L’Unione Europea sta lavorando a una serie di misure, in coordinamento con la Nato, per difendersi dalla guerra digitale, che si sta combattendo a fianco di quella sul campo di battaglia. La Russia sta attaccando, infatti, non solo sul piano militare, ma anche su quello online, via web, con attacchi cyber e diffusione di fake news mai visti prima d’ora nei confronti dell’Ucraina, ma anche dei Paesi Nato e UE.
Rischio di una cyberwar mondiale
Tutto è partito già prima del 24 febbraio, giorno dell’invasione russa in Ucraina. Banche, istituzioni e aziende hanno subito, infatti, vari attacchi informatici, che avevano portato l’Unione Europea ad affiancarsi all’Ucraina. In questo senso è stato attivato il CRRTS, ossia il “Cyber Rapid Response Teams and Mutual Assistance in Cyber Crime”, un team di esperti abilitati all’azione rapida, così come alla valutazione del livello di vulnerabilità, a seguito di attacchi informatici in Ucraina, coordinato dalla Lituania, all’interno del progetto Pesco (cooperazione strutturata permanente nel quadro della politica di sicurezza e di difesa Ue). Inoltre, il Parlamento Europeo, con la risoluzione del 1° marzo, aveva chiesto un esame urgente della candidatura dell’Ucraina al Centro di eccellenza per la cyber difesa cooperativa della Nato, con sede in Estonia, ottenendo esito positivo.
Secondo un rapporto di Microsoft, l’Ucraina ha subito almeno 237 operazioni cyber dall’inizio del conflitto russo-ucraino e le vittime sono state istituzioni e strutture statali, così come servizi e infrastrutture per i civili. Questi dati ci mostrano il rischio che una cyberwar possa trovare sempre più terreno fertile e espandersi anche in ambito mondiale. La guerra in ambito digitale andrebbe oltre i confini dell’Ucraina, colpendo i Paesi Nato e l’Unione Europea, oltre al rischio di vedere danneggiati i cavi sottomarini dagli attacchi russi fino all’interruzione della comunicazione via internet e delle telecomunicazioni internazionali.
Sanzioni e disinformazione
In questo quadro a dir poco preoccupante, l’Unione Europea ha iniziato dal vietare l’esportazione verso la Russia della tecnologia dual-use, colpendo, così, i prodotti tecnologici avanzati, come droni e software per i droni, software per i dispositivi di cifratura, semiconduttori ed elettronica avanzata, e la fornitura di servizi di assistenza tecnica da parte di imprenditori che forniscono servizi militari e tecnologie allo Stato russo.
Per quanto riguarda la disinformazione russa e la diffusione di notizie false, le cosiddette fake news, già attiva dal 2014, l’Unione Europea ha creato la “East stratcom”, che sta per strategic communication, una task force all’interno del servizio europeo per l’azione esterna, che collabora con Stati e organismi internazionali come il “G7 rapid response mechanism”. Dal 2019, poi, il Ras, Rapid Alert System, che al momento sta lavorando sulla guerra in Ucraina. La piattaforma all’interno di East stratcom coordina punti di contatto nazionali e ha registrato 13.831 casi di disinformazione a favore di Mosca e diretti contro l’Ucraina già dal 2014.
Il 2 marzo scorso il Consiglio ha, pertanto, sospeso la trasmissione delle attività televisive dei due organi di informazione pubblici Sputnik e Russia Today nel territorio europeo, insieme alle controllate RT-Francia, Germania, Regno Unito e Spagna. RT Franche ha fatto ricorso, appellandosi al diritto alla libertà di espressione riconosciuto dall’articolo 11 della Carta dei diritti fondamentali UE, ma l’8 marzo è stato respinto dal Tribunale UE.
Altro provvedimento da parte dell’Unione Europea è stato inserire una norma nel Digital Services Act, che conferisce alla Commissione una competenza anche nella previsione di sanzioni verso le piattaforme che favoriscono la divulgazione di fake news. Il Parlamento Europeo ha, quindi, istituito
una nuova Commissione speciale sulle ingerenze straniere in tutti i processi democratici dell’Unione europea, inclusa la disinformazione, che avrà competenza anche in materia di cybersicurezza in presenza di un collegamento con i processi democratici.
I provvedimenti italiani
Anche l’Italia si sta muovendo per rafforzare lo scudo tecnologico nazionale. Attraverso il decreto-legge n. 21 del 21 marzo 2022 sono arrivate una serie di misure urgenti a fronte dei risvolti economici e umanitari derivanti dal conflitto Russia-Ucraina per i settori strategici, ossia quelli che riguardano la salute, l’agroalimentare, la finanza, settore creditizio e assicurativo. Difesa nazionale e maggiore sicurezza delle reti di comunicazione elettronica tra le priorità del Governo italiano, sono state, infatti, apportate anche modifiche al Golden Power per garantirne una maggiore tutela, oltre al rafforzamento dei presidi di sicurezza. Si prevede una riorganizzazione dei poteri speciali per la comunicazione elettronica a banda larga basati sulla tecnologia 5G, per cui ci saranno integrazioni e modifiche anche all’articolo 1-bis del decreto-legge n. 21 del 15 marzo 2012. Se da una parte questo settore viene confermato come strategico per la difesa nazionale, dall’altro ora si inizia a dare spazio anche ad altri che possano contribuire alla sicurezza cibernetica, come quelli legati alla tecnologia cloud.
Per quanto concerne le imprese, è prevista una nuova impostazione del piano di acquisizione di beni e servizi di progettazione, realizzazione, manutenzione e gestione delle attività di rilevanza strategica, ossia i componenti altamente tecnologici funzionali alla realizzazione o gestione. Infatti, bisogna notificare alla Presidenza del Consiglio dei ministri un piano annuale dettagliato prima di procedere all’acquisizione stessa. Se le prescrizioni non vengono osservate o se viene omessa la notifica, le imprese subiscono importanti sanzioni che possono arrivare anche al 3% del fatturato dell’impresa. Per garantire il rispetto e la giusta applicazione delle prescrizioni adottate dal Governo nell’esercizio dei poteri speciali è stato istituito un comitato di monitoraggio e di controllo composto da uno o più rappresentanti della Presidenza del Consiglio dei ministri, del Ministero dello sviluppo economico, del Ministero della difesa, del Ministero per l’innovazione tecnologica e la transizione digitale, o, se non nominato, della struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la digitalizzazione, dell’Agenzia per la Cybersicurezza nazionale, oltre che, se ritenuto necessario, del Centro di valutazione e certificazione nazionale (CVCN) e delle articolazioni tecniche dei Ministeri dell’interno e della difesa.
