I recenti attacchi ai gasdotti Nord Stream che documentano la fragilità di infrastrutture essenziali, anche quando queste si sviluppano sotto la superficie marina hanno recentemente spinto il Centres for European Policy Network (CEP) a contribuire con una propria riflessione sullo stato di vulnerabilità della rete dei cavi in fibra ottica oceanica, che costituisce il fondamento del traffico globale di dati digitali e dalla quale dipende anche in modo rilevante il buon funzionamento dell’economia dell’Unione europea.
Dall’analisi di quella che viene definita la “spina dorsale digitale europea”, esce un’immagine piuttosto problematica, dove gli sforzi comuni necessari per proteggere tali installazioni risultano fortemente in ritardo ed insufficienti.
Riprendiamo ampie parti di questo studio, compresi alcuni suggerimenti che il CEP ritiene dovrebbero essere rapidamente valutati dalle istituzioni UE e dagli Stati membri.
I danni ai cavi sottomarini
Nelle ultime settimane le segnalazioni di cavi interrotti sono apparse con maggiore frequenza ed hanno suscitato una maggiore sensibilità a causa delle tensioni geopolitiche con la Russia. Ad esempio, la notte del 19 ottobre, i cavi in fibra ottica francesi sono stati deliberatamente tagliati in almeno tre punti vicino a Marsiglia.
Questo ha interrotto il flusso internazionale di informazioni, essendo Marsiglia un importante centro di smistamento dati. Il giorno successivo si è saputo che due cavi sottomarini a nord della Scozia erano stati danneggiati contemporaneamente. In linea di principio, la rottura di cavi sottomarini e soprattutto anche di cavi posati sulla terraferma non è affatto rara, senza che vi siano scenari geopolitici o gravi conseguenze da tirare in ballo.
L’Agenzia per la sicurezza informatica dell’Unione europea (UE), che pubblica un rapporto annuale sui principali incidenti di sicurezza delle telecomunicazioni, per lo scorso anno elenca 168 incidenti presentati dalle autorità nazionali di 26 Stati membri dell’UE e 2 di Paesi EFTA. La maggior parte di queste rotture nell’infrastruttura digitale sono dovute a incidenti per ragioni diverse quali; lavori di costruzione, fenomeni naturali come incendi o altre esternalità casuali ed hanno solo un impatto locale, cioè riguardano solo poche migliaia di utenti internet. Solo il 5% degli incidenti è stato classificato come doloso, pari a 73 incidenti nel corso di oltre 11 anni. Tuttavia, è anche dimostrato che i dati sono incompleti e il contesto geopolitico in rapida evoluzione porteranno a una nuova valutazione della sicurezza dei cavi più strategici.
Negli ultimi giorni il dibattito ha raggiunto, ad esempio, con veemenza il livello politico tedesco ed europeo.
I timori degli Stati e della Ue per possibili attacchi alle infrastrutture essenziali
I membri del Bundestag temono che la Russia stia pianificando anche attacchi alle infrastrutture essenziali tedesche. Già nella riunione informale del Consiglio europeo del 7 ottobre 2022, i leader dell’UE hanno discusso della protezione delle infrastrutture essenziali, accanto alle questioni urgenti della crisi dei prezzi dell’energia e del sostegno all’Ucraina. Il presidente francese Macron ha chiesto una strategia europea comune. Secondo Macron, anche la lotta contro gli attacchi informatici russi o iraniani rende indispensabile un adeguato approccio europeo. Tre giorni dopo, la Presidente della Commissione europea Ursula von der Leyen ha annunciato al Digital Summit di Tallinn che l’UE vuole investire di più nella connettività affidabile. Queste parole saranno seguite da azioni per proteggere il traffico di dati digitali nel continente? E se così fosse, arriveranno in tempo?
Poiché oltre il 95% del traffico dati mondiale passa attraverso gli oceani, la minaccia più grave per l’infrastruttura digitale europea è probabilmente rappresentata dal sabotaggio di alcuni cavi di profondità.
