La sicurezza cibernetica è cruciale non solo per gli Stati, ma anche per i singoli individui. Il cyber-spazio è una nuova realtà immateriale, dove non vi sono capacità militari quantificabili da contrastare: una minaccia può scaturire da qualunque soggetto, in qualunque luogo. Nonostante ciò, al di fuori degli esperti di settore, i rischi legati alla cyber-security non sono ancora percepiti dall’opinione pubblica. In questo senso, il ruolo della politica e il legame tra l’Italia e il suo principale alleato, gli Usa, sono quelli di discuterne, per promuovere un’adeguata cultura della sicurezza.
Sono le conclusioni emerse dalla conferenza “The challenges of cyber-security: perspectives from Italy and the Us” organizzata dalle riviste Formiche e Airpress e ospitata dalla Camera dei deputati. Ne hanno discusso il ministro della Difesa Roberta Pinotti, il direttore del Cyber security national laboratory Roberto Baldoni, il presidente della Delegazione italiana presso l’Assemblea parlamentare della Nato Andrea Manciulli, il Rappresentante permanente d’Italia presso la Nato l’ambasciatore Mariangela Zappia, con due ospiti statunitensi: Denise Zheng, ricercatrice del Center for strategic and international studies, e Anne Mullins, chief information officer di Lockheed Martin.
Lo sviluppo dell’informatizzazione negli ultimi decenni ha portato con sé nuovi rischi: un attacco cibernetico non richiede la costruzione di infrastrutture e lo sviluppo di mezzi operativi, ma solo la capacità umana di usare determinati strumenti. In conseguenza, può essere sferrato in maniera anonima e completamente a sorpresa.
Il ministro Pinotti ha assicurato che il governo presta attenzione a questo tema, approcciando la sicurezza e la difesa in maniera integrata. La rivoluzione informatica ha cambiato il volume di informazioni disponibile e quindi, secondo il ministro, deve evolversi anche il processo di decision-making, per gestire una massa enorme di dati in maniera utile: “La condivisione delle informazioni tra Paesi amici e alleati è certamente una parte importante della nostra capacità di difenderci da nuove minacce cibernetiche”.
Secondo Roberto Baldoni, il cyber-spazio è costruito sul concetto di “resilienza”, e non su quello di “sicurezza”: la mobilità degli utenti crea vulnerabilità a fronte delle quali il settore pubblico e quello privato devono muoversi come una forza unica, considerando i loro interessi comuni. “L’obiettivo dell’Italia al momento – ha detto Baldoni – è realizzare un framework nazionale per la cyber-sicurezza delle imprese di ogni dimensione”.
Gli Stati Uniti sono un Paese la cui struttura economica, essendo profondamente integrata nel sistema informatico internazionale, è particolarmente soggetta agli attacchi cibernetici. Numerosi attori, sia di tipo statale (Cina, Russia, Corea del Nord, Iran) sia di tipo non statale (al-Qaeda) si distinguono per antiamericanismo. A fronte di queste minacce, il governo americano potrebbe non avere la capacità o la facoltà giuridica per proteggere le infrastrutture cibernetiche private, che sono le più comuni sul territorio statunitense. Tuttavia, le autorità federali, come ha spiegato Denise Zheng, possono agire mediante una politica di incentivi alle best practices, assicurando la loro protezione alle imprese che applicano politiche virtuose nel campo della sicurezza cibernetica.
Per le aziende, in particolare per i colossi internazionali, un attacco cyber ben sferrato può provocare danni incalcolabili. Secondo Anne Mullins di Lockheed Martin: “Respingere un attacco non è abbastanza, il vero successo è anticiparlo”. In vista di questo, il colosso statunitense opera per recuperare informazioni (abitudini, tattiche, sede, identità) sui propri nemici, analizzandone gli attacchi. In più, coinvolge nell’attività di monitoraggio tutti i propri dipendenti, che sono istruiti in modo da segnalare immediatamente qualunque anomalia riscontrino nel loro lavoro. “La cyber-security è un gioco di squadra – ha ricordato Mullins – la nostra impresa, compresa l’importanza di condividere il proprio sapere, ha preso contatto con le aziende concorrenti al fine di stabilire una cooperazione che desse a tutti maggior forza. La condivisione interindustriale è fondamentale”.
Ma il cyber-spazio rivoluziona il concetto di sicurezza cambiando i rapporti tra Stati anche in seno a un’alleanza. L’ambasciatore Mariangela Zappia ha ricordato come l’Alleanza abbia recentemente riconosciuto la rilevanza del settore cibernetico, ponendo tra i suoi obiettivi primari la protezione delle reti informatiche. Tra gli Alleati è in corso un dibattito sulla possibilità di non limitarsi a respingere un cyber-attacco, bensì perseguirne l’autore, o addirittura attaccarlo preventivamente. “Anche se manca un quadro pattizio chiaro – ha ricordato l’ambasciatore – non si esclude la possibilità che un attacco cibernetico comporti l’attivazione del meccanismo di difesa collettivo previsto dall’art.5 del trattato istitutivo. Non vi sarebbe un automatismo, ogni valutazione sarebbe rimessa al Consiglio atlantico”.
Le crescenti minacce che percorrono il cyber-spazio sollevano interrogativi sull’adeguatezza del quadro giuridico, tanto italiano quanto internazionale. In questo campo non è semplice operare un’attribuzione degli attacchi e delle relative responsabilità, né quantificare la proporzionalità della risposta, e neppure distinguere tra condotte criminose e atti di guerra veri e propri. A fronte di queste nuove sfide il rilancio dell’Alleanza Atlantica è importante, e tanto gli Stati Uniti quanto l’Italia sono chiamati a contribuirvi.