Nelle ultime settimane, è stata riconosciuta al Ministero della Difesa la possibilità di mettere in atto misure di rappresaglia nel dominio cibernetico, per reagire ad attacchi informatici. Tale decisione, attuata attraverso una modifica del Codice dell’Ordinamento Militare (COM), ha sollevato un grande dibattito, tra gli addetti ai lavori, circa la capacità di tale misura di esercitare deterrenza nei confronti di attori di minaccia, siano essi statali o meno.
L’Italia potrà utilizzare le operazioni di cyber defence per rispondere agli attacchi informatici contro le infrastrutture nazionali. È quanto ha dichiarato il sottosegretario alla difesa Giorgio Mulé, sottolineando come ciò sia stato possibile grazie a un dibattito parlamentare che ha portato alla modifica dell’articolo 88 del Codice dell’Ordinamento Militare (COM). Nello specifico, l’articolo 88 del COM prevedeva: “Lo strumento militare è volto a consentire la permanente disponibilità di strutture di comando e controllo di Forza armata e interforze, facilmente integrabili in complessi multinazionali, e di unità terrestri, navali e aeree di intervento rapido, preposte alla difesa del territorio nazionale e delle vie di comunicazione marittime e aeree”. Alle unità militari terrestri, navali e aeree sono state aggiunte quelle “cibernetiche e aerospaziali” e, oltre alla difesa dei domini già previsti (terra, acqua e aria), viene integrata quella relativa a “infrastrutture spaziali e dello spazio cibernetico in ambito militare”.
Tale aggiornamento è dovuto alla necessità di trovare un modo efficace per contrastare le minacce informatiche, in uno scenario caratterizzato dall’evoluzione continua e dall’intensificazione degli attacchi informatici. Il conflitto russo-ucraino, in particolare, ha acuito le preoccupazioni in merito alla vulnerabilità delle infrastrutture nazionali. La situazione geopolitica, infatti, determinando un repentino incremento degli attacchi informatici, ha sollevato – in Italia – un grande dibattito, prima assente, su alcune problematiche del cyberspazio, quale ad esempio la cyberwar.
Lo scorso marzo, all’indomani dell’attacco informatico che ha colpito Trenitalia e che ha determinato la disattivazione precauzionale dei sistemi fisici di vendita dei biglietti, Enrico Borghi, componente del Comitato parlamentare per la sicurezza della Repubblica (Copasir) e membro della IV Commissione Difesa, ha annunciato una proposta di legge che prevedeva la possibilità di rispondere agli attacchi informatici attraverso misure di rappresaglia intra-domain, ovvero nel cyberspazio. Anche l’Avv. Stefano Mele ha evidenziato l’importanza di dotarsi di strumenti normativi che permettano di reagire ad attacchi informatici.
Dietro all’importanza attribuita alla cosiddetta “active cyber defence”, c’è la convinzione che la capacità di difendersi attraverso operazioni offensive funga da deterrente contro futuri attacchi informatici. Molti esperti del settore sostengono, infatti, che sia necessario poter rispondere agli attori di minaccia, in modo tale da spingerli ad astenersi da azioni offensive. Secondo taluni, quindi, il motto “la miglior difesa è l’attacco” è particolarmente vero nel cyberspazio.
Le limitazioni della cyber deterrence
Tale teoria trova numerose limitazioni da un punto di vista empirico. La deterrenza applicata al cyberspazio è un argomento molto dibattuto negli Stati Uniti e molti studiosi sono arrivati alla conclusione che una tale strategia non possa funzionare per le caratteristiche intrinseche del dominio cibernetico. Prevedere la possibilità di rispondere agli attacchi informatici con azioni della stessa natura equivale ad adottare un approccio di tipo deterrence by punishment, attraverso cui uno Stato minaccia di utilizzare le proprie capacità offensive (retaliation) in caso di un attacco da parte dell’avversario. Adottare una strategia di questo tipo, richiede 2 elementi fondamentali: capacità e volontà. Lo Stato deve possedere le capacità necessarie per mettere in atto l’azione minacciata e deve essere disposto a farlo. Un ulteriore elemento è dato dal signaling, ossia la capacità dello Stato di manifestare la volontà di esercitare deterrenza. Dimostrare le proprie capacità nel cyberspazio rappresenta una grande problematica. Se uno Stato dichiarasse al proprio avversario di essere in grado di sfruttare specifiche vulnerabilità, ad esempio, l’avversario ricorrerebbe a misure di mitigazione tali da rendere inutilizzabili le capacità dimostrate.