La strategia Ue Global Gateway
È qui che l’ampia dipendenza dell’Europa da fornitori stranieri si sta prendendo la sua rivincita. Nel suo discorso di Tallinn, la Presidente von der Leyen ha menzionato il cavo transatlantico EllaLink che collega l’Europa all’America Latina ed ha elogiato il nuovo cavo in fibra ottica che sta per essere posato sotto il Mar Nero come parte della strategia dell’UE Global Gateway.
Questa è la risposta europea alla Belt and Road Initiative cinese, proclamata circa un anno fa, e promette investimenti fino a 300 miliardi di euro per rendere l’Europa più resistente alle crisi, anche attraverso una connettività digitale più forte e diversificata. Inoltre, vi sono prime indiscrezioni non ufficiali rispetto alla volontà della Commissione di cofinanziare un cavo in fibra ottica di 14.000 chilometri che collegherebbe la Scandinavia e l’Irlanda al Giappone attraverso l’Artico.
Gli investimenti previsti sono ben visti perché riducono la dipendenza dai cavi terrestri che attraversano la Russia. Inoltre, rappresentano un’alternativa alla Repubblica Popolare Cinese che, con il suo cavo sottomarino Peace di 12.000 chilometri, collega l’Europa all’Asia ed insieme alla sua tecnologia 5G, è ora fortemente coinvolta nell’espansione dell’infrastruttura digitale europea – dato di fatto che si teme possa anche permettere di intercettare i dati dei cittadini europei e guadagnare così potere contrattuale.
Standard tecnici internazionali: il nuovo fronte di scontro tra Europa, Usa e Cina
I cavi europei aggiuntivi non solo proteggerebbero dalle dipendenze e dal furto di dati, ma aumenterebbero anche la resilienza della rete infrastrutturale digitale essenziale europea grazie alla diversificazione.
Tuttavia, finora solo una piccola parte della Global Gateway Strategy è stata destinata al miglioramento di questa situazione: l’invito della Commissione a presentare proposte nell’ambito del meccanismo per collegare l’Europa, pubblicato lo scorso 12 ottobre, indica una cifra di 277 milioni di euro per reti sicure, ad alta velocità e ad alta capacità, infrastrutture dorsali e cavi sottomarini.[1]
Questo è troppo poco. Inoltre, il termine per la presentazione delle domande si protrae fino al 23 febbraio 2023. Nel complesso, una revisione delle strategie dell’UE commissionata dalla sottocommissione per la sicurezza e la difesa del Parlamento europeo mostra che i cavi e le altre infrastrutture marittime sono menzionati più spesso, ma non esistono quasi misure concrete per generare una protezione effettiva in modo tempestivo.
Il coinvolgimento delle Big Tech e le lungaggini dei meccanismi Ue
Appare quindi necessario un potente insieme di strumenti analoghi al 5G Cybersecurity Toolbox della Commissione, che ha sviluppato misure strategiche e tecniche chiave per la Commissione e/o gli Stati membri sulla base di una valutazione del rischio coordinata a livello europeo.
A livello dell’Unione, queste misure concrete includono, ad esempio, un maggiore controllo degli investimenti diretti esteri, strumenti di protezione della politica commerciale, un’applicazione rigorosa del diritto della concorrenza e il coordinamento della standardizzazione, degli obiettivi della politica di sicurezza e dei certificati. Tuttavia, la lentezza con cui è stato attuato finora questo toolbox dimostra quanto possa essere lunga la trasformazione delle infrastrutture digitali nonostante i piani dettagliati ed i quadri giuridici.[2]
In teoria sarebbero disponibili più fondi e spazio di manovra se le piattaforme ad alta intensità di dati fossero anche obbligate a finanziare le reti digitali, come è stato proposto nell’attuale dibattito sul futuro modello di fatturazione dell’infrastruttura di telecomunicazione dell’UE. Anche se dal punto di vista normativo vi sono problemi fondamentali con questo modello “Sender Party Pays“, è già un dato di fatto che un numero crescente dei circa 500 cavi di profondità situati in tutto il mondo sono finanziati da società Big Tech, mentre le partecipazioni più importanti di società tradizionali di telecomunicazione, quali ad esempio la Deutsche Telekom, risalgono all’inizio del millennio. L’esempio dell’Africa dimostra che il coinvolgimento di attori potenti sul mercato come Google o Microsoft porta a rapidi miglioramenti nelle infrastrutture, ma anche a minacciose dipendenze.
