La guerra è tornata sulle nostre cartine geografiche e l’Italia prende nuove misure di prevenzione, anche a livello informatico. Il 9 agosto 2022, è stato approvato il cosiddetto decreto Aiuti bis, di cui l’articolo 37 afferma che, in caso di attacco informatico al paese, l’Italia potrà rispondere con una controffensiva cibernetica.
Può sembrare scontato, ma non lo è affatto: integrando gli attacchi informatici nella legislazione nazionale, il nostro paese si prepara di fatto alla guerra cibernetica, che da anni si affaccia periodicamente sulle prime pagine dei giornali ma senza rimanerci per molto tempo (fortunatamente) e che purtroppo, da quando è iniziata la guerra in Ucraina, è tornata a essere un tema molto discusso.
In questo post parliamo di questa norma del decreto Aiuti, della posizione assunta dall’Italia, delle implicazioni a livello di sicurezza nazionale e della guerra informatica in generale. Continua a leggere!
La controffensiva consisterà in misure di intelligence, ovvero operazioni dei nostri servizi segreti (AISI e AISE).
Il decreto Aiuti bis e la controffensiva cyber
La versione aggiornata del decreto legge è stata approvata includendo l’articolo 37 che parla appunto di controffensiva in caso di attacco cibernetico e indica chi dovrà valutare i casi ed entro quali limiti si potrà rispondere “al fuoco con il fuoco”.
Riportiamo il punto 1 dell’art. 37: “Il Presidente del Consiglio dei ministri, acquisito il parere del Comitato interministeriale per la sicurezza della Repubblica e sentito il Comitato parlamentare per la sicurezza della Repubblica, emana, ai sensi dell’articolo 1, comma 3, della legge 3 agosto 2007, n. 124, disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale.”
Le misure di contrasto saranno quindi attività di intelligence, ovvero operazioni dei nostri servizi di ricerca di informazioni per la sicurezza nazionale AISI e AISE (i nostri “servizi segreti”), che infatti vengono citate come le agenzie incaricate di attuare le controffensive autorizzate dopo un’attenta valutazione delle circostanze. Se vuoi, puoi leggere la versione completa dell’articolo e del decreto in questa edizione della Gazzetta ufficiale (scaricabile in formato PDF).
Perché questa nuova legge?
L’articolo 37 risponde alla necessità di proteggere il Perimetro di sicurezza nazionale cibernetica e fa parte di una serie di iniziative all’avanguardia che l’Italia sta lanciando per inglobare lo spazio digitale nella propria legislazione e giurisprudenza.
Negli ultimi anni, le infrastrutture critiche del nostro paese hanno già subito attacchi provenienti sia dall’interno sia da organizzazioni di altri paesi, come Killnet in Russia. Anche se non fosse scoppiata la guerra in Ucraina, l’Italia avrebbe dovuto comunque aggiornare il proprio quadro normativo. In questo senso, il nostro paese sta seguendo l’esempio e le direttrici dell’UE e questa sezione del DL Aiuti è sicuramente una buona notizia.
Semplificando al massimo, il nostro paese sta emanando leggi e creando enti per proteggere le persone online e le infrastrutture nazionali da cui dipendono l’integrità fisica dei cittadini e il corretto funzionamento dei servizi fondamentali italiani (ad es. reti di comunicazione, trasporti, sanità e così via).
LEGGI ANCHE: Sai cos’è il killware?
Problemi giuridici e limiti alla controffensiva
Il testo dell’articolo 37 è volutamente vago e parla di misure di intelligence senza utilizzare termini propri del campo bellico. Il problema è il rapporto tra il mondo online e quello offline. Molte azioni informatiche possono avere conseguenze anche fatali sulla vita delle persone, basti pensare a un attacco informatico a una centrale elettrica, a un ospedale o ai sistemi di guida assistita delle smart city.
La difficoltà sta nel definire la giusta controffensiva in base all’attacco e alle sue conseguenze: determinate reazioni potrebbero comportare la morte di persone o il danneggiamento di oggetti nel mondo reale e potrebbero costituire un reato, sia a livello nazionale che internazionale.
Si tratta di una delle grandi sfide del nostro tempo: adeguare le leggi alla digitalizzazione e al cyberspazio. Quando il Governo dovrebbe autorizzare una risposta informatica a un attacco? Quando può intervenire mobilitando addirittura la forza militare? Se l’incidente è causato da un gruppo criminale di un altro paese, la risposta verrà considerata un atto di guerra? Queste sono solo alcune delle domande a cui tutti paesi del mondo stanno cercando di rispondere. Se ancora non è stata trovata una soluzione a questi problemi è perché una risposta affrettata potrebbe compromettere le relazioni diplomatiche tra paesi e far scoppiare nuovi conflitti.
Una delle grandi sfide del nostro tempo è adeguare le leggi alla digitalizzazione e al cyberspazio.
Il ruolo dei servizi segreti e il vero impatto di questo decreto
Secondo vari esperti di giurisprudenza, l’art. 37 del nuovo decreto Aiuti formalizza la responsabilità e il ruolo dei nostri servizi di intelligence, attribuendo loro funzioni che nella pratica svolgono già da tempo, ma che dovevano essere attribuite ufficialmente a qualcuno.
Se a questa norma uniamo la creazione dell’Agenzia per la Cybersicurezza Nazionale e le direttive che l’Italia sta discutendo per allinearsi alla strategia europea per la sicurezza informatica, otteniamo un quadro di insieme più chiaro: l’Italia e l’Europa (e probabilmente anche la Nato) si stanno preparando a far fronte a nuovi scenari di guerra cibernetica o di guerra ibrida, per cui hanno iniziato a creare organizzazioni governative e assegnare funzioni per mettere in piedi un sistema di vigilanza e protezione cibernetica nazionale.
In questo ambito, i servizi di intelligence sembrano avere ancora un ruolo predominante, perché gli stati preferiscono reagire agli attacchi informatici con altre operazioni di intelligence cibernetica, piuttosto che denunciare l’incidente di fronte alla comunità internazionale e creare nuovi conflitti.
Il ritmo con cui i membri dell’UE hanno cominciato a prendere iniziative di questo tipo sta aumentando. L’Italia si sta muovendo molto rapidamente e sta adottando misure di sicurezza, prevenzione e risposta per proteggere i propri cittadini e tutelare la loro privacy online. Nei prossimi mesi e anni assisteremo a grandi cambiamenti nel settore pubblico della cybersicurezza e otterremo finalmente alcune risposte alle tante domande che abbiamo visto in questo post.
Speriamo che le scelte dei futuri legislatori siano efficaci e che, contemporaneamente, possano preservare il delicato equilibrio tra le potenze mondiali, senza innescare una serie di azioni e reazioni nel cyberspazio a cui potrebbero seguire conseguenze nel mondo fisico.
CONTINUA A LEGGERE: Gli hacker sono diventati imprenditori
Buona navigazione e buona lettura dell’art. 37 del DL Aiuti!