Nel suo discorso annuale sullo stato dell’Unione, il presidente Jean-Claude Juncker ha speso più parole di quanto mai fatto in passato a proposito della sicurezza e della protezione dai cyberattacchi. Negli ultimi anni ci sono stati timidi passi avanti, ma il vecchio continente non è ancora ben attrezzato, confessa il governo europeo, per difendersi dai pericoli della criminalità online. Per questa ragione la Commissione ha messo in piedi una strategia, che si rivela molto ben scritta e con un numero impressionante di obiettivi e strumenti. Certo, deve anche funzionare.
L’anno scorso si sono verificati più di quattromila attacchi con ransomware al giorno e l’80% delle imprese europee ha subito almeno un incidente di cybersicurezza. Solo negli ultimi quattro anni l’impatto economico di questo tipo di criminalità si è quintuplicato e basterebbe pensare al caso Wannacry oppure leggere il rapporto Clusit per comprendere quanto si è lontani da qualsiasi livello accettabile di sicurezza, la quale, com’è noto, si intreccia con la geopolitica, la guerra tra stati, il contrasto al terrorismo, che rende ancora più complesso il quadro. Per dotare l’Europa degli strumenti giusti per affrontare questo scenario, la Commissione Europea e l’Alta rappresentante propongono un ampio pacchetto di misure per rafforzare la cybersicurezza nell’UE, che comprende la proposta di un’agenzia apposita per assistere gli stati colpiti e un nuovo sistema europeo di certificazione per garantire la sicurezza dei prodotti e dei servizi nel mondo digitale.
Follow the press conference on #cybersecurity & #DataEconomy @Ansip_EU, @GabrielMariya & @JKingEU ⬇️#SOTEU https://t.co/HhK7SP8X02
— European Commission (@EU_Commission) September 19, 2017
A fare da collante a questa proposta che potrebbe diventare un regolamento, c’è un documento strategico di particolare intensità che ha un nome che già riassume i suoi tre obiettivi: Resilience, Deterrence and Defence: Building strong cybersecurity for the EU. Partendo da alcuni presupposti di ragionevolezza, cioè la necessità di cooperazione tra stati e loro rispettive polizie, e l’incremento delle capacità tecniche, questa strategia si pone alcuni obiettivi di medio-lungo termine che si possono sintetizzare facilmente: rafforzare la resilienza, organizzando ogni anno esercitazioni paneuropee di cybersicurezza e garantendo una migliore condivisione delle conoscenze e delle attività d’intelligence sulle minacce mediante la creazione di centri di condivisione e analisi delle informazione; rafforzare la sicurezza, con due programmi e un principio.
Resilience, deterrence, defence: making the EU cybersecure https://t.co/ArdjbKrCp2 #cybersecurity pic.twitter.com/3XuYBjTdbS
— Julian King (@JulianBKing) September 19, 2017
Come la protezione civile per i disastri
I due programmi sono un Centro europeo per la ricerca e le competenze in materia di cybersicurezza (da istituire nel corso del 2018) che, collaborando con gli Stati membri, contribuirà a sviluppare e diffondere gli strumenti e la tecnologia necessari; il secondo programma prevede di scrivere nero su bianco le modalità di risposta degli Stati membri a livello operativo, in modo rapido e concertato, ai cyberattacchi su vasta scala. Il principio invece è la solidarietà: in futuro potrebbe essere presa in considerazione, dice la Commissione, la possibilità di istituire un Fondo di risposta alle emergenze cibernetiche per gli Stati membri che avranno attuato tutte le misure imposte dalla normativa europea. Il fondo potrebbe fornire un sostegno di emergenza per aiutare gli Stati membri, sul modello di funzionamento del meccanismo di protezione civile dell’UE in caso di incendi o calamità naturali.
Stefano Mele: bel racconto, ma serve un piano di attuazione
Per commentare questa strategia la persona migliore è Stefano Mele, avvocato specializzato in cybersicurezza e data protection, presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano. Lui ha potuto leggere per tempo questo documento e analizzarlo, arrivando alla conclusione che si tratta di un testo ambizioso e pieno di novità.
Diamo una definizione di questo documento, piuttosto originale…
È la strategia che l’Unione Europea detta agli stati membri per i prossimi cinque anni. Ovviamente non è un ultimo passo, è un documento strategico da cui discenderanno le iniziative, da cui nasceranno regolamenti, direttive. Qui ci sono gli obiettivi.
Obiettivi e strumenti: i primi quali sono?
Per macroaree il primo obiettivo è costruire una capacità di resilienza reale agli attacchi. Il secondo obiettivo di alto livello è creare una deterrenza a livello europeo, mentre il terzo elemento, dentro il quale ci sono moltissimi obiettivi a medio termine, è rafforzare la cooperazione. Interessante è l’idea di non muoversi solo in ambito bilaterale, ma multilaterale, con imprese, portatori di interesse. Si muove, l’Unione, come promotore di una cooperazione globale, non come continente che cerca convenzioni singole con Usa, Russia, Cina.
C’è un passaggio sui diritti umani e la libertà di espressione?
Sì, un passaggio molto preciso e l’ho apprezzato molto. Potevano anche non metterlo. È un documento al massimo grado: Parlamento/Consiglio. Va aggiunto, sempre al campo delle sensibilità, il focus sulla necessità di sviluppare competenze sulla crittografia.
Finalmente vista come positiva e non come ostacolo alle indagini sui crimini…
Su questo vale la pena evidenziare che anche il nostro paese ha delineato questo tipo di strategia con un piano nazionale, quindi possiamo dire di essere in sintonia con questo documento europeo che pensa alla crittografia come servizio ai cittadini, alle imprese e alla sicurezza dei governi stessi.
Strumenti ce ne sono. Fondi?
Non parlano del budget sugli obiettivi, com’è naturale in una strategia, però nel capitolo sul Centro prevedono 50 milioni sul breve periodo. Finanziare attraverso un progetto pilota di Horizon 2020 un centro di eccellenza sulla cybersecurity è un buon primo passo.
Cosa manca a questo documento?
È un testo molto denso e poco schematico, mi sarei aspettato un piano di attuazione nel breve periodo, utile affinché chi poi deve compiere queste azioni chiave possa dare loro una priorità. Questa strategia è bella, ma è un bel racconto, deve avere anche un piano d’azione e deve accennare agli effettivi finanziamenti, almeno quelli più vicini. Detto questo, ci sono più di trenta obiettivi chiari, ci sono passaggi illuminanti sull’Ipv6 come tecnologia abilitante, sulla metodologia suggerita per rendere più osmotiche le informazioni. Lo considero un grande passo avanti.