Dal decreto Aiuti bis una nuova concezione della cybersecurity

La sicurezza cibernetica è divenuta, almeno sin dal 2012, un campo di azione del nostro Sistema di Intelligence, e dunque di AISI e AISE.

Nel 2021 è stata creata l’Agenzia per la Cybersicurezza Nazionale (ACN), che di tale Sistema non fa parte, pur essendo ad esso collegato e facendo in ogni caso capo al responsabile della sicurezza della Repubblica, il Presidente del Consiglio dei Ministri.

Scelta presa dopo alcune incertezze, ma saggia, perché il perimetro di sicurezza informatica non riguarda solo l’area dell’Intelligence.

Esso costituisce la prima barriera, che attraversa l’intero sistema-Paese.

Alla prevenzione strutturale deve necessariamente accompagnarsi una capacità difensiva attiva, non limitata all’efficacia delle barriere in entrata.

Gli attacchi - di singoli, organizzazioni o Stati - provengono dal Cyberspace, cioè da un ambiente in cui è difficile distinguere gli aspetti fisici da quelli immateriali: l’esponenziale capacità di elaborazione dei dati e l’estrema rapidità delle operazioni richiedono azioni immediate e anche intrusive nei sistemi informatici da cui proviene l’attacco, quasi sempre dislocati in più Stati esteri.

La giurisdizione penale è in seria difficoltà.

Modalità e tempi della cooperazione giudiziaria sono incompatibili con quelli delle azioni illegali.

La comunità internazionale reagisce con lentezza, anche se ormai sono in dirittura di arrivo alcune importanti convenzioni, come il Secondo Protocollo Aggiuntivo della Convenzione di Budapest sui crimini informatici, aperto alla firma e già sottoscritto dall’Italia.

Tuttavia, è difficile persino raggiungere una condivisione sul concetto di Cyberspace.

Recentemente, nel gruppo di lavoro costituito dalle Nazioni Unite proprio a tal fine, il nostro Paese ha confermato di ritenere che il Cyberspace sia sottoposto anch’esso al diritto pubblico internazionale.

Il position paper presentato dall’Italia afferma che nell’ambiente virtuale devono trovare applicazione le norme, anche consuetudinarie, che regolano i rapporti tra Stati.

Le azioni difensive degli Stati sono dunque legittime, a condizione che siano proporzionate all’offesa e rispettose dei principi generali del diritto umanitario internazionale, che si applica non solo alle situazioni di conflitto aperto ma anche a tutte le fasi antecedenti, ivi compreso l’esercizio del diritto di autodifesa.

La attribuzione, tuttavia, è particolarmente difficile nello spazio virtuale e di conseguenza dovrebbe basarsi – afferma il position paper – in maniera ragionevole e credibile su elementi fattuali rilevanti nel caso specifico.

È in questo contesto che si muove l’art. 37 del decreto aiuti bis. Già nel 2015 ai Servizi di informazione era stato attribuito il potere – sotto la direzione politica del Presidente del Consiglio – di operare all’estero a salvaguardia del personale ivi impiegato. Oggi, il salto è rilevante.

Le attività difensive potranno essere svolte senza limiti territoriali e di finalità, anche all’interno del Paese e qualunque sia la minaccia; esse sono conseguentemente attribuite ad entrambe le Agenzie, con il coordinamento del Dipartimento dell’Informazione per la sicurezza (DIS); le Agenzie potranno avvalersi dei reparti speciali delle Forze Armate.

Le reazioni potranno consistere anche in condotte che – in astratto – costituirebbero reato, ma in tali casi le azioni difensive sono soggette a limiti sostanziali (non devono mettere in pericolo alcuni interessi fondamentali, quali la vita e l’incolumità personale, la libertà morale e personale ecc.) e dovranno seguire le procedure previste dalla legge del 2007 sulle garanzie funzionali.

Di queste azioni il Presidente del Consiglio sarà responsabile verso il Parlamento, attraverso la valutazione che di esse dovrà dare il COPASIR.

Un decreto del Presidente del Consiglio, ai sensi della legge 124/2007, dovrà disciplinare molti e delicati problemi. Ad esempio, il meccanismo delle garanzie funzionali ha senso per le condotte che costituiscono reato, perseguibili nel Paese, ma non in relazione ad attività che si svolgano all’estero e non siano riconducibili ai criteri che affermano la nostra giurisdizione. In questi casi, come già ora accade per altre analoghe attività delle Agenzie, la responsabilità sarà solo politica. Le azioni difensive-offensive (ad esempio la penetrazione o il danneggiamento di sistemi informatici da cui l’attacco è partito) dovranno rispettare i principi di ragionevole certezza dell’attribuzione, di proporzionalità, di rispetto dei diritti fondamentali. L’intrusione nei sistemi da cui arriva la minaccia dovrà garantire la progressività, per l’interruzione degli effetti dannosi e per l’acquisizione degli elementi utili per la corretta attribuzione.

Questi poteri già si ricavavano, a mio avviso, dalla disciplina che la legge di riforma dell’Intelligence aveva articolato, in attuazione delle indicazioni della Corte costituzionale.

La loro espressa previsione rende ora chiaro il percorso che deve essere seguito, i limiti imposti all’attività delle Agenzie, la responsabilità che incombe sul Presidente del Consiglio e sul Parlamento. Un passo avanti significativo, nel quale il Paese sembra muoversi finalmente “facendo sistema”.