ServizioContenuto basato su fatti, osservati e verificati dal reporter in modo diretto o riportati da fonti verificate e attendibili.Scopri di piùDemocrazie digitali

Dal decreto Aiuti bis una nuova concezione della cybersecurity

Il paese sta finalmente muovendosi facendo sistema su attacchi informatici e adeguata difesa

di Giovanni Salvi

4' di lettura

Il decreto-legge aiuti bis, del 9 agosto scorso, introduce una novità di grande rilievo nel campo della sicurezza nazionale cibernetica, attribuendo all’Intelligence poteri di contrasto degli attacchi informatici.

Il conflitto ucraino ha reso immediatamente percepibile la gravità della minaccia.

Loading...

La nostra vita è in larga parte basata sul funzionamento di reti telematiche e sistemi informatici, tra loro interconnessi. L’aggressione a questi sistemi avviene quotidianamente, spesso ad opera di organizzazioni criminali che ne traggono profitto.

Se ad agire sono gli Stati, in un contesto di tensione più o meno aperto, la minaccia è ancora più grave, sia per la loro maggiore potenzialità offensiva, sia per la spirale di intensificazione crescente che gli attacchi possono innescare.

Che si tratti di una minaccia grave è da tempo noto.

La sicurezza cibernetica è divenuta, almeno sin dal 2012, un campo di azione del nostro Sistema di Intelligence, e dunque di AISI e AISE.

Nel 2021 è stata creata l’Agenzia per la Cybersicurezza Nazionale (ACN), che di tale Sistema non fa parte, pur essendo ad esso collegato e facendo in ogni caso capo al responsabile della sicurezza della Repubblica, il Presidente del Consiglio dei Ministri.

Scelta presa dopo alcune incertezze, ma saggia, perché il perimetro di sicurezza informatica non riguarda solo l’area dell’Intelligence.

Esso costituisce la prima barriera, che attraversa l’intero sistema-Paese.

Alla prevenzione strutturale deve necessariamente accompagnarsi una capacità difensiva attiva, non limitata all’efficacia delle barriere in entrata.

Gli attacchi - di singoli, organizzazioni o Stati - provengono dal Cyberspace, cioè da un ambiente in cui è difficile distinguere gli aspetti fisici da quelli immateriali: l’esponenziale capacità di elaborazione dei dati e l’estrema rapidità delle operazioni richiedono azioni immediate e anche intrusive nei sistemi informatici da cui proviene l’attacco, quasi sempre dislocati in più Stati esteri.

La giurisdizione penale è in seria difficoltà.

Modalità e tempi della cooperazione giudiziaria sono incompatibili con quelli delle azioni illegali.

La comunità internazionale reagisce con lentezza, anche se ormai sono in dirittura di arrivo alcune importanti convenzioni, come il Secondo Protocollo Aggiuntivo della Convenzione di Budapest sui crimini informatici, aperto alla firma e già sottoscritto dall’Italia.

Tuttavia, è difficile persino raggiungere una condivisione sul concetto di Cyberspace.

Recentemente, nel gruppo di lavoro costituito dalle Nazioni Unite proprio a tal fine, il nostro Paese ha confermato di ritenere che il Cyberspace sia sottoposto anch’esso al diritto pubblico internazionale.

Il position paper presentato dall’Italia afferma che nell’ambiente virtuale devono trovare applicazione le norme, anche consuetudinarie, che regolano i rapporti tra Stati.

Le azioni difensive degli Stati sono dunque legittime, a condizione che siano proporzionate all’offesa e rispettose dei principi generali del diritto umanitario internazionale, che si applica non solo alle situazioni di conflitto aperto ma anche a tutte le fasi antecedenti, ivi compreso l’esercizio del diritto di autodifesa.

La attribuzione, tuttavia, è particolarmente difficile nello spazio virtuale e di conseguenza dovrebbe basarsi – afferma il position paper – in maniera ragionevole e credibile su elementi fattuali rilevanti nel caso specifico.

È in questo contesto che si muove l’art. 37 del decreto aiuti bis. Già nel 2015 ai Servizi di informazione era stato attribuito il potere – sotto la direzione politica del Presidente del Consiglio – di operare all’estero a salvaguardia del personale ivi impiegato. Oggi, il salto è rilevante.

Le attività difensive potranno essere svolte senza limiti territoriali e di finalità, anche all’interno del Paese e qualunque sia la minaccia; esse sono conseguentemente attribuite ad entrambe le Agenzie, con il coordinamento del Dipartimento dell’Informazione per la sicurezza (DIS); le Agenzie potranno avvalersi dei reparti speciali delle Forze Armate.

Le reazioni potranno consistere anche in condotte che – in astratto – costituirebbero reato, ma in tali casi le azioni difensive sono soggette a limiti sostanziali (non devono mettere in pericolo alcuni interessi fondamentali, quali la vita e l’incolumità personale, la libertà morale e personale ecc.) e dovranno seguire le procedure previste dalla legge del 2007 sulle garanzie funzionali.

Di queste azioni il Presidente del Consiglio sarà responsabile verso il Parlamento, attraverso la valutazione che di esse dovrà dare il COPASIR.

Un decreto del Presidente del Consiglio, ai sensi della legge 124/2007, dovrà disciplinare molti e delicati problemi. Ad esempio, il meccanismo delle garanzie funzionali ha senso per le condotte che costituiscono reato, perseguibili nel Paese, ma non in relazione ad attività che si svolgano all’estero e non siano riconducibili ai criteri che affermano la nostra giurisdizione. In questi casi, come già ora accade per altre analoghe attività delle Agenzie, la responsabilità sarà solo politica. Le azioni difensive-offensive (ad esempio la penetrazione o il danneggiamento di sistemi informatici da cui l’attacco è partito) dovranno rispettare i principi di ragionevole certezza dell’attribuzione, di proporzionalità, di rispetto dei diritti fondamentali. L’intrusione nei sistemi da cui arriva la minaccia dovrà garantire la progressività, per l’interruzione degli effetti dannosi e per l’acquisizione degli elementi utili per la corretta attribuzione.

Questi poteri già si ricavavano, a mio avviso, dalla disciplina che la legge di riforma dell’Intelligence aveva articolato, in attuazione delle indicazioni della Corte costituzionale.

La loro espressa previsione rende ora chiaro il percorso che deve essere seguito, i limiti imposti all’attività delle Agenzie, la responsabilità che incombe sul Presidente del Consiglio e sul Parlamento. Un passo avanti significativo, nel quale il Paese sembra muoversi finalmente “facendo sistema”.

Riproduzione riservata ©

loading...

Brand connect

Loading...

Newsletter

Notizie e approfondimenti sugli avvenimenti politici, economici e finanziari.

Iscriviti