Allo scopo di garantire che le politiche di sicurezza all’interno dell’Unione Europea siano fondate su valori comuni, tra cui il rispetto dello Stato di diritto, l’uguaglianza e la tutela dei diritti fondamentali, nonché per assicurare la trasparenza, la responsabilità e il controllo democratico, nel luglio del 2020 la Commissione europea ha presentato la “Strategia dell’UE per l’Unione della Sicurezza”.
Essa si fonda essenzialmente sul concetto per cui la sicurezza e il rispetto dei diritti fondamentali non rappresentano obiettivi contrastanti, bensì coerenti e complementari, spetta all’UE il compito di assicurare un ambiente sicuro per tutti coloro che vivono in Europa, indipendentemente da razza o origine etnica, religione, convinzioni personali, genere, età o orientamento sessuale. La Strategia copre il periodo 2020-2025 e si concentra su alcuni settori prioritari in cui l’UE può supportare i singoli Stati membri in tal senso. Si tratta, in realtà, di un percorso avviato diversi anni fa dalle istituzioni comunitarie, a partire dalla Comunicazione della Commissione “Attuare l’Agenda europea sulla sicurezza per combattere il terrorismo e preparare il terreno per l’Unione della sicurezza” dell’aprile 2016.
Il contesto della strategia
Il documento strategico si incentra sulla creazione di competenze per garantire un ambiente di sicurezza adeguato alle esigenze future, definendo un approccio esteso a tutta la società in grado di rispondere in modo efficace e coordinato a minacce – fisiche e digitali – in rapida evoluzione. Gli elementi richiamati dalla Strategia sono molteplici e vanno dalla cyber-criminalità agli attacchi ibridi da parte di soggetti statali e non statali, fino al terrorismo e alla criminalità organizzata. Innanzitutto, viene sottolineato quanto la società attuale dipenda dai sistemi online per fare impresa, consumare prodotti e usufruire di servizi, con l’inevitabile conseguenza di rappresentare terreno fertile per il cosiddetto “cybercrime-as-a-service” e, più in generale, per l’economia cybercriminale che utilizza le nuove tecnologie ancor prima e forse più efficacemente degli attori leciti. Peraltro, si evidenzia come le politiche industriali aggressive, combinate allo spionaggio industriale favorito dalle tecnologie ICT, abbiano un impatto significativo sull’economia, l’occupazione e la crescita nel contesto europeo. Difatti, secondo lo studio “The scale and impact of industrial espionage and theft of trade secrets through cyber” (2018) il furto informatico di segreti commerciali costa all’UE circa 60 miliardi di euro. A ciò va aggiunto anche l’effetto disruptive della combinazione di attacchi cibernetici e ibridi da parte di soggetti state-sponsored, che possono danneggiare gravemente le infrastrutture critiche europee e nazionali, perpetrare pericolose campagne di disinformazione e radicalizzare l’ambiente e il confronto politico democratico. Allo stesso tempo, in un simile scenario le minacce ormai più consolidate continuano ad evolversi. Nonostante nel 2019 si sia registrata una diminuzione degli attentati terroristici, il rischio per i cittadini UE di subire un attacco jihadista effettuato o ispirato da Da’esh e al-Qaeda e i loro affiliati rimane elevato. La grande maggioranza di tali eventi è caratterizzata da “tecnologia bassa” e riconducibile a soggetti che agiscono da soli in spazi pubblici, impiegando le potenzialità della propaganda online, che ha assunto un nuovo significato a partire dalla diretta streaming degli attacchi di Christchurch. In aggiunta, va considerata la contestuale evoluzione delle minacce esistenti di pari passo al progresso digitale, basti pensare all’esempio lampante dei gruppi afferenti alla criminalità organizzata che hanno approfittato della carenza di alcuni beni per creare nuovi mercati illegali, oltre alla maggiore facilità per i criminali e i terroristi di avere accesso ad armi da fuoco sul mercato online o alle nuove tecnologie come la stampa 3D, l’intelligenza artificiale e la robotica.
I 4 pilastri della strategia
Ciò premesso, la Strategia si struttura su quattro obiettivi:
- Un ambiente della sicurezza adeguato alle esigenze del futuro, pillar che si suddivide a sua volta in tre ambiti di intervento: protezione e resilienza delle infrastrutture critiche, cibersicurezza e protezione degli spazi pubblici;
- Affrontare le minacce in evoluzione in materia di cibercriminalità, sviluppando moderne attività di contrasto, anche mediante la lotta ai contenuti illegali online e alle minacce ibride;
- Proteggere gli europei dal terrorismo e dalla criminalità organizzata, che costituisconole due priorità di intervento;
- Un forte ecosistema europeo della sicurezza, puntando sulla cooperazione e sullo scambio di informazioni, sul rafforzamento delle frontiere esterne, della ricerca e dell’innovazione in materia di sicurezza e accrescendo le competenze e la sensibilizzazione.
