A livello governativo, venne data attuazione alla Direttiva europea (2016/1148), che promuove una cultura della gestione del rischio e della segnalazione degli incidenti occorsi ai principali operatori economici (esempio energia, trasporti, salute, telecomunicazioni, finanza), onde garantire la continuità dei servizi essenziali e di quelli digitali (cloud, commercio elettronico) per i cittadini.
Nel contrasto alle intrusioni cibernetiche, gli organismi di Intelligence sono chiamati a operare nel difficile bilanciamento della tutela degli spazi di libertà e di privacy, con le ineludibili esigenze di sicurezza collettiva, nel doveroso rispetto della Legge: il valore della sicurezza generale non è antitetico a quello della libertà, singola o collettiva, bensì ne costituisce l’ineludibile presupposto.
Una differenza di prospettiva esiste tra l’Europa e gli Stati Uniti al riguardo: nella prima la centralità dei diritti del singolo privilegia la tutela dei dati personali; nel Nuovo Mondo – pur attento ai diritti del cittadino – sono prioritariamente considerate la libertà di espressione e quella di mercato.
La sicurezza informatica non andrebbe affidata a delle ditte esterne, ma andrebbe gestita direttamente da organi dello Stato. A livello europeo, le aziende private dovranno denunziarne ogni eventuale violazione, trattandosi di un valore che trascende l’interesse della singola azienda, per le inevitabili ricadute in ambito collettivo. All’internazionalizzazione del crimine deve corrispondere la sinergia tra i sistemi di Intelligence e di informazione dei vari Stati, a maggior ragione in materia di terrorismo, dove è auspicabile una banca internazionale del Dna. Quanto agli attacchi alla sicurezza informatica, a livello di Unione europea la materia è stata regolata da varie direttive a partire dal 2016, per conseguire un “livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea”.
Tale direttiva è stata recepita nell’ordinamento italiano con il decreto legislativo numero 65 del 18 maggio 2018, che detta quindi la cornice legislativa delle misure da adottare per la sicurezza delle Reti, e dei sistemi informativi e individua i soggetti competenti per dare attuazione agli obblighi previsti dalla citata direttiva del 2016.
In Italia sono stati adottati appositi decreti-legge – l’ultimo nel 2021– al fine di assicurare un livello elevato di sicurezza delle Reti, dei sistemi informativi e dei servizi informatici delle Amministrazioni pubbliche, nonché degli Enti e degli operatori nazionali, pubblici e privati, attraverso l’istituzione di un perimetro di sicurezza nazionale cibernetica e la previsione di misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.
A fronte di ciò, si osserva l’onerosità dei costi a carico dei singoli come della Pubblica amministrazione per difendersi da una continua rincorsa tecnologica nell’inedita forma della sempiterna lotta tra guardie e ladri. Al momento, si può notare che la prevenzione più efficace si basa – nelle grandi linee – al 50 per cento sulla corretta informazione dell’utente; al 30 per cento sull’organizzazione aziendale e in ultimo, per il restante 20 per cento, sulle soluzioni tecnologiche approntate.
Nel settore economico lo spionaggio elettronico costituisce una forma evoluta di concorrenza sleale, attraverso l’intrusione atta a carpire dei segreti tecnologici (accadde per esempio alla Ferrari), oppure a conoscere preventivamente le offerte della concorrenza in gare internazionali, per batterla fraudolentemente con prezzi più vantaggiosi.
Lo spionaggio industriale e scientifico costituisce, pertanto, una grave ferita sia alla sicurezza economica, che alla concorrenzialità del Paese o dell’industria che ne rimane vittima. Soggetti attivi di siffatta pirateria sono in primis gli Stati, al cui riguardo sembra che i servizi d’Intelligence più agguerriti del mondo siano quelli cinesi e russi, con particolare riferimento alle aree delle nanotecnologie, dell’ingegneria, delle biotecnologie, dell’elettronica, del nucleare, delle telecomunicazioni.
Sono state efficacemente neutralizzate dalla Consob infiltrazioni di singole organizzazioni criminali nel campo dei mercati finanziari, atte a destabilizzare l’economia italiana mediante la divulgazione di notizie false, o il trafugamento di informazioni borsistiche idonee ad alterare il mercato dei titoli di credito.
In ordine al rapporto tra mercati finanziari e hacker informatici, è emblematico quanto accadde 10 anni or sono, all’inizio del maggio 2013, quando bastò che l’esercito elettronico della Siria riuscisse ad accedere all’account Twitter dell’Associated Press, pubblicando la falsa notizia che riferiva di due esplosioni alla Casa Bianca, con l’asserito ferimento dell’allora presidente Barack Obama. Nel giro di pochi attimi, i mercati finanziari internazionali persero l’un per cento. Poco dopo, i giornalisti presenti alla Casa Bianca smentirono la notizia con numerosi tweet, e la stessa Associated Press fece sapere di essere stata vittima di un attacco hacker.
