Responsabile Area Diritto ‘Difesa Online’, 'cyber armi sempre più usate, difficile risalire a responsabile attacco’
Nel campo nella cybersicurezza in Italia il sistema normativo è “andato implementando e migliorando nel tempo”. Ma di fronte a un’evoluzione delle tecnologie, a un aumento delle azioni cibernetiche e degli attacchi cyber “sarà fondamentale per il nostro Paese (così come per l'Unione Europea) riuscire a diffondere costantemente la cultura della sicurezza cibernetica, anche tra i privati”. E’ quanto afferma all’Adnkronos l’avvocato Marco Valerio Verni, responsabile Area Diritto di ‘Difesa Online’. Fin dall'inizio della guerra in Ucraina si è parlato di guerra cibernetica e di rischi legati ad attacchi cyber.
“Nella dottrina della Nato – ricorda l’avvocato Verni - si afferma che un attacco cibernetico contro uno dei propri Stati membri, proprio perché potenzialmente in grado di arrivare a causare danni paragonabili a quelli di un attacco armato cinetico o ‘tradizionale’, possa essere equiparato a quest'ultimo e, dunque, legittimare la difesa collettiva stabilita dall’articolo 5 del suo Trattato istitutivo”. “Già all’esito del Summit del Galles, nel 2014, infatti, i Capi di Stato e di Governo del Patto Atlantico avevano convenuto sull’opportunità di estendere anche al cyberspazio l’applicazione della clausola di solidarietà”, sottolinea il legale “e, due anni dopo, nel vertice di Varsavia del 2016, si era deciso di elevare lo spazio cibernetico a dominio operativo, equiparandolo agli altri domini militari convenzionali”.
“Certo, occorre valutare caso per caso – spiega il responsabile Area Diritto di ‘Difesa Online’ - la relativa intensità dell'attacco, da parte di chi lo subisce, stante le possibili conseguenze in termini di difesa: in caso si decidesse, infatti, per una risposta secondo il meccanismo menzionato, sia che ciò avvenga in modo altrettanto ‘cyber’, sia che ciò avvenga in maniera ibrida o tradizionale, si andrebbe incontro, in ogni caso, al rischio di una guerra globale a tutti gli effetti che potrebbe avere conseguenze disastrose, stante la natura e la tipologia degli armamenti posseduti dalle forze che si verrebbero a contrapporre militarmente”.
L’aumento dei rischi cyber e gli attacchi, come ad esempio quelli avvenuti di recente a siti istituzionali, hanno portato alla ribalta un fenomeno contro il quale, da qualche anno a questa parte, l’Italia ha iniziato ad attrezzarsi. “Direi che, negli ultimi anni, stante l'evolversi del fenomeno, si sia approntato un sistema normativo che si sia andato implementando e migliorando nel tempo – osserva l’avvocato Verni - Per non andare troppo a ritroso, nel 2016 abbiamo avuto la direttiva ‘Network and Information Systems’ (Nis), emanata dal Parlamento Europeo, con la quale si è imposto ai paesi appartenenti all’Ue l’obbligo di dotarsi di requisiti minimi di sicurezza delle reti e dei sistemi informativi relativamente ai fornitori di servizi essenziali, alias settori strategici, tra i quali, ad esempio, la sanità, l’energia, i trasporti, le banche, i mercati finanziari, la fornitura e la distribuzione di acqua. Tale direttiva è di rilevanza strategica perché può essere considerata, a tutti gli effetti, la prima vera norma di ‘Difesa comune europea, recepita dall'Italia nel 2018”.
“Da noi, nel frattempo, ossia nel 2017, con il decreto Gentiloni, si era modificata e potenziata l’architettura nazionale cibernetica, con la creazione di una nuova strategia nazionale per la cyber security che ha visto la relativa responsabilità passare dall’Ufficio del Consigliere militare del Presidente del Consiglio al Dipartimento Informazioni per la Sicurezza (Dis) – prosegue - Un ulteriore passo in avanti in materia lo si è compiuto, poi, con la creazione del ‘Perimetro di Sicurezza Nazionale Cibernetica’, durante il governo Conte: uno spazio di protezione, cioè, all'interno del quale si è stabilito poter/dover far ricomprendere i soggetti, pubblici o privati, che forniscono un ‘servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato’”. “Successivamente, a metà del 2021, con il governo Draghi, si è dato vita all’Agenzia per la Cybersicurezza Nazionale (Acn), con compiti, quest'ultima, di cyber resilience e cyber security, a tutela della Sicurezza Nazionale, anche attraverso il coordinamento di tutta la pubblica amministrazione”, osserva Verni.
“Ancora, nell’ultima bozza del ‘dl energia’ si è formalizzato il riconoscimento della ‘Difesa multidominio’: spazio e cyber vengono ricompresi a tutti gli effetti nella Difesa italiana e fra gli ‘ambiti di intervento dello strumento militare’, con una modifica del Codice dell’ordinamento militare del 2010, dove, alle ‘unità terrestri, navali, aeree’ di cui dispone l'esercito, sono state aggiunte, altresì, le unità ‘cibernetiche e aero-spaziali’, includendo tra i suoi compiti la tutela delle ‘infrastrutture spaziali e dello spazio cibernetico in ambito militare’”, continua l’avvocato. “Al netto del quadro normativo, in continua evoluzione, stante la peculiarità della materia, dell'Internet of Everythings e della società sempre più digitale in cui viviamo ed interagiamo, sarà fondamentale per il nostro Paese (così come per l'Unione Europea) riuscire a diffondere costantemente la cultura della sicurezza cibernetica, anche tra i privati”, sottolinea.
Una consapevolezza, quella legata alla sicurezza e ai rischi cyber, importante in uno scenario in evoluzione dove, come abbiamo potuto vedere anche rispetto alla guerra in Ucraina, le armi e le azioni cibernetiche sono sempre più usate. “Le cyber armi (cyber weapons) sono sempre più utilizzate – spiega il responsabile Area Diritto di ‘Difesa Online’ - perché, per chi ne fa uso, non mettono in pericolo le sue forze, producono meno danni collaterali, sono meno costose e possono essere dispiegate in modo nascosto, addirittura ‘mascherando’ le tecniche d’attacco, rendendo difficoltosa, in tal modo, l’attribuzione della responsabilità del suddetto (attacco)”.