In ogni caso, la corrispondente proposta della Commissione sul modello di fatturazione dell’infrastruttura di telecomunicazione dell’UE non figura nel recente programma di lavoro per il 2023; ma all’inizio del prossimo anno è prevista solo una consultazione sul tema. In questo caso, non andrebbero studiati solo i possibili effetti sull’innovazione e sulla concorrenza, come attualmente previsto, ma soprattutto pure gli aspetti legati alla politica di sicurezza.
La strategia Ue per ridurre la vulnerabilità delle reti essenziali
Oltre alla Global Gateway Strategy, il Consiglio e il Parlamento europeo hanno raggiunto un accordo di principio su una Direttiva sulla resilienza delle strutture essenziali, basata su un progetto della Commissione già proposto nel 2020[3]. Questo mira a ridurre la vulnerabilità delle strutture essenziali, anche nei settori della tecnologia dell’informazione e delle telecomunicazioni. Questa proposta integra le proposte della Commissione per la rinnovata Direttiva sulla sicurezza delle reti e dei sistemi informativi (NIS 2), che elenca esplicitamente gli operatori dei nodi internet e il Regolamento sulla resilienza operativa digitale (DORA), che mira a rafforzare la sicurezza informatica delle imprese finanziarie in caso di crisi. Tutti e tre i nuovi atti giuridici devono ancora essere attuati in modo coordinato dagli Stati membri. Come richiesto dalla Commissaria europea per gli Affari interni Ylva Johansson il 18 ottobre, il lavoro di preparazione, anche da parte degli Stati membri, deve essere accelerato al fine di applicare queste nuove regole il più rapidamente possibile.
Va poi ricordato che le competenze dell’UE in materia di politica di sicurezza sono definite in modo piuttosto restrittivo e che il principio di sussidiarietà ha un valore anche in questo caso. Ad esempio, uno Stato membro può sapere meglio della Commissione quali cavi è meglio proteggere e come.
Allo stesso tempo però, le infrastrutture digitali essenziali in Europa sono spesso strettamente interconnesse, per cui l’interdipendenza giustifica un ruolo speciale dell’UE nelle strutture transfrontaliere e nella loro protezione. Nel complesso, la panoramica evidenzia che le iniziative dell’UE sono comunque chiaramente troppo tardive e suggerisce che per lungo tempo ci si è dimostrati troppo ingenui.
Il problema della protezione fisica dei cavi
Anche se l’UE riuscirà a posare rapidamente un numero sufficiente di cavi e altre infrastrutture digitali essenziali per creare “ridondanza” e quindi maggiore resilienza, la loro protezione rimane una questione difficile. Gli operatori di rete stiano già compiendo enormi sforzi per rendere più resilienti le loro linee in fibra ottica e le stazioni dei cavi attraverso una progettazione specifica dei cavi e dei relativi condotti con l’uso di una tecnologia di sensori e di monitoraggio specializzata. Tuttavia, secondo gli esperti, una protezione completa dei cavi di profondità richiederebbe enormi investimenti in sorveglianza, sottomarini e imbarcazioni militari. Mentre il Regno Unito ha nel frattempo commissionato una seconda nave da guerra per proteggere i cavi sottomarini, gli Stati membri dell’UE non dispongono di tali tipi imbarcazioni.
A giugno, uno studio interno per il Parlamento europeo ha identificato numerosi punti “altamente vulnerabili” sui cavi sottomarini in fibra ottica dell’Europa ed ha chiesto un’adeguata protezione militare.