Tutto ciò, ovviamente deve essere percepito dall’avversario, altrimenti la deterrenza risulta inefficace. Uno Stato potrebbe essere in grado di comunicare in modo efficace la minaccia e potrebbe possedere le capacità di esercitarla realmente, ma l’avversario potrebbe non recepire la comunicazione in modo efficace e proseguire con il proprio corso di azione (attacchi informatici), rendendo inefficace la strategia di deterrenza. L’approccio di deterrence by punihsment applicato al cyberspazio risulta complesso per un altro motivo. Al fine di poter esercitare una minaccia, è necessario individuare l’attaccante. Nel dominio cibernetico, il processo di attribuzione risulta difficile e molto lungo. Questo porta a due considerazioni principali. Innanzitutto, il nemico deve percepire la minaccia come una misura di rappresaglia contro una propria azione. Qualora questa venga messa in atto dopo molto tempo dall’attacco, potrebbe perdere la sua funzione deterrente e, ancora peggio, l’avversario potrebbe vederla come un’azione offensiva, che contribuirebbe ad acuire il clima di tensione e insicurezza. Per evitare questo, uno Stato potrebbe agire in tempi più brevi, attribuendo l’attacco a uno specifico avversario, ma senza un’evidenza completa. Lo Stato potrebbe non essere in grado di individuare il reale responsabile e agire contro l’avversario sbagliato. Ciò non solo renderebbe inefficace la deterrenza, ma porterebbe ad un’azione offensiva, piuttosto che a una misura di rappresaglia.
Il nuovo approccio dell’Italia alle minacce informatiche si inserisce nel più ampio processo di “militarizzazione del cyberspazio”. Questo consiste in un maggiore focus, da parte dei policy-maker, sugli aspetti strategico-militari del cyberspazio e nello sviluppo di capacità cyber offensive al fine di contrastare le minacce informatiche. Tale processo, lungi dal determinare una diminuzione degli attacchi, ha contribuito a creare un clima di insicurezza e instabilità nel dominio cibernetico. Gli Stati, infatti, si sentono maggiormente vulnerabili se consapevoli che gli altri attori sono dotati di capacità militari tali da produrre effetti potenzialmente devastanti sulle proprie infrastrutture digitali.
La migliore difesa è una buona difesa
Per tutti questi elementi, non si può dire che, nel cyberspazio, la migliore difesa sia l’attacco. Come scriveva Martin Libicki, “la migliore difesa è una buona difesa”. Il caso degli Stati Uniti è esemplare. Sebbene sia il Paese con le capacità offensive più avanzate, è anche quello più colpito da attacchi informatici. Un approccio che potrebbe risultare più efficace potrebbe essere quello di deterrence by denial, volto a negare all’avversario il risultato sperato. Possono essere viste in questa ottica le misure di sicurezza previste dalla normativa relativa al Perimetro di sicurezza nazionale cibernetica, finalizzate ad incrementare il livello di cybersecurity delle infrastrutture critiche nazionali. Tuttavia, manca in questo caso un vero e proprio signaling da parte del governo, sia in merito alle capacità, sia in merito alla volontà.
Il Piano di implementazione della Strategia Nazionale di Cybersicurezza, poi, prevede, al punto 45, il rafforzamento delle capacità di deterrenza in ambito cibernetico. Ma non è chiaro quale sia la tipologia di approccio che si vuole adottare. Come già detto, la deterrence by punishment e la deterrence by denial, sebbene si basino su logiche analoghe, utilizzano strumenti differenti tra loro: nel primo caso capacità offensive, nel secondo capacità difensive. In assenza di una chiara indicazione in tal senso, è fondamentale che il governo, in linea con quanto fatto negli ultimi anni, continui a sfruttare e a indirizzare al meglio gli investimenti in cybersecurity, quali quelli previsti dal PNRR, al fine di creare un sistema di difesa efficace ed efficiente. Vista la complessità e la continua evoluzione dello scenario delle minacce e le complicazioni legate alla cyber deterrence, è necessario rafforzare le difese a livello nazionale, anche adottando un approccio basato su misure “threat led”, come fatto di recente da molti Paesi, tra cui l’Australia.
Davide Lo Prete,
Geopolitica.info