difesa e nello studio ed individuazione di ipotesi di
conversione di imprese operanti nel settore della difesa.
il Decreto prevede, inoltre, l’istituzione presso la Scuola di
formazione del Sistema di Intelligence
un comitato scientifico composto da
esperti della materia provenienti dalle università, dagli enti di ricerca,
dalle pubbliche amministrazioni e dal settore privato. Al Comitato scientifico
è affidato il compito di predisporre ipotesi di intervento rivolte a migliorare
gli standard ed i livelli di
sicurezza dei sistemi e delle reti, nel quadro delle azioni finalizzate ad
incrementare le condizioni di sicurezza dello spazio cibernetico d'interesse
del Paese. Il Comitato, inoltre, assicurare ogni necessario contributo per lo
svolgimento delle attività spettanti rispettivamente all'organismo collegiale
di coordinamento ed al Nucleo per la sicurezza cibernetica, nel campo della
prevenzione e della preparazione ad eventuali situazioni di crisi.
Si segnala, infine, che nel sistema delineato dal richiamato D.P.C.M. 24
gennaio 2013, un ruolo di rilevo viene assegnato agli operatori privati che gestiscono infrastrutture critiche di rilievo
nazionale ed europeo, il cui funzionamento è condizionato dall’operatività di sistemi
informatici e telematici.
Ai sensi dell’articolo 11 del D.P.C.M. 24 gennaio 2013 tali soggetti
sono tenuti a comunicare ogni
significativa violazione della propria sicurezza o dell’integrità dei
propri sistemi informatici al Nucleo per la sicurezza cibernetica e, se
richiesto, agli organismi di informazione per la sicurezza e devono, altresì, adottare le misure di sicurezza e le best
practice eventualmente predisposte dall’organismo collegiale di
coordinamento posto a supporto del CISR. Sono inoltre, tenuti a riferire informazioni agli organismi di informazione per
la sicurezza e consentire ad essi
l'accesso alle banche dati d'interesse ai fini della sicurezza cibernetica
di rispettiva pertinenza, nei casi previsti dalla legge n. 124/2007. Da ultimo,
collaborano alla gestione delle crisi
cibernetiche contribuendo al ripristino della funzionalità dei sistemi e
delle reti da essi gestiti.
Il
quadro Strategico Nazionale per la sicurezza dello spazio cibernetico
Il Quadro Strategico Nazionale per la sicurezza dello spazio cibernetico,
elaborato dal Tavolo Tecnico Cyber (TTC) – che opera presso il DIS e al quale partecipano i rappresentanti cyber del CISR (Affari esteri, Interno, Difesa, Giustizia, Economia e
Finanze, Sviluppo economico), dell’Agenzia
per l’Italia Digitale e del Nucleo per la Sicurezza Cibernetica – delinea le linee strategiche nazionali nel medio-lungo periodo. In
particolare, fornisce
una panoramica delle principali minacce – dalla criminalità informatica allo
sfruttamento delle tecnologie ICT per fini terroristici, dall’“hacktivismo”
allo spionaggio cibernetico, dal sabotaggio per via informatica ai conflitti
nella 5a dimensione – e delle vulnerabilità
sfruttate per la conduzione di attacchi nello spazio cibernetico (capitolo
primo).
Il documento oltre a definire i ruoli e i compiti dei soggetti pubblici
individua inoltre:
· strumenti e
procedure per potenziare le capacità cibernetiche del Paese;
· gli indirizzi
strategici che includono il miglioramento, secondo un approccio integrato,
delle capacità tecnologiche, operative e di analisi degli attori istituzionali;
· il potenziamento
delle capacità di difesa delle Infrastrutture Critiche nazionali e degli attori
di rilevanza strategica per il sistema-Paese;
· l’incentivazione
della cooperazione tra istituzioni e imprese nazionali;
· la promozione e
diffusione della cultura della sicurezza cibernetica;
· il rafforzamento
delle capacità di contrasto alla diffusione di attività e contenuti illegali
on-line;
· il rafforzamento
della cooperazione nazionale in materia di sicurezza cibernetica.
L'Agenzia per l'Italia Digitale (AgID) è
una agenzia
pubblica
italiana istituita ai sensi del Decreto legge n. 83 del 2012 (cosiddetto
"Decreto sviluppo"), convertito dalla legge n. 134 del 2012.
