Un recente report dell’Institute of International and European Affairs di Dublino ci permette di fare significativi passi avanti rispetto al provinciale dibattito sulla possibilità di utilizzare antivirus russi o sulla necessità dell’awareness della sicurezza informatica in un mondo in cui centinaia di aziende sono state vittime di attacchi ransomware. L’autore del rapporto è Ciaran Martin, il primo chef executive del National Cyber Security Centre del Regno Unito, un’agenzia che fa parte del GCHQ.
Il tema del rapporto, per quanto mai esplicitamente indicato, è quello della sovranità digitale ed in particolare della sovranità digitale europea ovvero il controllo che l’Europa ha, o potrà avere, sulle varie tecnologiche informatiche e sulla cybersecurity che è ovviamente elemento fondante della sovranità.
In particolare, sono due i punti critici che il rapporto individua: la difficoltà di un coordinamento tra stati su leggi e regolamenti per cybersecurity e la mancanza di un polo tecnologico europeo.
Cybersecurity, perché è difficile il coordinamento normativo
Per quanto riguarda leggi e regolamenti su cybersecurity, le difficoltà nascono da due spinte contrastanti. Da un lato, la cybersecurity è un aspetto fondamentale della sicurezza nazionale. I recenti avvenimenti in Ucraina, Perù e Costarica dimostrano gli effetti devastanti di alcuni attacchi sulla sovranità nazionale e sulle infrastrutture critiche. Altri impatti possono nascere da azioni, meno eclatanti forse, ma con impatti altrettanto importanti, di spionaggio politico e industriale o diffusione di fake news. Tenuto conto di questi aspetti, è ovvio che uno stato non possa rinunciare a regolare mediante proprie leggi le varie attività informatiche, la gestione e la protezione dei dati.
Contemporaneamente però uno stato non può trascurare che buona parte della infrastruttura tecnologica utilizza componenti commerciali prodotti per un mercato più vasto. Questa è, ad esempio, la ragione per cui la maggior parte delle informazioni su tattiche, tecniche e procedure utilizzate nella invasione russa dell’Ucraina provengono non da fonti militari ma da aziende commerciali, un punto che mi pare non riceva tutta l’attenzione che merita. L’utilizzo di prodotti commerciali diretti a più nazioni implica che solo operando a livello transnazionale, europeo nel caso di interesse, lo stato possa imporre norme efficaci sui produttori che sono multinazionali per definizione. Questo è quanto avvenuto in passato con normative europee quali NIS, network information security, su infrastrutture critiche o la più recente DORA, Digital Operational Resilience Act, per organizzazioni finanziarie.
La soluzione
Una normativa europea è possibile solo con un consenso tra stati ma questo consenso dipende dalla attenzione al tema dei singoli stati e dalla loro capacità di intervenire al proprio interno per imporre il rispetto della normativa. Dato che i diversi stati europei hanno capacità, attenzioni e competenze diverse sulla cybersecurity, la normativa europea può essere un compromesso al ribasso che per alcuni stati peggiora la legislazione rispetto a quella nazionale. Questa affermazione è stata esplicitamente formulata dal direttore del BSI, l’ufficio federale tedesco che si occupa della sicurezza delle informazioni, che ha esplicitamente accusato la commissione europea di voler sostituire una strategia avanzata, quella tedesca, con una meno avanzata.
La forte disomogeneità europea
Difficile negare la scarsa omogeneità delle nazioni europee sulla cybersecurity. Consideriamo ad esempio il Global Cybersecurity Index (GCI) definito, nel 2015, dal International Telecommunication Union (ITU) per misurare l’attenzione e l’impegno degli stati membri sulla cybersecurity. Negli anni, il GCI si è evoluto, per fornire una valutazione più accurata dell’atteggiamento di ogni stato. Per quanto riguarda le nazioni europee:
- Estonia, Lituania e Spagna sono nelle prime dieci posizioni
- Francia, Lussemburgo, Germania e Portogallo sono nelle prime venti posizioni,
- Nove stati appaiono dopo la quarantesima posizione,
- Sei stati appaiono dopo la cinquantesima posizione.
Il Regno Unito, fuori dalla UE, compare in seconda posizione. Il rapporto riassume il tutto con una frase crudele “la situazione peggiora muovendosi verso sud est” partendo dall’Irlanda che però, come ammette il rapporto, è una delle peggiori. Al di là della brutale sintesi, il GCI conferma la disomogenea situazione in cui nascono le normative europee. Anche quando nascono, queste normative non sempre hanno come obiettivo la cybersecurity e la sovranità digitale. Ad esempio, il focus sulla riduzione dei prezzi per i consumatori può aver danneggiato l’industria delle telecomunicazioni e favorito la diffusione di componenti a basso costo di produzione non europea, in particolare cinese, un punto su cui torneremo tra poco.
