Nelle ultime settimane, il governo italiano si è dotato del potere di adottare misure di intelligence di contrasto in ambito cibernetico, messe in atto dall’Agenzia informazioni e sicurezza interna (AISI) e dall’Agenzia informazioni e sicurezza esterna (AISE). Tali misure possono essere viste nell’ottica di rafforzare le capacità di deterrenza del Paese nel cyberspazio, come previsto anche dalla Strategia nazionale di cybersicurezza, approvata lo scorso maggio. È necessario, tuttavia, analizzare la potenziale efficacia di queste nuove misure.
Decreto Aiuti bis
Lo scorso 9 agosto, è stato pubblicato in Gazzetta Ufficiale il Decreto-legge 9 agosto 2022, n. 115 recante “Misure urgenti in materia di energia, emergenza idrica, politiche sociali e industriali”, anche detto “Decreto Aiuti bis”. Di particolare interesse per l’ambito cibernetico risulta l’art. 37 che consente al Presidente del Consiglio di emanare “disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico”. Tali misure possono essere adottate previa consultazione del Comitato interministeriale per la sicurezza della Repubblica e del Comitato parlamentare per la sicurezza della Repubblica (COPASIR). Le misure, poi, possono essere adottate “in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale”. Le disposizioni normative, di fatto, non consentono al Presidente del Consiglio l’adozione di misure offensive in condizioni di “normalità”, ma solo in condizioni straordinarie, ossia qualora lo Stato si trovi ad affrontare una crisi o un’emergenza legata ad attacchi cibernetici che non sono affrontabili con misure di resilienza. Le misure verranno attuate, come previsto dal comma 3 dell’articolo, dall’Agenzia informazioni e sicurezza interna (AISI) e dall’Agenzia informazioni e sicurezza esterna (AISE), sotto il coordinamento del Dipartimento delle informazioni per la sicurezza (DIS).
L’approccio di deterrence by punishment
La nuova disposizione normativa può essere inquadrata nella volontà del governo di rafforzare la capacità dell’Italia di esercitare deterrenza nel cyberspazio, al fine di contrastare gli attacchi informatici considerati una minaccia per la sicurezza nazionale. Il Decreto prevede delle misure di retaliation, ossia di contrattacco, finalizzate a dissuadere i potenziali avversari dall’attaccare. Si tratta di un approccio di deterrence by punishment, volto a modificare il calcolo costi-benefici del potenziale attaccante, aumentando i costi di un attacco. Non è una novità per l’Italia, che di recente ha modificato il Codice dell’Ordinamento Militare (COM) per consentire alla Difesa di mettere in atto operazioni offensive nel cyberspazio per rispondere ad attacchi informatici. La modifica introdotta col Dl Aiuti bis, poi, è in linea con quanto previsto dalla Strategia nazionale di cybersicurezza. Nello specifico, il Piano di implementazione della strategia prevede il rafforzamento dei “meccanismi nazionali volti all’applicazione degli strumenti di deterrenza definiti a livello europeo e internazionale per la risposta ad attacchi cyber.”
Inoltre, viene evidenziata l’esigenza di “definire un documento sul posizionamento e sulla procedura nazionale in materia di attribuzione”. L’attribuzione è un elemento essenziale per poter esercitare deterrenza. Le azioni di rappresaglia devono essere rivolte contro l’autore dell’attacco. Il cyberspazio è un dominio che favorisce l’anonimato, pur tuttavia non rendendo impossibile risalire al responsabile dell’attacco. Sebbene, infatti, gli attori di minaccia utilizzino numerose e complesse tecniche per nascondere le proprie tracce (false flags, proxies, etc.), queste non garantiscono l’anonimato assoluto. Da un lato, infatti, gli attori di minaccia possono commettere errori che permettono alla vittima di individuare il responsabile dell’attacco; dall’altro lato, con l’evoluzione delle minacce, gli Stati si stanno dotando di misure più sofisticate che migliorano il processo di analisi forense necessario per l’attribuzione dell’attacco. Infine, molti studiosi hanno messo in luce come l’attribuzione non rappresenti un problema prettamente tecnico, ma bensì strategico-politico. Anche qualora uno Stato sia in grado di identificare il responsabile dell’attacco, non è detto che proceda all’attribuzione, privata o pubblica che sia. Tuttavia, questa è necessaria per far comprendere all’attaccante che la misura di retaliation messa in atto è una risposta all’attacco subito e non un’azione offensiva. In caso manchi questa connessione, la deterrenza risulterebbe inefficace o addirittura controproduttiva.