Il riferito episodio è un esempio significativo dei pericoli derivanti dall’interazione globale dei mercati finanziari e la trasmissione di notizie con modalità sempre più accessibili al vasto pubblico. Chi compra un titolo ribassato in seguito a una falsa notizia, conoscendone in anticipo l’infondatezza, ha un lucro certo nel momento in cui si scopre che si è trattato di una mera bufala. Poiché il titolo acquistato ha un valore più alto, il differenziale tra valore vero e valore sottostimato costituisce il guadagno netto in pochi attimi!
Dagli Usa partì un altro tsunami informatico, con il noto scandalo dello WikiLeaks di Julian Assange, la cui organizzazione entrò in possesso di ordigni informatici costruiti dalla Cia per spiare, dominare o distruggere apparati d’ogni genere: la rivelazione dei quali ordigni si ritorse contro gli ideatori.
Nello specifico del terrorismo globale, occorre una risposta coordinata in ambito mondiale, per poter far fronte alla sua capacità di pianificare attentati complessi e ad alto impatto mediatico, oltre che di sfruttare la tecnologia a fini propagandistici e per le comunicazioni tra militanti, i quali possono agire anche come singole mine vaganti, sovente indottrinate via web, in ambiente carcerario o fra gli emarginati dalla vita civile.
Siffatto terrorismo, detto del “lupo solitario” che si auto-innesca, può risultare più difficile da scoprire, potendo ottenere con minimi mezzi, tra l’altro, degli effetti mediatici talvolta maggiori di quelli derivanti da azioni collettivamente organizzate.
Sinergie internazionali sono state accertate fra organizzazioni terroristiche e criminalità comune, nei campi del falso documentale, del riciclaggio e in quello assai lucroso delle migrazioni clandestine, come della gestione delle strutture di accoglienza, con impatti particolarmente pesanti per l’Italia.
Una buona notizia, a fronte di tutti gli scenari descritti, viene dalle frontiere dell’intelligenza artificiale applicata alla cybersicurezza, in quanto vi sono degli algoritmi in grado di apprendere dagli stimoli esterni – proprio come nel sistema immunitario umano – in modo da poter reagire immediatamente a degli attacchi e bloccare sul nascere nuove minacce.
Si tratta del recente progetto Antigena, elaborato dalla società Darktrace di San Francisco, a margine di ricerche condotte da scienziati dell’Università di Cambridge, sfruttando la matematica probabilistica per apprendere il normale comportamento di ogni utente e dispositivo all’interno della Rete. Siffatto apprendimento, consente quindi di rispondere automaticamente a minacce gravi, attivando un contrattacco in grado di neutralizzarle immediatamente, come se si trattasse di un “anticorpo digitale” – simile alle difese naturali del sistema immunitario del corpo umano – che evita la compromissione di una procedura aziendale.
Alla luce del Dpcm del 17 febbraio 2017, si è vieppiù evidenziato che il patrimonio informativo sensibile ai fini della sicurezza nazionale, non è pertinenza esclusiva del settore pubblico, ma è integrato anche da risorse detenute da taluni soggetti privati operanti in settori strategici, necessitanti pertanto anch’essi di standard minimi di sicurezza. Tale indirizzo si pone l’obiettivo di potenziare il coordinamento e la cooperazione non solo tra i diversi soggetti pubblici, ma anche tra questi e i privati, considerato che i secondi gestiscono le infrastrutture critiche nazionali. Da qui discende l’esigenza di assicurare l’interoperabilità tra i vari attori non solo in ambito nazionale, ma anche internazionale.
È stata sottolineata altresì la necessità di più intense sinergie con il mondo accademico e della ricerca, nel cui ambito è stato creato il “Centro nazionale di Ricerca e Sviluppo in Cybersecurity”, operante nella protezione delle infrastrutture critiche contro le varie tipologie di attacco cibernetico. Si è costituito al contempo il Centro nazionale di crittografia, impegnato nella progettazione di cifrari, nella realizzazione di un algoritmo e nelle valutazioni di sicurezza.
La visione sistematica che ha informato il piano d’azione in parola, è volta ad assicurare la messa in sicurezza degli assetti nazionali, secondo una progressione dettata da una scala di criticità: primo livello, concernente la sicurezza nazionale dello Stato (comparto Intelligence, Difesa, Interno, altre Amministrazioni, Comitato interministeriale per la sicurezza della Repubblica, Cisr); secondo livello, concernente le infrastrutture critiche nazionali (Telecomunicazioni, Gas, Elettricità, Settore finanziario, Trasporto, altre Amministrazioni pubbliche sensibili, Sanità); terzo livello, riguardante il tessuto produttivo nazionale e la cittadinanza.