L'Agenzia è sottoposta ai poteri di indirizzo e vigilanza del presidente del Consiglio dei ministri o del ministro da
lui delegato. Ha il compito di garantire la realizzazione degli obiettivi dell’Agenda digitale
italiana
(in coerenza con l’Agenda digitale europea) e contribuire alla diffusione
dell'utilizzo delle tecnologie dell'informazione e della comunicazione,
favorendo l'innovazione e la crescita economica. A sua volta l'Agenda Digitale Locale è un documento
riguardante la strategia con cui un ente locale intende affrontare
l'innovazione tecnologica delle proprie infrastrutture e dei propri servizi. I temi
dell'Agenda Digitale si sviluppano a livello europeo con l'Agenda Digitale
Europea, e a livello italiano con l'Agenda Digitale Italiana a fare da guida
alle Agende Digitali Locali costituite nei Comuni e Province d'Italia.
Il
Dipartimento delle informazioni per la sicurezza (DIS) è l’organo di cui si avvalgono il Presidente
del Consiglio dei ministri e l’Autorità delegata per l’esercizio
delle loro funzioni e per assicurare unitarietà nella programmazione della
ricerca informativa, nell’analisi e nelle attività operative di AISE e AISI. Al DIS spetta,
inoltre, il coordinamento delle attività informative indirizzate alla
protezione delle infrastrutture critiche e dello spazio cibernetico del Paese,
In sintesi, il DIS[11]: coordina l’intera attività di
informazione per la sicurezza, compresa quella relativa alla sicurezza
cibernetica e ne verifica i risultati; è informato costantemente delle
operazioni di AISE e AISI e trasmette al Presidente del Consiglio dei ministri
le informative e le analisi prodotte dal Sistema; raccoglie informazioni,
analisi e rapporti prodotti da AISE e AISI, da altre amministrazioni dello
Stato e da enti di ricerca; elabora analisi strategiche o relative a
particolari situazioni da sottoporre al CISR o ai singoli
ministri che lo compongono; promuove e garantisce lo scambio informativo tra i
servizi di informazione e le Forze di polizia; esercita il controllo sulle
attività di AISE e AISI attraverso l’Ufficio centrale ispettivo; vigila sulla
corretta applicazione delle disposizioni emanate dal Presidente del Consiglio
dei ministri in materia di tutela amministrativa del segreto di Stato e della documentazione
classificata;
impartisce gli indirizzi per la gestione unitaria del personale di DIS, AISE e
AISI; gestisce unitariamente gli approvvigionamenti e i servizi logistici
comuni a DIS, AISE e AISI; elabora con AISE e AISI il piano di acquisizione
delle risorse umane, materiali e strumentali; cura le attività di promozione
della cultura della sicurezza e la comunicazione
istituzionale.
Il
Piano nazionale per la protezione cibernetica e la sicurezza informatica
A sua volta il Piano nazionale per la protezione
cibernetica e la sicurezza informatica, in linea con quanto previsto dal
richiamato Decreto del Presidente del Consiglio dei Ministri del 24 gennaio
2013, rappresenta il documento operativo di breve periodo (2014-2015) nel quale
vengono individuate le priorità, gli
obiettivi specifici e le linee d’azione per dare concreta attuazione a quanto
descritto nel Quadro Strategico[12].
A tal fine il Piano individua i seguenti undici indirizzi operativi:
· Potenziamento delle
capacità di intelligence, di polizia e di difesa civile e militare;
· potenziamento
dell’organizzazione e delle modalità di coordinamento e di interazione a
livello nazionale tra soggetti pubblici e privati;
· promozione e
diffusione della cultura della sicurezza informatica. Formazione e
addestramento;
· cooperazione
internazionale ed esercitazioni;
· operatività del
CERT nazionale, del CERT-PA e dei CERT dicasteriali;
· interventi
legislativi e compliance con obblighi
internazionali;
· compliance a standard
e protocolli di sicurezza;
· supporto allo
sviluppo industriale e tecnologico;
· comunicazione
strategica;
· risorse;
· implementazione di
un sistema di Information Risk Management
nazionale.
Il
CERT nazionale è una struttura
individuata dall’articolo 16 - bis
del d.lgs. n. 259 del 2003, recante il Codice delle Comunicazioni elettroniche.
