La transizione climatica e la transizione digitale sono due tra le priorità della nuova Commissione Europea guidata da Ursula von der Leyen, che sarà in carica per i prossimi 5 anni e dovrà affrontare, tra le altre cose, anche la questione della perdita di sovranità degli Stati europei – intesa come possesso dei dati digitali- a favore non solo di altri Stati, ma anche di aziende multinazionali dell’hi-tech.
Ma in che modo si può sviluppare la “sovranità tecnologica” dell’Europa nel settore digitale se manca ancora una visione strategica globale per la costruzione della “casa europea” della sicurezza informatica?
Facciamo allora il punto sulla questione “sovranità tecnologica”, che tanto sta a cuore anche al nuovo Commissario per il mercato interno, Thierry Breton e sulle misure necessarie per una più grande sovranità e per lo sviluppo di un vasto ecosistema europeo della sicurezza informatica orientato all’aumento dell’autonomia strategica.
Lo sviluppo della “sovranità tecnologica” dell’Europa
Iniziamo, intanto, sottolineando che le due transizioni tanto care a von der Leyen, legate all’aumento del consumo energetico per la fabbricazione e all’uso dei diversi dispositivi digitali, sono caratterizzate entrambe da un’analogia di “recupero”.
Nella prima ci si vuole riappropriare del nostro pianeta con un comportamento più responsabile in una economia circolare. Nella seconda si vuole trarre massimo beneficio dalla digitalizzazione della società ma allo stesso tempo si vuole anche recuperare il possesso dei propri dati che sono una delle espressioni più moderne del concetto di sovranità.
Il fatto di associare il concetto di sovranità a quello di tecnologia è, in verità, un quasi-neologismo brussellese, di cui difficilmente si trova una definizione ufficiale, ma di cui si può estrapolare il significato pensando al termine, di uso più consueto ma non per questo più chiaro, di sovranità digitale. Se poi si vuole anche introdurre nella discussione il fatto che molti confondono sovranità digitale con autonomia digitale, la strada è aperta ad equivoci.
Una analisi semantica del concetto generale di “sovranità” può aiutare l’interpretazione delle possibili azioni della nuova Commissione nel settore digitale.
Una delle definizioni tradizionali di sovranità è quella a livello nazionale. Sovrano è chi detiene l’autorità suprema, dettando leggi, controllando il paese con mezzi adeguati. La sovranità popolare si inserisce tra i principi fondamentali della Costituzione della Repubblica Italiana.
Al giorno d’oggi, il concetto di sovranità è stato messo a repentaglio con la globalizzazione e ancor di più con la digitalizzazione della società.
La digitalizzazione e internet con la sua libera circolazione dei dati, hanno annullato quelle frontiere fisiche che erano alla base della definizione e messa in opera del concetto tradizionale di sovranità.
Senza cadere nel concetto di autarchia (che si può applicare alla Corea del Nord), solo due stati al mondo possono vantare oggi una vera “sovranità”, sia per quanto riguarda gli aspetti politici che gli aspetti digitali: gli Stati Uniti e la Cina. La Russia, benché criticata in certe sua azioni “esterne”, è ancora oggi in un periodo di consolidazione interna. Israele, ha una forte sovranità, ma essa è costruita su una base di dipendenza (/cooperazione) dagli Stati Uniti. L’India sarà forse un nuovo attore sovrano a livello mondiale nel futuro, ma c’è tempo.
L’avanzata dei nazionalismi in Europa
E l’Europa?
Non per caso il concetto di sovranità nazionale è stato sviluppato nel XVII secolo dal filosofo inglese John Locke e nel XVIII secolo dal francese Montesquieu: l’espressione di due nazioni che sono state le effettive protagoniste della storia europea degli ultimi secoli.
Ma la sovranità, questo concetto così caro allo spirito dei francesi, non esiste più in Europa. Lo aveva intuito anche Mitterand alla fine del suo mandato presidenziale, quando ha fatto capire che la Francia stessa non sarà mai più sovrana a causa della mondializzazione.