Oltre che dal CGI, la disomogeneità è provata anche dalla bassa resilienza delle infrastrutture di alcune nazioni messe in crisi da attacchi poco sofisticati come i DDOS, che hanno impatti meno pesanti quando si utilizzano infrastrutture cloud, o dagli impatti pesanti di attacchi ad infrastrutture per la sanità pubblica, come quello avvenuto in Irlanda. Detto questo, non si deve trascurare che i regolamenti europei determinano l’accesso ad uno dei più ricchi mercati mondiali e questo conferisce loro un potere non banale. Il GDPR è un esempio di come l’Unione Europea riesca ad imporre i suoi regolamenti anche a società non europee.
Perché manca un polo europeo
Il secondo ostacolo, sicuramente il più critico per autonomia e sovranità digitale, è la mancanza di un polo di sviluppo tecnologico, o tecnosfera secondo il rapporto, europeo. L’analisi, estremamente condivisibile, del rapporto indica che attualmente vi sono due poli per lo sviluppo delle varie tecnologie critiche per l’informatica quali la cybersecurity, l’intelligenza artificiale e il cloud. I due poli sono quello USA e quello cinese. L’unico settore dove l’Europa vanta ancora una presenza significativa è quella del 5/6 G. A riprova dell’esistenza di solo due poli, delle prime 20 società tecnologiche per capitalizzazione all’inizio del 2022, 10 sono americane, 5 cinesi e le rimanenti vengono da Giappone, Corea e Taiwan. Gli unici fornitori di tecnologia europea sono Ericsson e Nokia.
La Russia non costituisce una tecnosfera distinta ed autonoma. Possiede indubbie competenze di cybersecurity come dimostrato dagli attacchi sofisticati che è in grado di realizzare ma queste competenze operano in modo parassitico su tecnologie sviluppate da altri, la tecnosfera USA in particolare, e non portano ad uno sviluppo autonomo di nuova tecnologia e nuovi prodotti. A conferma, ricordiamo gli impatti delle sanzioni europee sulla produzioni di armi che è in crisi perché richiede componenti prodotti da aziende occidentali. Considerazioni simili si potrebbero fare per Israele che il rapporto, però, non cita.
Gli impatti della competizione USA e Cina
La competizione tra le tecnosfere degli USA e della Cina ha vaste ripercussioni. Ad esempio, la tecnosfera cinese si focalizza su temi importanti per uno stato dittatoriale quali la sorveglianza dei cittadini. Altre caratteristiche sono la produzione su larghissima scala ed i costi ridotti che hanno favorito l’adozione dei prodotti della tecnosfera cinese in molte infrastrutture dei vari paesi europei. Il tutto supportato e diretto da uno stato non democratico che ha pubblicato strategie e dichiarato ufficialmente che si prefiggge di dominare il settore tecnologico alla metà del prossimo decennio. La tecnosfera USA basata su grandi multinazionali ha una attenzione maggiore all’integrazione di pubblico e privato. Inoltre, sia l’amministrazione Trump che quella Biden hanno adottato prima e confermato poi, una politica estera che spinge le nazioni a preferire le soluzioni della tecnosfera USA a quelle cinesi.
L’Europa non ha attualmente una propria tecnosfera come confermato dalla mancanza di un player europeo nel settore dei cloud e nell’intelligenza artificiale. Il mancato sviluppo di una propria tecnologia, in questi ed altri settori, forza ad utilizzare fornitori non europei anche per cloud nazionali ed indebolisce l’Europa anche nel settore della cybersecurity che per sua natura richiede conoscenze verticali nei vari settori.
Due alternative per l’Europa
L’Europa deve scegliere tra l’adesione alla tecnosfera USA e lo sviluppo di una propria tecnosfera e quindi acquisire una propria autonomia e sovranità digitale. Un’adesione alla tecnosfera cinese non appare possibile o auspicabile visto il forte legame tra questa tecnosfera ed uno stato non democratico. Ovviamente, tutti auspichiamo lo sviluppo di una tecnosfera europea anche perché l’adesione alla tecnosfera USA limiterebbe anche il potere regolatorio dell’Unione Europea. Lo sviluppo di una tecnosfera europea richiede innanzitutto, come evidenzia il rapporto, l’accettazione da parte dell’Europa della sua debolezza e poi una politica industriale che favorisca la nascita di giganti europei nei vari settori e questo può richiedere un nuovo atteggiamento verso la concorrenza.
Il rapporto tra autonomia e cybersecurity
Per quanto riguarda il legame tra autonomia e cybersecurity si deve essere d’accordo con la conclusione del rapporto: non può ottenere la cybersecurity rendendo sicura la tecnologia prodotta da altri. Occorre disporre di una propria tecnosfera perché questo è l’unico modo di capire dove e come operare per migliorare la propria sicurezza. Le rivelazioni di Edward Snowden sullo spionaggio a larga scala realizzato dagli USA sui propri alleati conferma la necessità di autonomia e può spiegare le dure frasi del direttore del BSI che aveva ben presente lo spionaggio sulla cancelliere Angela Merkel. Affrontare e risolvere i problemi legati alla nascita di una tecnosfera europea è indubbiamente più complesso che trovare un fornitore per sostituire Kaspersky.