La relazione sullo stato di attuazione della strategia
Con l’obiettivo di tracciare gli sviluppi connessi all’implementazione della Strategia, la Commissione presenta regolarmente una relazione sui progressi compiuti, che lo scorso 15 maggio è giunta alla settima edizione, nell’ambito della quale si evidenzia come tutti i punti richiamati dalla Strategia del 2020 siano stati affrontati, mentre il completamento di alcuni è in attesa dell’approvazione da parte del Parlamento e del Consiglio. Inoltre, sono state incorporate nuove iniziative in virtù dell’evoluzione delle sfide in materia di sicurezza.
I risultati in 5 settori chiave
Appare opportuno evidenziare che la Relazione fa il punto sui progressi e sui risultati ottenuti in 5 settori chiave, essendo strutturata in maniera diversa rispetto alla Strategia.
Protezione delle infrastrutture fisiche e digitali dell’UE
Quanto al primo settore (protezione delle infrastrutture fisiche e digitali dell’UE), nel corso del tempo a livello comunitario sono stati emanati una serie di atti normativi – nella forma di regolamenti o direttive – che hanno imboccato questa direzione. Si pensi alla Direttiva CER (2557/2022) relativa alla resilienza dei soggetti critici e alla Direttiva NIS2 (2555/2022) relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, così come al Regolamento (UE) 2021/696 che istituisce il programma spaziale dell’Unione europea e l’Agenzia dell’Unione europea per il programma spaziale e il Regolamento DORA (2554/2022) relativo alla resilienza operativa digitale per il settore finanziario. Inoltre, ha assunto una maggiore centralità la certificazione della cybersicurezza, a partire dal Cybersecurity Act (Reg. 2019/881), passando per la recente adozione del primo schemo europeo di certificazione della cibersicurezza (EUCC) e alla preparazione di ulteriori due schemi (EUCS per i servizi cloud ed EU5G), fino a giungere alla proposta di Regolamento in tema di requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali (Cyber Resilience Act – approvato dal Parlamento UE lo scorso 12 marzo) e al nuovo Regolamento sull’identità digitale (2024/1183). Ulteriori interventi meritevoli di menzione in quest’ottica sono rappresentati dalla proposta di Regolamento denominata Cyber Solidarity Act, sul cui testo provvisorio è stato trovato un accordo lo scorso 6 marzo a seguito dei triloghi, nonché dall’istituzione dell’European Cybersecurity Competence Centre (ECCC) che sarà fondamentale per aumentare le capacità e la competitività dell’UE in materia di cybersicurezza grazie a investimenti condivisi in progetti strategici. Peraltro, non sono mancate iniziative per affrontare, da un lato, i rischi di cybersecurity posti dalle nuove tecnologie, tra cui rileva la Raccomandazione 2024/1101 della Commissione in cui si invitano gli Stati membri a sviluppare e attuare una tabella di marcia coordinata per la transizione alla crittografia post-quantistica e a sostenere lo sviluppo di algoritmi, dall’altro, criticità in termini di difesa e sicurezza attraverso la EU Cyber Defence Policy, come pure la Strategia spaziale dell’Unione europea per la sicurezza e la difesa (EUSSD).
Lotta al terrorismo e alla radicalizzazione
Il secondo settore chiave concerne la lotta al terrorismo e alla radicalizzazione, partendo dal presupposto per cui la minaccia terroristica sia ancora da considerarsi acuta e rischia di essere influenzata da conflitti al di fuori dell’UE. Difatti, secondo gli ultimi dati forniti da Europol lo scorso dicembre, nel 2022 gli Stati membri hanno segnalato 28 attacchi portati a termine, falliti o sventati, in aumento rispetto al 2021 (18 attacchi), seppur si sia registrato un valore ben al di sotto dei 56 attentati segnalati nel 2020. Per di più, l’aumento delle tensioni in alcune comunità degli Stati membri dopo l’attentato di Hamas del 7 ottobre scorso si è manifestato in tre eventi terroristici (Arras in Francia il 13 ottobre, Bruxelles il 16 ottobre e Parigi il 2 dicembre). Parallelamente, dalla medesima data sono in aumento nell’UE fenomeni quali la glorificazione del terrorismo e i discorsi d’odio, in particolare sotto forma di antisemitismo e odio antimusulmano. In questo contesto, gli strumenti a disposizione sono aumentati negli anni, a partire dalla Direttiva sulla lotta contro il terrorismo (2017/541) che è stata ormai implementata in tutti gli Stati membri, come pure il Reg. 2019/1148 relativo all’immissione sul mercato e all’uso di precursori di esplosivi e la EU Agenda on Counter-Terrorism, adottata nel dicembre 2020 per consentire all’UE di poter anticipare, prevenire e rispondere più efficacemente alla minaccia terroristica. In particolare, ad aprile 2021 è stato adottato il Reg. 2021/784 per contrastare la diffusione di contenuti terroristici online e ridurre in tal senso il rischio di radicalizzazione sul web, obbligando i fornitori di servizi di hosting a rimuovere i contenuti terroristici o a bloccarne l’accesso entro un’ora dal ricevimento di un ordine di rimozione da parte delle autorità degli Stati membri. Ad oggi 23 Paesi hanno nominato le rispettive autorità competenti, che nel periodo compreso tra giugno 2022 e aprile 2024 hanno emesso circa 500 ordini di rimozione, mentre per gli altri sono state avviate le dovute procedure di infrazione. In quest’ambito, si colloca anche il Reg. 2022/2065 (Digital Services Act), divenuto applicabile dal 17 febbraio scorso, imponendo una serie di obblighi per tutte le piattaforme digitali in merito al contrasto dei contenuti illegali.