Lo Stato che sceglie di adottare un approccio di deterrence by punishment, poi, deve essere dotato della capacità e della volontà di mettere in atto l’azione di rappresaglia minacciata. Questi due elementi, tuttavia, non sono sufficienti a rendere credibile la minaccia. Nel caso della deterrenza nucleare, possedere un armamento nucleare era sufficiente a segnalare all’avversario le proprie capacità. Non si può dire lo stesso per quanto riguarda le armi cibernetiche. Il cyberspazio è caratterizzato da ambiguità e da poca trasparenza. Ciò è dovuto principalmente a due fattori. Innanzitutto, le armi cibernetiche sono dual-use, possono essere utilizzate sia in ambito civile sia per scopi militari. Un software può diventare un’arma a seconda della volontà di chi lo utilizza. Questo complica enormemente l’individuazione delle capacità offensive di uno Stato. In secondo luogo, spesso, gli Stati non hanno interesse a dichiarare le capacità di cui sono in possesso. Ciò è dimostrato da un recente studio del The Hague Centre for Strategic Studies, il quale mette in evidenza come per la maggior parte degli Stati, in particolar modo Cina e Russia, le capacità offensive dichiarate dagli Stati siano molto più basse di quelle percepite. La conseguenza è uno scarso livello di trasparenza nel cyberspazio. Per rendere credibile la minaccia inclusa nell’approccio di cyber deterrence è fondamentale, quindi, il signaling, ovvero comunicare all’avversario la capacità e la volontà di mettere in atto una specifica azione, nel caso in cui l’avversario decida di proseguire con il proprio corso di azione. È quindi necessario che lo Stato mostri all’avversario le capacità di cui è in possesso. Nel caso delle cyber weapons, ad esempio, potrebbe essere necessario che uno Stato, una volta scoperte delle vulnerabilità nei sistemi dell’avversario, dichiari a quest’ultimo di averle scoperte. Tuttavia, una volta messe in luce tali vulnerabilità, l’avversario farà – verosimilmente – di tutto per porvi rimedio. In tal modo, le cyber weapons, una volta rese note, diventerebbero inutilizzabili.
Sfide future
Gli elementi di criticità evidenziati mettono, quindi, in luce come l’approccio di deterrence by punishment non rappresenti il silver bullet della cybersecurity. È necessario chiarire che nel cyberspazio è inverosimile eliminare del tutto le attività malevoli. È più realistico un approccio che miri a limitare il numero degli attacchi e degli incidenti, in particolar modo quelli che interessano le infrastrutture critiche. Un simile approccio è quello adottato dall’Italia in ottica prettamente difensiva, che potremmo definire di deterrence by denial, attraverso l’implementazione del Perimetro di sicurezza nazionale cibernetica, finalizzato ad incrementare il livello di cybersecurity del Paese grazie al rafforzamento delle difese cyber delle infrastrutture critiche (Operatori di servizi essenziali). Nel caso della deterrence by punishment è utile o definire la soglia di danno accettabile, sopra la quale lo Stato metterà in atto misure di rappresaglia, oppure individuare quei target contro i quali lo Stato non ritiene accettabili attacchi informatici. Entrambi gli elementi presentano differenti problematiche.
Nel caso dell’Italia, il governo ha dichiarato la volontà di adottare misure di intelligence per contrastare minacce che coinvolgano aspetti di sicurezza nazionale al punto tale da determinare situazioni di crisi o di emergenza. La definizione del livello di impatto non è così netta, soprattutto perché non viene esplicitato cosa si intenda per “situazione di crisi o emergenza”. Inoltre, rendendo nota la volontà di rispondere solo agli attacchi che sono in grado di produrre tali effetti, il governo dichiara – implicitamente – di accettare attività malevoli sotto questa soglia di impatto. Poiché la maggior parte degli attacchi subiti finora non è stata tale da determinare situazioni di crisi o di emergenza, è difficile determinare quali attacchi superino tale soglia e, quindi, giustifichino una risposta.
Per quanto riguarda il secondo approccio, cioè la definizione dei target da considerare “off-limits” dagli attacchi informatici, molti Stati hanno preso una strada che si pone in continuità con quanto previsto dall’approccio di deterrence by denial. Questo si concentra in modo particolare sulle infrastrutture critiche, cioè quegli enti che erogano servizi essenziali per il Paese, la cui interruzione potrebbe rappresentare una seria minaccia per la sicurezza nazionale. Tuttavia, un approccio simile potrebbe risultare complesso nel caso della deterrence by punishment. Definire “off-limits” le infrastrutture critiche significherebbe identificare e comunicare ai propri avversari quelle infrastrutture che, se colpite, determinerebbero una risposta da parte dello Stato. Tuttavia, non esiste una visione condivisa a livello internazionale di cosa sia effettivamente un’infrastruttura critica. Stati Uniti, Unione europea e Cina, ad esempio, danno una definizione differente del termine. Un approccio di questo tipo, quindi, potrebbe non avere gli effetti sperati, in quanto gli avversari potrebbero non considerare “critiche” alcune infrastrutture che, per il governo italiano, lo sono e, quindi, non essere dissuasi dall’attaccare.
In conclusione, è necessario sottolineare come il mutamento di approccio dell’Italia sia un elemento positivo, in quanto consiste in un allineamento a quanto già previsto da altri Stati alleati, come gli Stati Uniti. La norma, poi, espande i poteri delle agenzie di intelligence e dà contezza della necessità di dotarsi di strumenti di risposta “intra-domain”, già evidenziata più volte da esperti e politici. Allo stesso tempo, tale strumento deve essere visto in ottica critica, per analizzarne nel concreto la potenziale efficacia in termini di deterrenza. Quello delineato dal governo sembra essere un approccio di “general deterrence” più che di “tailored deterrence”. Si tratta cioè di una deterrenza che non definisce bene i contorni della risposta (livello di impatto richiesto, avversari e minacce contro cui si rivolge). Sebbene tale approccio sia particolarmente adatto al cyberspazio poiché questo è un dominio caratterizzato da incertezza e scarsità di informazioni, questo può creare problemi di credibilità della minaccia e generare alcune ambiguità sulla soglia di danno accettato.