Ci vuole coraggio per ammetterlo, ma è così e saremo sempre meno sovrani se non si reagisce alla progressiva perdita di controllo dei nostri dati a causa della digitalizzazione, soprattutto se non si prendono le misure adeguate.
Ultimamente, i movimenti sovranisti in Europa si sono moltiplicati per trovare delle risposte alla perdita di identità che l’Europa, così fiera del suo retaggio culturale passato, sta subendo.
Ma le risposte considerano sempre dei rimedi a breve termine che, a causa della mondializzazione, paradossalmente non sono sostenibili in modo sufficientemente “autonomo”. Inoltre, per essere prolungate nel tempo, queste risposte richiedono delle alleanze che diventerebbero poi delle “dipendenze”, ponendo dei grandi vincoli restrittivi alla sovranità nazionale.
Comprendere la trasformazione digitale
Come indicato nella definizione, per avere la sovranità, bisogna avere i mezzi adeguati a metterla in opera, e per quanto riguarda la sovranità per gli aspetti digitali, ci vuole prima di tutto una comprensione della trasformazione digitale, del suo impatto a livello politico ed economico e delle infrastrutture e tecnologie necessarie per un miglior controllo dei dati.
Questa comprensione non è ancora sufficiente, anche perché siamo ancora relativamente agli inizi della trasformazione digitale, e c’è ancora difficoltà a capire le possibili minacce presenti e future, che siano di ordine di sicurezza nazionale, o di attacco alla democrazia, all’economia o all’identità dei cittadini.
Senza una sufficiente comprensione del problema, gli investimenti per avere i mezzi adeguati alla messa in opera della sovranità degli aspetti digitali saranno sempre insufficienti, soprattutto quando si ha alle spalle una tradizione e una infrastruttura non adeguata a rispondere alle rapide dinamiche della nuova società digitale.
E allora, l’Europa?
Gli stati europei hanno perso la loro sovranità. Quasi tutti gli stati sono ora dipendenti gli uni dagli altri. Al meglio sono “interdipendenti” o legati con accordi con paesi terzi che forniscono i materiali e componenti necessari allo sviluppo dell’economia e della società.
Gli stati europei hanno oggi solo la scelta da chi essere dipendenti. La dipendenza non dipende solo da criteri etici di cooperazione con paesi che la pensano allo stesso modo, ma anche da criteri di opportunismo sia politico che operativo o economico (dettati da necessità di sviluppo socio/economico).
Gli stati europei non sono più completamente padroni dei loro dati. Questo significa perdite potenziali di sicurezza, di identità, di proprietà intellettuale, di privacy.
Il controllo dei dati in mano alle multinazionali, le contromisure dell’Europa
La novità con il mondo digitale è che abbiamo perso la sovranità (possiamo usare il pronome personale, invece che l’impersonale “gli stati”, poiché anche noi come cittadini, abbiamo perso il controllo di parte della nostra identità e privacy) non solo a favore di qualche altro stato, ma anche a favore di “non-state actors” come spesso sono citate certe grandi società non europee nel settore informatico.
Abbiamo avuto una prima “sveglia” nel 2013 con l’affare PRISM, quando Edward Snowden ha rivelato l’esistenza del programma americano di sorveglianza globale. All’epoca, la Commissione Europea aveva chiamato l’Europa a svegliarsi e reagire, ma l’Europa non aveva ancora capito l’importanza e l’estensione della trasformazione digitale, ed ha continuato a “sonnecchiare”.
Non ho detto dormire, poiché non sarebbe vero. Infatti, Bruxelles ha reagito nello stesso 2013 con una prima strategia per la sicurezza informatica che è stata poi rivista nel 2017. Nel 2016 la Commissione ha riconosciuto l’importanza dello sviluppo di un mercato unico digitale.
Tra l’altro, se non si può parlare di “sovranità europea” perché gli Stati Membri sono gelosi della loro “sovranità nazionale” (o di quello che rimane), il settore in cui più si avvicina a una sovranità europea è quello dell’economia (ricordiamo il mercato unico europeo, uno degli obiettivi principali del trattato di Roma del 1957, a fondamento della creazione della Comunità Economica Europea).
