Nell’ultimo anno, l’evoluzione dello scenario geopolitico globale ha avuto un notevole impatto sul cyberspazio, determinando un incremento degli attacchi e una rapida evoluzione delle minacce. Tale fenomeno è confermato anche dalla Relazione annuale del Comparto Intelligence che include quella cyber tra le principali minacce per la sicurezza della Repubblica.
Il mutato scenario geopolitico: l’invasione dell’Ucraina
In linea con il trend negativo dell’ultimo decennio, il 2022 è stato caratterizzato da un notevole incremento di attacchi informatici e da una rapida evoluzione delle minacce. Se tra il 2020 e il 2021 su tali fenomeni aveva influito profondamente la pandemia e i cambiamenti delle modalità di lavoro, lo scorso anno un evento, più di tutti gli altri, ha cambiato il mondo e anche il cyberspazio: l’invasione russa dell’Ucraina. La crisi energetica, umanitaria e di sicurezza globale è stata accompagnata, infatti, anche da un’escalation di attacchi nel dominio cibernetico. In particolare, sebbene all’inizio le attività ostili di Mosca nel cyberspazio fossero dirette principalmente contro le infrastrutture ucraine, successivamente numerosi gruppi state-sponsored hanno indirizzato i propri attacchi verso gli Stati alleati di Kiev e organizzazioni internazionali come UE e NATO, colpevoli di “condotte ostili” alla Russia, quali l’imposizione di sanzioni al Cremlino e aiuti economici e militari a Kiev per difendersi dall’invasione.
Come evidenziato da un recente report di Google, nel 2022 il numero di attacchi russi contro Paesi NATO è cresciuto del 300% rispetto al 2020. Dall’invasione dell’Ucraina a oggi, il Cyber Peace Institute ha registrato circa 600 attacchi contro i Paesi NATO, nell’ambito del conflitto russo-ucraino. L’Italia è stata particolarmente interessata da tali attacchi, come dimostrano i dati del Rapporto Clusit 2023, secondo cui gli attacchi contro infrastrutture nazionali nel 2022 sono aumentati del 169% rispetto al precedente anno. Tale trend negativo è ancora più preoccupante se si fa riferimento alle infrastrutture critiche. Secondo i dati pubblicati dalla Polizia Postale nel suo rapporto annuale, sono stati circa 13.000 gli attacchi informatici contro le infrastrutture critiche nazionali (+138% rispetto al 2021), registrati dal Centro Nazionale Anticrimine per la Protezione delle Infrastrutture Critiche (CNAIPIC).
La relazione del DIS 2022
La Relazione Annuale sulla Politica dell’Informazione per la Sicurezza, pubblicata a fine febbraio dal Comparto Intelligence, illustra le principali attività dei servizi di intelligence italiani volti a tutelare la sicurezza nazionale e identifica le principali minacce per lo Stato. La relazione di quest’anno dedica un intero capitolo, il primo, al conflitto russo-ucraino, evento che, più di altri, ha condizionato l’evoluzione delle minacce alla sicurezza, anche nel cyberspazio.
La relazione, infatti, mette in luce come l’invasione dell’Ucraina abbia determinato un notevole mutamento dei target, degli attori e delle finalità delle attività malevoli nel dominio cibernetico. Se nel 2021 il principale obiettivo degli attacchi informatici erano le infrastrutture pubbliche (69%), nel 2022 i privati sono stati il target più colpito (56%). Poiché questi gestiscono la maggior parte delle infrastrutture digitali e data la profonda digitalizzazione del nostro Paese, un attacco alle aziende può avere un grande impatto in termini di sicurezza nazionale, aspetto che mette ancora più in evidenza il ruolo strategico che rivestono i privati nel cyberspazio. Tra questi, l’intelligence ha registrato un aumento degli attacchi a infrastrutture digitali/servizi IT (+16%) e contro soggetti che operano nel settore bancario (+6%). Gli attacchi contro i soggetti pubblici, invece, hanno interessato principalmente le Amministrazioni Centrali dello Stato (62% del totale) e infrastrutture IT riferibili a enti locali e strutture sanitarie (11% del totale).
