L’Ue accelera verso una seria strategia globale nella cyber difesa. L’incremento della cooperazione europea e il rafforzamento della cooperazione con USA e NATO dovranno essere attuati con un modello di cyber sicurezza comune, investimenti mirati e una spinta verso la sovranità digitale.
Tra le minacce da affrontare figurano attori statali (Russia, Cina e Corea del Nord) e non-statali una crescente disponibilità sul mercato di software che possono minacciare i diritti umani.
Cybersecurity, verso una strategia europea: ecco i tasselli sul tavolo
Difesa del cyber spazio: la linea UE
Lo scorso 23 giugno 2021, la Commissione europea ha presentato una relazione contenente un progetto europeo mirato ad instaurare una maggior cooperazione ed adottare un piano comune nella difesa del cyber spazio.
Il 7 ottobre 2021 il progetto è stato approvato dal Parlamento europeo con 591 voti favorevoli, rappresentando un passo significativo nel riconoscimento dell’importanza di munirsi di una politica comune, all’interno dell’UE, in materia di difesa dello spazio cibernetico.
Di fronte alle nuove minacce informatiche, i parlamentari hanno preso atto dell’estrema necessità di stabilire una strategia unica e superare la frammentazione all’interno della comunità europea per garantire una maggiore stabilità.
A oggi, la maggior parte delle infrastrutture che compongono ciò che comunemente definiamo cyberspazio si trovano al di fuori della comunità europea, creando una forte dipendenza verso i paesi terzi che offrono tali servizi. Per tale motivo, non vi può essere una strategia comune se, prima, la comunità europea non potenzia le proprie strutture tecnologiche attraverso innovazioni ed investimenti.
Cybersicurezza, parola d’ordine: cooperazione
Tuttavia, il piano dell’Unione Europea non è solo quello di garantire una sicurezza informatica a livello comunitario, ma anche di richiedere una collaborazione con le forze alleate, in particolare la NATO, per stabilire risposte e politiche congiunte al fine di fronteggiare i nemici comune nel cyberspace, che nella risoluzione vengono identificati in Cina, Russia e Corea del Nord.
L’Europarlamento menziona anche il caso dello spyware Pegasus, sviluppato dalla società privata israeliana NSO, come esempio di minaccia alle attività politiche, giornalistiche e di tutela dei diritti umani.
A livello pratico, il progetto europeo comprende lo sviluppo di una piattaforma deputata alla cooperazione: saranno le stesse istituzioni europee e gli Stati membri a garantirne lo sviluppo al fine di contrastare le minacce cibernetiche in modo congiunto. Il compito dei partecipanti è, quindi, quello di fornire assistenza reciproca e condividere le proprie migliori strategie per affrontare i rischi. In questo contesto, l’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) fungerà da supporto grazie anche alla recente istituzione di un suo ufficio a Bruxelles che l’ha avvicinata anche “fisicamente” alle altre Istituzioni europee.
I nuovi provvedimenti sono effetto della mutazione della postura dell’Unione Europea nei confronti delle minacce nel dominio digitale, nel contesto più ampio dell’accelerazione delle misure per realizzare una difesa europea. L’Unione si mette così nella scia di USA e NATO, che hanno ultimamente preso iniziative concrete nella direzione di una migliore organizzazione delle difese digitali e hanno dichiarato una maggiore assertività nelle risposte ad eventuali attacchi.
Una questione politica, non solo tecnica
L’aumento recente degli eventi offensivi da parte di attori statali e non-statali e la consapevolezza che, con l’avanzamento del processo di digitalizzazione, siano destinati a moltiplicarsi e a presentarsi in forme sempre più raffinate, ha convinto le istituzioni UE ad affrontare le minacce cyber come una questione politica e non meramente tecnica.
Nel 2007, lo shock dell’aggressione alle infrastrutture digitali dell’Estonia, che viene considerata la prima ai danni di uno Stato membro dell’UE, ha costretto le istituzioni comunitarie ad un cambio di paradigma. Da allora ad oggi, attraverso una serie di passaggi teorici, regolatori ed organizzativi, si sono stabilite le priorità strategiche (Cybersecurity Strategy – EUCSS 2013), si sono stesi i quadri normativi (centrale la Direttiva NIS del 2016), e infine sono state realizzate o rinforzate le strutture operative: l’ENISA (istituita nel 2004, e il cui mandato è stato rafforzato nel 2019), lo EU Computer Response Team (CERT-EU), l’European Cybercrime Centre dell’Europol (EC3). Ogni crisi di sicurezza nel dominio digitale, insomma, ha indotto la UE ad aumentare la propria resilienza nei confronti delle minacce, perfezionando di volta in volta norme, agenzie, narrazione.
Il rapporto tra le politiche nazionali e comunitarie
Una volta messo a fuoco il problema e costituite le strutture, l’UE si è dovuta confrontare, anche nel campo della cyber difesa, con uno dei suoi temi più spinosi: il rapporto tra le politiche nazionali e quelle comunitarie.