Sempre nel 2016, la Commissione ha firmato con ECSO (European Cyber Security Organisation) un partenariato pubblico privato per sviluppare l’intero ecosistema europeo della sicurezza informatica e rendere l’Europa più responsabile e più “capace” a sostenere lo sviluppo del mercato unico digitale.
Nel 2018 c’è poi stata l’adozione della direttiva NIS per le infrastrutture critiche e il GDPR per la protezione della privacy: un regolamento europeo in questo settore che ci è invidiato a livello mondiale.
L’Europa e la nuova Commissione stanno ora preparando il nuovo approccio basato sul quadro finanziario pluriannuale per il periodo 2021-2027.
Il nodo del finanziamento della sicurezza informatica
Come detto, la trasformazione digitale è una delle priorità da sostenere con questo budget che dovrebbe vedere contributi per la ricerca da parte del programma “Horizon Europe” per lo sviluppo di “capacità” con l’aiuto del “Digital Europe Programme” e con il sostegno di altri fondi europei come il Connecting Europe Facility o i fondi strutturali / regionali per contribuire al finanziamento di infrastrutture locali.
Per capirci, si parla di qualche miliardo di euro in 7 anni: il montante esatto dovrebbe essere conosciuto nel 2020 al termine delle negoziazioni della nuova Commissione con gli Stati Membri e dalla volontà effettiva di investire nella sicurezza informatica piuttosto che in priorità più tradizionali e probabilmente meglio comprese dall’elettorato nazionale (e per questa ragione, si teme un taglio sostanzioso delle cifre inizialmente proposte per sviluppare il settore digitale e la sua sicurezza in Europa).
In ogni caso, dobbiamo renderci conto che stiamo parlando di qualche centinaio di milioni di euro all’anno, diviso tra 27 paesi (supponendo che la transizione del Brexit si sia conclusa) e diviso tra il grande numero di priorità del settore della sicurezza informatica.
Per meglio capire queste cifre, dobbiamo pensare che gli Stati Uniti e la Cina investono ogni anno nel settore una cifra almeno 10 volte superiore, senza considerare che il loro è già un mercato più strutturato e maturo (almeno per quanto riguarda gli USA). Il contributo finanziario previsto in Europa è dunque da considerarsi come “seed money”, importante a favorire lo sviluppo e la cooperazione entro stati, maturare concetti comuni e sostenere le politiche europee, ma non sufficiente a soddisfare ai bisogni di sicurezza del mercato unico digitale.
Per sostenere questo approccio e moltiplicare i finanziamenti, la Commissione cerca anche il contributo pubblico degli Stati Membri, come indicato nella proposta di regolamento per i centri di competenza, con l’ambizione di sviluppare e federare le competenze locali nel settore. Se gli obiettivi di questa proposta sono interessanti, l’approccio proposto è problematico, e una soluzione politica non è stata ancora trovata.
Allo stesso tempo, l’industria si chiede come una cooperazione tra il settore pubblico europeo e nazionale possa effettivamente trovare il budget necessario per sviluppare quelle tecnologie e soluzioni che possano rendere, almeno parzialmente, la sovranità all’Europa per gli aspetti digitali e sviluppare, come indicato negli obiettivi della nuova Commissione, la competitività dell’industria europea senza una cooperazione più stretta con il settore privato l’industria europea.
Quale soluzione?
Nel passato, la Commissione ha avuto spesso l’abitudine di voler trovare nuovi approcci ad ogni cambio di management, sempre sostenendo che si debba evitare duplicazioni, sacrificando il principio logico del Rasoio di Occam all’altare del compromesso o ad una interpretazione tipicamente “brussellese” del bisogno reale del mercato europeo e dell’industria.