Lotta alla criminalità organizzata e al cybercrime
Il terzo settore chiave si focalizza sulla lotta alla criminalità organizzata e ad altre forme di criminalità (traffico di droga, beni ed esseri umani, reati di stampo ambientale, economico e finanziario), tra cui il cybercrime. Su quest’ultimo punto, la Relazione dedica particolare attenzione alle numerose iniziative messe in campo dall’UE per fronteggiare problematiche quali l’abuso sessuale dei minori e la violenza di genere.
Rafforzamento della cooperazione giudiziaria e di polizia
Il quarto settore chiave è incentrato sul rafforzamento della cooperazione giudiziaria e di polizia, nell’ambito del quale la Commissione ha recentemente adottato il Police Cooperation Package, contenente tre diversi proposte: la Raccomandazione del Consiglio sulla cooperazione operativa di polizia (COM/2021/780); la Direttiva relativa allo scambio di informazioni tra le autorità di contrasto degli Stati membri (COM/2021/782); il Regolamento sullo scambio automatizzato di dati per la cooperazione di polizia (“Prüm II”) (COM/2021/784). L’intento è quello di rafforzare la prevenzione, l’individuazione, l’investigazione e il perseguimento dei reati di terrorismo e dei crimini gravi, oltre a efficientare i procedimenti ed evitare casi di impunità. Tali attività includeranno l’utilizzo dell’intelligenza artificiale, riconosciuta – si legge nella Relazione – come una tecnologica cruciale a disposizione degli attori della sicurezza e del law enforcement.
Cooperazione con i partner internazionali
L’ultimo settore chiave riporta una serie di azioni attuate attraverso la cooperazione con i partner internazionali, partendo dal presupposto per cui la sicurezza interna ed esterna dell’UE siano sempre più interconnesse. A titolo esemplificativo, la Commissione ha agito rapidamente per prevenire le minacce alla sicurezza interna derivanti dalla guerra di aggressione della Russia contro l’Ucraina, anche attraverso la creazione di un apposito centro di supporto e la gestione delle frontiere in Moldavia. Inoltre, l’UE ha potenziato la collaborazione con i Paesi partner, operando a stretto contatto con l’ONU e la NATO. Difatti, con quest’ultima organizzazione, a gennaio 2022 è stata lanciata l’iniziativa “Structured Dialogue on Resilience”, rafforzata in seguito con la EU-NATO Task Force sulla resilienza delle infrastrutture critiche, che a giugno scorso ha consentito di mappare le sfide di sicurezza in quattro settori strategici: energia, trasporti, infrastrutture digitali e spazio. Allo stesso tempo, la cooperazione con i partner internazionali ha interessato, fra l’altro, tematiche connesse alla cybersicurezza, al contrasto al terrorismo e alle minacce ibride.
Conclusioni
L’UE si impegna da tempo per garantire la sicurezza nelle sue diverse forme, rafforzando i propri mezzi di prevenzione, indagine e contrasto utili a rispondere alle esigenze nascenti da una “società del rischio” come quella attuale. La Strategia ha consolidato gli strumenti di sicurezza comunitari, costituendo una base forte per la protezione dei cittadini europei oggi e nel futuro prossimo. Le nuove tecnologie contribuiscono al raggiungimento di tali obiettivi, pur rappresentando spesso la causa di significative preoccupazioni, essendo esse stesse impiegate da soggetti malevoli per porre in pericolo target di vario interesse. La criminalità organizzata, il terrorismo, il cybercrime, rispondono agli stimoli dello sviluppo digitale e tecnologico, amplificando gli effetti di condotte illecite tradizionali. Perciò, è necessario dotarsi di un apparato regolatorio forte ed efficiente, attribuendo alla cooperazione internazionale l’importante rilievo che merita.