Si tratta di una struttura destinata a potenziare i meccanismi di risposta agli incidenti informatici e gli strumenti
di rilevazione e contrasto alle minacce. Il CERT nazionale ha avviato le sue
attività a partire dal 5 giugno 2014. Il CERT nazionale opera a supporto di
Cittadini ed Imprese con l’obiettivo di incrementare la consapevolezza e la
cultura della sicurezza nell’utilizzo di servizi on line, fornendo informazioni tempestive su potenziali minacce
informatiche, raccomandazioni e consigli utili per la prevenzione, contromisure
per la risoluzione di incidenti informatici con impatto significativo (www.certnazionale.it). Per assicurare un’azione efficace, il CERT opera
sulla base di un modello cooperativo pubblico-privato. Il CERT nazionale ha
avviato, infatti, la collaborazione con importanti imprese che gestiscono
infrastrutture informatizzate. Sulla base di tale collaborazione è stato
istituito un Tavolo tecnico permanente
per garantire un confronto costante tra i principali attori coinvolti e quindi
migliorare e velocizzare le azioni di risposta ad eventuali incidenti
informatici. il CERT nazionale ha avviato una stretta collaborazione con il CERT-PA (CERT delle Pubbliche
Amministrazioni che opera all’interno dell’Agenzia per l’Italia Digitale), CERT Difesa e CNAIPIC (Centro nazionale anticrimine informatico per la protezione
delle infrastrutture critiche che opera nell’ambito del Servizio di polizia postale
e delle comunicazioni). In ambito internazionale, il CERT nazionale ha già
avviato forme di dialogo con CERT
europei, extra-europei e con il CERT EU (CERT dell’Unione Europea
sostenuto dall’Agenzia europea per la sicurezza ENISA).
Le relazioni presentate al Parlamento
sul tema della sicurezza cibernetica
Da diversi anni il tema della sicurezza cibernetica costituisce oggetto di analisi nell’ambito delle Relazioni sulla politica dell’informazione per la sicurezza, predisposte dal Governo (Presidenza del Consiglio dei ministri) e trasmesse al Parlamento ai sensi dell’articolo 38 della legge n. 124 del 2007[13].
Tale norma prevede, infatti, che entro il mese di febbraio di ogni anno il Governo trasmetta al Parlamento una relazione scritta, riferita all'anno precedente, sulla politica dell'informazione per la sicurezza e sui risultati ottenuti (comma 1). Alla relazione è allegato il documento di sicurezza nazionale, concernente le attività relative alla protezione delle infrastrutture critiche materiali e immateriali nonché alla protezione cibernetica e alla sicurezza informatica (comma 1-bis)[14].
In relazione a questo tema è possibile osservare come già
nella Relazione
sulla politica dell’informazione per
la sicurezza relativa all’anno 2009 la
cybersecurity veniva definita come “un
fondamentale campo di sfida per l’intelligence (…) un fattore di
rischio di prima grandezza,
direttamente proporzionale al grado di sviluppo raggiunto dalle tecnologie
dell’informazione”.
A questa prima analisi hanno fatto seguito – nelle Relazioni presentate al Parlamento negli anni successivi – ulteriori riflessioni, che secondo un livello crescente di intensità hanno considerato la minaccia cibernetica come una “sfida crescente per le politiche di sicurezza degli Stati”[15], un obiettivo informativo prioritario dell’attività intelligence nazionale”[16], “la sfida più impegnativa per il sistema Paese”. In particolare, proprio nella Relazione riferita all’anno 2012 che qualifica la minaccia cibernetica come “la sfida più impegnativa per il sistema Paese” tale valutazione viene motivata in considerazione “dei suoi peculiari tratti caratterizzanti che attengono tanto al dominio digitale nel quale viene condotta, quanto alla sua natura diffusa e transnazionale, quanto ancora agli effetti potenziali in grado di produrre ricadute peggiori di quelle ipotizzabili a seguito di attacchi convenzionali e di incidere sull’esercizio di libertà essenziali per il sistema democratico”[17].
A sua volta nella Relazione relativa all’anno 2013, si dà conto del fatto che il monitoraggio informativo svolto in tale anno “ha consentito di rilevare come la concentrazione degli eventi cibernetici di maggior rilievo si sia tradotta in un significativo incremento di attività intrusive finalizzate all’acquisizione di informazioni sensibili e alla sottrazione di know-how pregiato. Ciò in danno del patrimonio informativo di enti governativi, militari, ambasciate, centri di ricerca, nonché di società operanti nei settori aerospaziale, della difesa e dell’energia, anche di fonte alternativa”[18].
Da ultimo, la Relazione riferita all’anno 2014 nella parte terza dell’elaborato, intitolata la minaccia nel cyber-spazio, “muove dai più significativi aspetti fenomenici de la cyberthreat per tratteggiare le sfide future che l’intelligence dovrà fronteggiare con riguardo all’evoluzione delle modalità operative e all’ampio range di finalità e attori, cui corrisponde un ventaglio altrettanto diversificato nelle tipologie di rischio per la sicurezza del Sistema Paese: dagli attacchi alla sicurezza delle infrastrutture critiche nazionali allo spionaggio digitale, dall’hacktivismo contro obiettivi istituzionali al cyberjihad”.