Se la priorità della nuova Commissione fosse quella di sostenere il recupero di una certa sovranità, almeno per quanto riguarda gli aspetti digitali, e sostenere lo sviluppo socio/economico dell’Europa legato alla trasformazione digitale, allora si potrebbero considerare le seguenti azioni:
- Definizione di misure legislative e regolamentari comuni per sostenere l’implementazione di soluzioni strategiche europee (tra cui, ad esempio, la preferenza di prodotti, soluzioni e servizi europei in caso di applicazioni sensibili)
- Accordo su adeguati investimenti con meccanismi innovativi di investimento a sostegno di specifiche esigenze per lo sviluppo di capacità strategiche (tecnologie, soluzioni, servizi, competenze) per una maggiore autonomia digitale europea e garantire un mercato europeo armonizzato e ben orchestrato (domanda / offerta)
- Costruzione di alleanze strategiche con diversi paesi/fornitori che pensano allo stesso modo (“like-minded”) per sviluppare una catena di approvvigionamento sostenibile e affidabile per componenti/sistemi/servizi che l’Europa non potrà produrre, approccio completato dalla validazione e certificazione dei componenti di fiducia della catena di fornitura (“trusted supply chain”).
Si può finalmente capire come la sovranità per gli aspetti digitali e l’autonomia digitale non siano la stessa cosa.
Chiaramente non possiamo aspirare ad una “autonomia digitale” totale poiché gli investimenti necessari sono ben aldilà delle nostre capacità. In ogni caso, il bisogno nel settore della sicurezza informatica cambia così velocemente, che solo con un approccio flessibile si può sperare di restare al passo del mercato e assicurare un certo livello di cyber-resilienza (termine che sarebbe più esatto da utilizzare al posto di cyber-sicurezza, visto che la sicurezza al 100% non esiste).
Si è dunque arrivati ad un certo livello di dimostrazione del postulato che una più grande autonomia digitale è uno degli strumenti per un recupero (almeno parziale) della sovranità.
Una sovranità nel settore digitale, ma per fare cosa?
Definire gli obiettivi non è semplice, soprattutto quando si considera il diverso livello di “maturità digitale” nei diversi stati europei e i diversi interessi politico/economici (anche tendendo conto delle diverse pressioni dalla parte da stati non europei). La riduzione della dipendenza e il recupero della sovranità è un concetto sentito soprattutto dai grandi stati. Attraverso la trasformazione digitale, gli stati più piccoli cercano lo sviluppo socio/economico, anche se questo li renderà sempre più dipendenti: per loro una più grande solidità economica è vista come un segno di stabilità politica a conforto di una certa sovranità popolare.
Si è detto che la Commissione ha proposto nel 2013 e nel 2017 una strategia europea per la sicurezza informatica. Queste “strategie” sono principalmente composte solamente da “mattoni”, quei mattoni necessari per una sicurezza informatica europea: manca ancora una visione strategica globale per la costruzione della “casa europea” della sicurezza informatica basata su una migliore comprensione del mercato (più facile se con una reale cooperazione pubblico-privata).
Pertanto, è altamente auspicabile che la nuova Commissione possa sviluppare una vera visione dell’UE sulla sicurezza informatica, per il recupero di un certo livello di sovranità a livello politico, economico, digitale, tecnologico ed individuale.
Una più grande sovranità e lo sviluppo di un vasto ecosistema europeo della sicurezza informatica orientato all’aumento dell’autonomia strategica può essere promosso attraverso una visione concordata a livello europeo e basata su:
- Una strategia europea globale per la sicurezza informatica, regolarmente aggiornata.
- Una politica industriale europea per la sicurezza informatica, a sostegno dell’industria dell’UE e della sua competitività, comprendente standard europei, la certificazione per una supply chain di fiducia, una buona conoscenza del mercato e della sua offerta/domanda, il sostegno agli utilizzatori, investimenti mirati a tecnologie e società, il sostegno alle PMI, il sostegno a iniziative locali/regionali, l’educazione – formazione e consapevolezza (awareness), il sostegno alla ricerca e innovazione.
- Delle politiche, iniziative e programmi che consentano di sensibilizzare i cittadini e i “decision maker” (politici e economici) e che promuovano l’istruzione dei professionisti aumentando il numero di esperti qualificati per soddisfare le esigenze del mercato del lavoro.
Sicurezza informatica, l’Europa deve invertire la rotta
Importanti investimenti sono necessari per sostenere questa visione ed essere sufficientemente resilienti alle minacce che il ritmo rapido della digitalizzazione a livello globale ci imporrà.