Tra i principali attori, la relazione registra un incremento delle attività condotte da Stati o attori state-sponsored, elemento che è fortemente influenzato dal mutato scenario geopolitico. A ciò si accompagna l’incremento degli attacchi finalizzati a ottenere un vantaggio economico o strategico sulle vittime, che caratterizza principalmente gli attori di natura statuale, che spesso utilizzano il cyberspazio per bilanciare la propria inferiorità militare negli altri domini, attraverso l’acquisizione di informazioni strategiche (cyber espionage) o attraverso attacchi che mirano alla compromissione della continuità operativa di soggetti pubblici o privati. Sebbene poi la relazione evidenzi una diminuzione delle attività condotte da hacktivisti, dall’invasione dell’Ucraina, si è verificato un fenomeno abbastanza nuovo: il moltiplicarsi di attori non statali, perlopiù hacktivisti, che si sono schierati a favore dell’Ucraina o della Russia. Ciò ha reso ancora più mutevole il panorama delle minacce cibernetiche e ha complicato il processo di attribuzione, che rappresenta uno degli aspetti più critici del dominio cibernetico.
Potenziamento delle capacità di risposta dell’intelligence
Lo scorso anno, il governo, attraverso il Decreto-legge 9 agosto 2022, n. 115, convertito con modificazioni dalla Legge 21 settembre 2022, n. 142, ha attribuito al Presidente del Consiglio il potere di emanare “disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico”, la cui attuazione spetta all’Agenzia informazioni e sicurezza interna (AISI) e all’Agenzia informazioni e sicurezza esterna (AISE), sotto il coordinamento del DIS. Alle misure, la cui adozione è prevista dall’art. 37, il PdC può far ricorso previa consultazione del Comitato interministeriale per la sicurezza della Repubblica (CISR) e del Comitato parlamentare per la sicurezza della Repubblica (COPASIR) e solamente “in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale”.
La previsione di tali misure può rientrare nella più ampia volontà del governo di rafforzare le capacità dell’Italia di rispondere agli attacchi informatici e di esercitare deterrenza nel cyberspazio. Tale finalità è esplicitata anche nel Piano di implementazione della Strategia nazionale di cybersicurezza, il quale prevede, tra le priorità strategiche, di “rafforzare i meccanismi nazionali volti all’applicazione degli strumenti di deterrenza definiti a livello europeo e internazionale per la risposta ad attacchi cyber”. Sebbene tale strumento sia in linea con lo scenario internazionale, che sembra andare in direzione di un sempre maggiore utilizzo delle capacità offensive per rispondere ad attacchi informatici, le criticità relative all’approccio di deterrence by punishment sono molteplici, principalmente legate alle caratteristiche del cyberspazio.
Per poter rispondere a un attacco nel cyberspazio, infatti, è necessario identificarne il responsabile, elemento che spesso risulta difficile, poiché il cyberspazio è un dominio che favorisce l’anonimato. Inoltre, anche qualora la vittima identifichi l’attaccante, non è detto che proceda all’attribuzione, che però è necessaria per far comprendere all’attaccante che la misura di retaliation messa in atto è una risposta all’attacco subito e non un’azione meramente offensiva. In caso manchi questa connessione, la deterrenza risulterebbe inefficace o addirittura controproduttiva.
Per esercitare deterrenza, poi, è fondamentale convincere il nemico che si possiede la capacità e la volontà di mettere in atto una rappresaglia (signaling). Ciò significherebbe svelare al nemico le proprie armi cyber, con il rischio di renderle pressoché inefficaci. Ciò risulta particolarmente complesso, inoltre, in quanto il cyberspazio è caratterizzato da ambiguità e scarsa trasparenza, come dimostra uno studio del The Hague Centre for Strategic Studies, che mette in luce come le capacità offensive dichiarate dagli Stati siano nettamente inferiori a quelle percepite.
In definitiva, il 2022 ha dimostrato come la minaccia cibernetica sia particolarmente critica per la sicurezza nazionale, e come l’elemento geopolitico influenzi in modo profondo lo scenario delle minacce nel cyberspazio. Questo perché gli Stati utilizzano lo strumento cyber per raggiungere i propri obiettivi, influenzare il nemico e proiettare il proprio potere anche nel dominio cibernetico (cyber power), integrando sempre di più operazioni cinetiche e cibernetiche sul campo di battaglia. Il nuovo strumento normativo fornisce all’intelligence italiana un ulteriore elemento su cui far leva per garantire una difesa attiva degli interessi nazionali, che però si scontra con un dominio caratterizzato da instabilità, poca trasparenza e rapidi mutamenti.
