di Gianni Lattanzio
La minaccia di attacchi informatici si è diffusa in maniera crescente negli ultimi anni anche in ragione dell'ampio sviluppo di tecnologie digitali innovative e convergenti nel settore dell'ICT, disponibili al largo pubblico e facilmente accessibili a gruppi criminali e ad altri soggetti intenzionati ad agire per scopi diversi, spesso malevoli. Le conseguenze in termini di perdita o sottrazione di dati o di interruzione di servizi veicolati su reti pubbliche e private sono note a tutti. Gli attacchi più diffusi sono riconducibili all'utilizzo di ransomware (che prevedono il pagamento di un riscatto, spesso in bitcoins) per poter tornare in possesso dei propri dati o i cd. DDOS (distributed denail of service) ovvero un vero e proprio bombardamento di richieste di accesso ad un sito istituzionale fino a mandarlo in tilt e renderlo non più fruibile. Quest'ultimo tipo di attacco informatico è spesso condotto per finalità ideologiche o politiche (in senso ampio).
Molte altre minacce e tipologie di attacchi prevedono combinazioni o azioni sinergiche con mezzi di guerra di tipo tradizionale (o kinetico). Si pensi, ad esempio, ai sistemi di pilotaggio automatici o alla strategia di mettere fuori uso il software di una contraerei nemica prima di sferrare l'attacco armato con velivoli militari. A proposito si distingue, soprattutto in ambito dottrinale, tra attacco informatico (o cybersicurezza) in tempo di pace e attacco informatico in tempo di guerra.
La cybersicurezza è uno degli ambiti che attiene, per sua natura, alla sicurezza della Repubblica, ai sensi dell'art. 117 della Costituzione: «sicurezza dello Stato» e «ordine pubblico e sicurezza» come «materie» di potestà legislativa esclusiva statale (art. 117, comma 2, lettere d e h, Cost.).
In quest'ottica, vanno ricordati alcuni sviluppi legislativi e amministrativi che hanno portato all'adozione di una disciplina specifica, sempre più complessa e articolata, in questa materia (si pensi soprattutto all'istituzione del perimetro di sicurezza nazionale cibernetica) e all'istituzione dell'Agenzia per la cybersicurezza nazionale. L'art. 1 del Decreto Legge 21 settembre 2019, n. 105 convertito in L. 18 novembre 2019, n. 133 afferma che " al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l'esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale è istituito il perimetro di sicurezza nazionale cibernetica". I suddetti interventi del legislatore e le scelte organizzative sono stati ancorati alle competenze e alle professionalità in materia di "informazione per la sicurezza" già presenti e operative nel nostro ordinamento. In particolare vanno segnalati i poteri speciali attribuiti al Presidente del Consiglio nel settore della cybersicurezza. Grande importanza è attribuita in questo contesto alla protezione delle c.d. infrastrutture critiche dei diversi paesi (trasporti, reti energetiche...).
L'adozione di successivi interventi normativi ha definito in maniera sempre più specifica attribuzioni e responsabilità nell'ambito di diversi organi e creato organismi destinati ad operare in stretto coordinamento con i loro corrispettivi nell'ambito di altri Paesi dell'Unione europea. In un'ottica di integrazione comunitaria rilevano l'iniziativa legislativa delle Istituzioni dell'Unione e gli indirizzi strategici adottati di comune accordo (a partire dalla strategia dell'Unione europea per la cybersicurezza del 2013). Si pensi, ad esempio, al meccanismo di allerta che si avvale della rete dei CSIRT (Computer Security Incident Response Team) ai fini di prevenzione, condivisione delle informazioni e risposta in caso di incidenti o di attacchi informatici. L'evoluzione piuttosto rapida della disciplina dell'Unione europea che ha portato alla revisione della direttiva NIS del 2016 in un solo quinquiennio (passando per il Cybersecurity Act nel 2019) è sintomatica dell'importanza per l'Unione di dotarsi in tempi rapidi di norme e strutture adeguate a fronteggiare la sempre più frequente minaccia informatica.
La dimensione nazionale e quella europea necessitano della dimensione internazionale entro la quale gli Stati da diversi anni, nel contesto delle Nazioni Unite, dibattono delle questioni inerenti gli sviluppi dell'ICT e, più di recente, la cybersicurezza. I risultati prodotti in questi ultimi anni da due gruppi di lavoro (Group of Governmental Experts e Open Ended Working Group) testimoniano non solo le divergenze tra alcuni Paesi ma anche l'interesse comune per la cybersicurezza. In tale ambito, tuttavia, non è stato possibile, finora, adottare alcuno strumento convenzionale ma solo norme di comportamento responsabile degli Stati nel cyberspazio. Parallelamente, l'OSCE e la NATO sono impegnate con lo stesso obiettivo di far convergere le posizioni degli Stati e di adottare standard che possano valere per un gran numero di Paesi.
La cybersicurezza è anche un ambito in cui svolgono un ruolo fondamentale i privati, sia cittadini che imprese, e le piattaforme digitali il cui contributo regolatorio è di primaria importanza come dimostrano una serie di iniziative caratterizzate da una partecipazione attiva accanto agli Stati.
In definitiva, l'obiettivo condiviso è anche quello di creare una cultura della cybersicurezza e di promuovere nuovi comportamenti più attenti alla protezione dei sistemi informatici e delle reti.
A tale obiettivo è ispirata la nuova "Strategia Nazionale di Cybersicurezza 2022-2026", predisposta dal Governo italiano con il contributo dell'Agenzia per la Cybersicurezza Nazionale (ACN) e il coordinamento dell'Autorità delegata per la sicurezza della Repubblica. Le numerose misure di implementazione si concentrano tra l'altro sulla necessità di una migliore formazione sui problemi della cybersicurezza e sull'esigenza di creare nuove professionalità (anche trasversali) che sappiano stare al passo con i tempi e trasformare le sfide in opportunità.