Cyberdifesa, l’Europa è un patchwork che non possiamo più permetterci
La cybersicurezza, infatti, è prerogativa nazionale, ma è allo stesso tempo questione troppo complessa per essere affrontata dai singoli Stati in autonomia. La votazione del 7 ottobre formalizza un percorso – iniziato almeno nel 2013 con la prima versione della EUCSS – volto al potenziamento di una cultura comune per la sicurezza cibernetica. Negli anni c’era sempre stata una certa riluttanza da parte di alcuni governi a recepire le indicazioni comunitarie, tra cui quelle della Direttiva NIS, a livello nazionale. D’altronde, come ogni questione di sicurezza e di intelligence, la cyber difesa è un tema particolarmente sensibile: è quindi comprensibile che ci sia una certa resistenza da parte degli Stati a condividere informazioni. Ancora, il diverso livello di preparazione e la differente gerarchia delle priorità tra gli stati membri sono di ostacolo alla cooperazione, laddove alcuni Paesi preferiscono fare riferimento alla NATO oppure affrontare le crisi secondo una prospettiva nazionale, contando sulla catena di comando più corta e dunque su un processo decisionale ritenuto più rapido di quello europeo.
Una governance coerente sarebbe dunque un obiettivo auspicabile e accettabile a beneficio di tutti gli stati membri.
Difesa e reazione
L’UE ha l’ambizione di non limitarsi ad una postura difensiva, ma di proporsi come cyberspazio globale, “aperto, libero, stabile e sicuro” in cui la multilateralità e la centralità delle regole siano i pilastri alla base di questa proposta. Per questo, l’UE fa affidamento sulla Convenzione di Budapest sulla criminalità informatica e sulla partnership con la NATO, unica organizzazione internazionale apertamente menzionata nella revisione del 2017 della EUCSS. Si aggiunge poi una rete di rapporti bilaterali che vede protagonista lo EU-US Cyber Dialogue, ma non trascura il mantenimento di relazioni con i Paesi che pure sono ritenuti minacce strategiche, come Russia e Cina.
Le politiche di aiuto al rafforzamento del contrasto al cyber crimine verso Stati vicini ai confini UE, come quelli dell’area MENA (Medio Oriente e Nord Africa) o l’Ucraina, mirano a fare dell’Unione un polo di attrazione per quanto concerne gli standard e le “best practice” in materia.
Dal punto di vista delle reazioni (responsiveness), invece, si preferisce il regime sanzionatorio alla maturazione di capacità di risposta simmetrica, avendo come punto di riferimento ideale la costruzione di un cyberspazio internazionale stabile e regolato nel quale un attore ostile arrivi a ritenere non conveniente portare attacchi. Le maglie ancora troppo larghe, l’assenza di una legislazione internazionale condivisa e l’opacità “naturale” delle operazioni cibernetiche offensive non aiutano un’Europa già restia nell’attribuzione delle responsabilità ad imporsi come attore cyber di peso a livello globale.
I problemi all’orizzonte
Sebbene la decisione del Parlamento europeo di adottare una strategia comune in tema di difesa del cyber spazio rappresenti un passo in avanti nel miglioramento della strategia europea, allo stesso tempo la comunità deve fare ancora i conti con vuoti normativi e limitati investimenti nel settore informatico. L’insufficienza dei fondi e, soprattutto, la carenza di esperti del settore, sono di ostacolo al raggiungimento da parte della UE di un adeguato grado di efficienza nella cooperazione tra gli Stati membri.
Inoltre, va considerato che l’Unione è costituita da 27 realtà differenti, ciascuna con differenti capacità informatiche, risorse disuguali e quadri normativi specifici: aspetti da non sottovalutare quando si tratta di cooperare all’interno della comunità. Ad esempio, lo sviluppo disomogeneo delle tecnologie e delle politiche ad esse correlate può costituire un importante rallentamento per la realizzazione di un quadro giuridico europeo unico.
Un percorso normativo e organizzativo avviato da ormai più di dieci anni ha reso comunque la UE un cyber attore fondamentale a livello regionale per quanto riguarda la capacità di resilienza nel dominio digitale.
Conclusioni
L’Unione vuole però essere protagonista della stabilità nel cyberspazio a livello globale con una postura fortemente orientata alla diplomazia (si pensi all’implementazione del Cyber Diplomatic Toolbox), che, però, potrebbe non essere sufficiente di fronte alla difficoltà di attribuzione degli attacchi e non sempre trasparenti relazioni tra attori statali e non-statali. Il rischio è che i singoli Stati privilegino la via nazionale o quella di partnership specificamente mirate alla difesa unicamente quando si tratta di rispondere alle aggressioni, rendendo quindi necessario proseguire le attività delle Istituzioni europee al fine di rendere le capacità esistenti effettivamente impiegabili.