Oltre alla protezione fisica dei cavi, la loro sicurezza informatica risulta pure una questione sempre più importante. Degli atti dolosi contro la sicurezza delle telecomunicazioni europee di cui si è venuti a conoscenza nel periodo tra il 2012 e il 2021, solo circa un terzo riguardava danni fisici, come quelli generati da incendi dolosi o dal taglio deliberato dei cavi, mentre il 64% di queste interruzioni poteva essere attribuito ai cosiddetti attacchi denial-of-service (DoS).[4]
L’alternativa delle connessioni satellitari
Per i dati particolarmente sensibili nel settore militare, la comunicazione satellitare è generalmente preferibile al trasferimento via cavo via terra o via mare, ma anche in questo caso è possibile individuare una forte vulnerabilità potenziale. Pochi giorni fa, il capo del dipartimento di sicurezza della Federazione delle industrie tedesche ha riferito che la comunicazione satellitare europea è ancora più vulnerabile agli attacchi rispetto ai cavi sottomarini. È quindi positivo che il Parlamento europeo abbia recentemente approvato il piano della Commissione per le comunicazioni satellitari sicure e si sta avviando il relativo trilogo Inoltre, è poco noto che non tutti i flussi di dati rilevanti dal punto di vista militare possono essere spostati dai cavi sottomarini alla trasmissione satellitare, poiché, ad esempio, il controllo dei droni richiede una trasmissione in tempo reale ed un’elevata larghezza di banda. Questo non è garantito dalla trasmissione satellitare, che ha una latenza ancora troppo elevata.
Conclusioni
Nel complesso, questi esempi dimostrano che la protezione dei cavi essenziali non può essere gestita solo dagli operatori privati, ma deve essere considerata, nell’attuale contesto geopolitico, un compito cruciale degli Stati membri europei che richiede investimenti coordinati e rapidi. Anche se l’UE ha competenze limitate in questo settore, deve inviare un segnale forte svolgendo un ruolo di coordinamento e fornendo sufficienti capitali di investimento, poiché la protezione delle infrastrutture digitali essenziali può avere successo solo per l’UE nel suo complesso. La catena digitale è infatti forte quanto il suo anello più debole. Anche per questo motivo, sarebbe urgente una maggiore sintonia con le iniziative statunitensi degli ultimi anni. Infine, poiché è difficile garantire una protezione fisica e digitale assoluta dell’infrastruttura dei dati, è essenziale una crittografia adeguata di tutte le informazioni rilevanti.
Anche se le attuali iniziative dell’UE riconoscono sempre più l’importanza della sicurezza delle infrastrutture digitali, mancano misure concrete varate in tempo per garantire la protezione. I fondi stanziati per la Global Gateway Strategy, che oltre al digitale mira a finanziare progetti nel settore del clima e dell’energia, dei trasporti, della salute, dell’istruzione e della ricerca, devono quindi concentrarsi con urgenza sulla protezione delle infrastrutture digitali essenziali. In seguito all’azione del governo statunitense “Clean Cable” lanciata nel 2020, un programma europeo di investimenti in Clean Cable ed una protezione militare immediata garantirebbero che i cavi sottomarini essenziali che collegano il continente a Internet non possano essere intercettati o sabotati.
Inoltre, occorre accelerare drasticamente l’adozione e l’attuazione degli attuali piani della Commissione per le infrastrutture essenziali e le comunicazioni satellitari sicure, e applicare una crittografia adeguata di tutti i dati pertinenti per proteggere meglio i dati particolarmente sensibili. Per questo, il ruolo di coordinamento rivendicato dalla Commissione il 18 ottobre risulta indispensabile.
Note
- https://digital-strategy.ec.europa.eu/de/news/launch-new-calls-proposals-budget-eu277-million-support-investments-digital-connectivity . ↑
- NIS Cooperation Group (2020), Report on Member States’ Progress in Implementing the EU Toolbox on 5G Cybersecurity, https://digital-strategy.ec.europa.eu/en/policies/nis-cooperation-group ↑
- Commissione (2020), Proposta di direttiva del Parlamento europeo e del Consiglio sulla resilienza die soggetti critici, COM(2020) 829 final, Bruxelles, del 16.12.2020. ↑
- ENISA (2022), Telecom Security Incidents 2021. Annual Report, https://www.enisa.europa.eu/publications/telecom-security-incidents-2021, pag. 22. ↑