Nell’ambito delle relazioni presentate al Parlamento, si segnala,
altresì, la Relazione presentata dal Comitato parlamentare per la sicurezza
della Repubblica e relativa all’indagine svolta dal medesimo Comitato sulle
possibili implicazioni e minacce per la sicurezza nazionale derivanti dallo
spazio cibernetico[19].
Come si legge nella premessa della relazione, approvata nel corso della seduta
del 7 luglio 2010, il lavoro “si articola in una premessa di sintesi delle
nuove problematiche strategiche riferite ai compiti del Comitato; nella
descrizione dell’attività svolta; nell’illustrazione delle caratteristiche del
fenomeno a livello globale; nell’analisi delle ricadute per il nostro Paese;
nella presentazione delle principali risultanze delle attività di intelligence;
nella proposta di interventi per rafforzare la capacità di analisi dei nostri
apparati di sicurezza e per potenziare le attività di prevenzione e contrasto
alle minacce.
Iniziative a
livello europeo
Nel 2013 l’Unione
europea ha adottato la propria strategia in materia di cybersecurity, invitando tutti gli stati membri a fare altrettanto. Il 18 novembre
2014 il Consiglio dell’Unione europea ha a sua volta adottato il Quadro strategico dell'UE in
materia di ciberdifesa.
Il documento, conformemente a quanto richiesto nelle conclusioni del Consiglio
europeo di dicembre 2013 e nelle conclusioni del Consiglio di novembre
2013 sulla PSDC anche in ordine agli
aspetti di ciberdifesa di cui alla strategia dell'UE per la cibersicurezza[20], identifica le aree
prioritarie per la ciberdifesa PSDC e chiarisce i ruoli dei diversi attori
europei, rispettando al contempo totalmente le responsabilità e le competenze
rispettive dei soggetti dell'Unione e degli Stati membri, come anche il quadro
istituzionale dell'UE e la sua autonomia decisionale[21].
Il processo di attuazione della strategia dell'UE per la cibersicurezza
è stato approvato dal Gruppo amici della presidenza.
Si
segnala, infine, che in data 18 dicembre 2015 il comitato dei
rappresentanti permanenti (COREPER) organo preparatorio del Consiglio ha
raggiunto un accordo sulla proposta di direttiva sulla sicurezza delle reti del
2013 e sono stati conseguentemente avviati i lavori di finalizzazione degli
aspetti tecnici del testo[22]. L’accordo politico sulla bozza di direttiva concerne regole che:
· miglioreranno le
capacità in termini di cybersecurity negli Stati membri cui è richiesta l’adozione di una
strategia con obiettivi e policy e
misure regolatorie sulla cybersecurity. Agli stati membri sarà anche richiesto, spiega la
nota, di identificare una autorità competente nazionale per la implementazione
della direttiva così come un Computer Security Incident Response Teams (CSIRT).
· miglioreranno la
cooperazione gli Stati membri sulla sicurezza informatica con un Cooperation
Group tra gli Stati membri, al fine di sostenere e facilitare la cooperazione
strategica e lo scambio di informazioni tra gli Stati membri. La direttiva
creerà anche una rete di Computer Security Incident Response Team, noto come
Rete CSIRT, per promuovere una rapida ed efficace cooperazione operativa in un
particolare caso di sicurezza informatica e la condivisione delle informazioni
sui rischi. L’Agenzia europea per la sicurezza delle reti e dell’informazione
(ENISA) fornirà il segretariato per la rete CSIRTs.
· imporanno agli
operatori di servizi essenziali nei settori dell’energia, dei trasporti, banche
e sanità, e ai fornitori di servizi digitali chiave come i motori di ricerca e
il cloud computing, di adottare le opportune misure di sicurezza e di segnalare
gli incidenti alle autorità nazionali.
A
seguito di questo accordo politico, il testo della direttiva dovrà essere
formalmente approvato dal Parlamento europeo e dal Consiglio. Successivamente sarà pubblicata nella Gazzetta Ufficiale
dell’Unione europea e entrerà ufficialmente in vigore. Gli Stati membri avranno
21 mesi per attuare la presente direttiva nella legislazione nazionale e 6 mesi
più per identificare gli operatori dei servizi essenziali.