Le risorse impiegate devono essere basate non solo sugli investimenti pubblici, ma devono anche trovare sinergie con gli investimenti privati.
Come dimostrato recentemente dalla discussione sul 5G, la sicurezza informatica è un problema altamente complesso, che unisce gli interessi politici a quelli economici.
L’Europa (e non solo) si trova oggi in una condizione di dipendenza in questo settore poiché non ha investito a tempo e in maniera sufficiente e perché non c’è stato un sostegno politico agli investimenti strategici. Il fatto di non aver identificato a tempo i bisogni di investimento in settori strategici può essere dipeso dalla mancata comprensione nel passato dell’impatto di una trasformazione digitale ancora sul nascere.
Ma ora che il problema è chiaramente posto e che nuove tecnologie innovanti e strategiche come l’intelligenza artificiale, l’Internet of Things, il quantum computing sono alle porte, non si potrebbe avere una reazione diversa? Errare umanum, perseverare diabolicum!
Le amministrazioni pubbliche (a livello nazionale o dell’UE) potrebbero considerare che la definizione di priorità per gli investimenti è fornita (come in altri settori della sicurezza o della difesa) principalmente dal settore pubblico, in quanto materia di “sovranità” e quando si tratta di mercati della sicurezza, questi sono spesso pilotati dalle amministrazioni pubbliche (perché i risultati sono utilizzati da amministrazioni pubbliche).
La comunità europea della sicurezza informatica
Ma il mercato della sicurezza informatica è anche (e soprattutto) composto da importanti clienti e fornitori dei diversi settori privati. Se il denaro pubblico è investito senza un sufficiente sostegno del settore privato, non avrà l’impatto sufficiente sull’ecosistema e sul mercato. Solo collegando il denaro pubblico agli investimenti privati si potrebbero ottenere risultati concreti e solo l’industria europea può fornire quelle soluzioni strategiche per un livello maggiore di autonomia digitale per rafforzare la nostra sovranità!
La sfida è quella di concordare priorità comuni per gli investimenti (per raggiungere efficacemente la “massa critica di investimenti”) per aumentare l’autonomia europea e la competitività globale, evitando duplicazioni e la creazione inutile di concorrenti in Europa. L’Europa dovrebbe aiutare lo sviluppo dei propri leader nei sui settori di più grande competenza, dove ha un’avance concreta o soluzioni davvero innovanti.
Dobbiamo investire in innovazioni strategiche che porteranno l’industria europea a creare i futuri campioni globali nei settori dell’Intelligenza artificiale, Informatica quantistica, DLT (Digital Ledger Technologies, compresa Blockchain), IoT sicuro per applicazioni commerciali e industriali, microelettronica (chip e loro implementazione), gestione e utilizzo dei dati (Cloud / Fog / Edge), 5G e aumento della mobilità, anche mirando allo sviluppo del futuro 6G che potrebbe essere utilizzato attorno al 2030.
Queste innovazioni dovrebbero essere realizzate includendo i valori fondamentali europei per la protezione dei dati e la privacy. I nostri valori potrebbero veramente essere l’elemento di differenziazione per un futuro digitale che domanderà un approccio etico sempre più importante.
In questo contesto, ECSO ha riunito da più di tre anni i più importanti attori pubblici e privati creando la comunità europea della sicurezza informatica, fornendo sostegno alle politiche comuni europee ed avviando azioni concrete per migliorare il nostro ecosistema (sostegno alle PMI, all’educazione ed alla formazione, ecc.). Grazie all’attività di ECSO e i suoi membri, abbiamo raggiunto oggi dei risultati concreti che sono il risultato di un rafforzamento del dialogo e della cooperazione pubblico-privato. Questa cooperazione è un elemento chiave che dovrebbe essere continuato e su cui si dovrebbe basare il futuro quadro istituzionale e operativo europeo.
Solo in un’efficace cooperazione pubblico-privata possiamo affrontare con successo le minacce informatiche globali, aumentare la nostra autonomia strategica, restaurare la nostra sovranità e portare a benefico dello sviluppo socio/economico, e dunque del cittadino, le future innovazioni tecnologiche.