L’impegno assunto dallo Stato è quello di analizzare e di valutare in modo continuativo le minacce cibernetiche e le vulnerabilità; nonché di monitorare le innovazioni tecnologiche che hanno un impatto su tutti i settori strategici e le infrastrutture critiche, correlate all’impiego di sistemi e piattaforme tecnologiche sullo scambio di informazioni digitali.
È stata conseguentemente sancita la condivisione delle valutazioni effettuate con tutti i gestori di servizi essenziali e con i responsabili di infrastrutture critiche; nonché la collaborazione con Università e Centri di ricerca, anche privati, per l’elaborazione di metodologie e tecnologie innovative al fine della rilevazione e dell’analisi delle minacce e delle vulnerabilità.
In tale cornice, occorre aggiornare costantemente le capacità di risposta integrata ad ogni forma di crimine informatico, con la possibilità di creare dei pool d’intervento tecnici in supporto – in caso di gravi eventi cibernetici – alle Amministrazioni centrali e ai gestori di servizi essenziali e di infrastrutture critiche.
È di fondamentale importanza diffondere una “cultura della sicurezza informatica”, attraverso mirate iniziative differenziate per cittadini, studenti, imprese e personale della Pubblica amministrazione, laddove precedentemente l’istruzione correlata era rivolta solo agli “addetti ai lavori”. Per quanto concerne la cooperazione internazionale nell’ambito di cui si discorre, è previsto il rafforzamento delle sinergie in ambito Nato e Ue, anche mediante esercitazioni congiunte.
Veniamo, infine, alle intrusioni “legali”, non perché intrinsecamente diverse dalle altre, ma in quanto il soggetto che le pone in essere è lo Stato medesimo, a tutela di interessi collettivi, innanzi ai quali la sfera di riservatezza del singolo diventa recessiva rispetto alla necessità di contrastare reati particolarmente pericolosi o per la loro intrinseca gravità o per la loro diffusività.
La riforma Orlando del processo penale – approvata in via definitiva il 14 giugno 2017 – ha delegato il Governo a disciplinare anche la materia delle intercettazioni, con la possibilità da parte dello Stato di eseguirle utilizzando i “captatori informatici”, vale a dire i malware Trojan, seppur circoscritta ai soli procedimenti per delitti di criminalità organizzata e per determinati reati: associazione mafiosa, associazione a delinquere semplice finalizzata a contraffazione, pornografia e prostituzione minorile.
Detta riforma consente di entrare, come nel celebre film, nella “vita degli altri”: non più microspie ambientali o particolari marchingegni di ascolto, bensì i malware con cui è tecnicamente possibile controllare da remoto i dispositivi che li supportano, quali pc, televisori, automobili, smartphone, tablet e tutto ciò che risulta collegato ad Internet. Eventuali usi illeciti di tali modalità investigative, incidono su diritti fondamentali del cittadino, a partire dall’articolo 15 della Costituzione.
Viene altresì ampliato il ricorso ai collegamenti in video nei processi di mafia, terrorismo e criminalità organizzata, precisandosi che la partecipazione al dibattimento a distanza diviene la regola per chi si trova in carcere (anche in caso di udienze civili), per ‘pentiti’ e testimoni sotto protezione e agenti infiltrati. Il giudice, peraltro, fuori dalle ipotesi obbligatorie, può disporre con decreto motivato la partecipazione a distanza anche per ragioni di sicurezza, per la complessità del dibattimento o per la testimonianza di un recluso.
A livello internazionale, secondo il presidente della Society for Computers and Law, anche il futuro dell’avvocatura sarà caratterizzato dalla presenza sempre maggiore di tribunali online, dalle attività legali globali basate sull’intelligenza artificiale e dalle start- up dei servizi legali. Volendo concludere con una riflessione in merito ai rischi occulti derivanti da un uso bulimico della Rete, vogliamo osservare che a tali rischi è possibile opporre una barriera difensiva, prima ancora che con strumenti normativi (di ardua realizzazione se non condivisi a livello mondiale), attraverso la libera scelta dell’individuo che, dotato di discernimento, è l’ultimo giudice di se stesso, potendo autodeterminarsi ad una vita etero-monitorata, oppure a una rinunzia a parte delle opportunità offerte dalla tecnologia, in cambio della libertà e della salvaguardia dello scrigno prezioso della propria vita privata.
Affidare ai vari social le proprie emozioni, le proprie confidenze e “denudare” così la propria anima, non è colpa della tecnologia, ma dell’umana dabbenaggine! Nessun codice etico internazionale ci può salvare da noi stessi.
(*) Avvocato, professore, già Consigliere Capo Servizio della Presidenza Repubblica
(**) Leggi la prima parte
(***) Leggi la seconda parte
Aggiornato il 06 settembre 2023 alle ore 13:05
