Lo scorso 12 marzo, l’Open Ended Working Group (OEWG) sugli sviluppi nel campo delle tecnologie dell’informazione nel contesto della sicurezza internazionale dell’ONU ha approvato, per consenso, il suo rapporto finale. È emersa la necessità di una maggiore cooperazione interstatale nel cyberspace per raggiungere la pace e la stabilità. L’Italia ha svolto un ruolo di primo piano nel consesso, ma a livello nazionale, nonostante la crescita delle minacce, sono ancora troppe le carenze.
Sicurezza internazionale e minacce informatiche
Negli ultimi anni la sicurezza cibernetica è divenuta, sempre più, un fattore fondamentale per la sicurezza internazionale. In questo mutato contesto, molti Stati, organizzazioni regionali e internazionali hanno ritenuto necessaria la creazione di framework normativi e assetti organizzativi che da un lato consentissero una risposta concreta alle minacce e agli attacchi informatici e dall’altro fungessero quale deterrente contro gli stessi.
La decisione delle Nazioni Unite di creare, nel 2019, l’OEWG rispecchia la necessità di raggiungere una condivisione di intenti nel cyberspace. L’organizzazione internazionale ha, infatti, riconosciuto che gli sviluppi nel campo delle tecnologie dell’informazione e della comunicazione (TIC) hanno implicazioni per i tre pilastri dell’azione dell’ONU: la pace e la sicurezza, i diritti umani e lo sviluppo sostenibile. In particolare, è stato evidenziato come la crescente presenza di attori malevoli nel cyberspazio potrebbe minare la stabilità e la sicurezza internazionale.
Il dibattito nell’OEWG
Il Working Group ha fornito la possibilità, per gli Stati che vi hanno preso parte, di proporre la propria visione in merito allo sviluppo di nuove leggi, regole e principi da applicare nel dominio cibernetico. L’OEWG ha reiterato le raccomandazioni adottate dal Group of Governmental Experts (GGE) on Developments in the Field of Information and Telecommunications in the Context of International Security del 2015. Quest’ultimo ha sottolineato la necessità di una maggiore cooperazione tra i Paesi, l’importanza che questi non supportino attività malevoli contro le infrastrutture critiche di altri Stati e, infine, l’urgenza di proteggere le infrastrutture critiche nazionali dalle minacce.
A differenza del GGE, che era limitato a 20 Stati partecipanti e a cui non ha preso parte l’Italia, l’OEWG, ha visto la partecipazione di circa 150 tra Stati e osservatori. È interessante notare come il gruppo sia stato istituito su proposta della Federazione Russa, a differenza dell’attuale GGE, nato nel 2019 con una risoluzione statunitense e composto da soli 25 Stati.
Dal report emergono due elementi molto interessanti. Da un lato si riconoscono le capacità che gli attori non statali hanno acquisito nel settore TIC, determinando un serio pericolo per la sicurezza delle nazioni. Dall’altro si prende consapevolezza dell’importanza degli attori privati, soprattutto nella gestione delle infrastrutture critiche. Proprio da ciò, emerge la necessità di rafforzare la cooperazione non solo interstatale, ma anche tra pubblico e privato.
Nelle discussioni tra i vari delegati sono emerse delle posizioni contrastanti. Da un lato alcuni membri, quali Russia, Iran, Siria, Cuba ed Egitto, supportati dalla Cina, hanno posto l’attenzione sulla necessità di adottare nuove regole per governare il cyberspazio, in quanto quelli vigenti – facoltative e non vincolanti – sarebbero insufficienti ad assicurare la pace e la stabilità. Dall’altro lato i membri dell’UE, gli Stati Uniti e altri Paesi hanno giudicato adeguato il framework normativo adottato dagli Stati nell’Assemblea Generale delle Nazioni Unite nel 2015. In particolare, come ha notato un delegato della Nuova Zelanda, il problema principale non consiste nell’assenza di norme internazionali, ma nella loro mancata implementazione.
É interessante, poi, sottolineare come molti Paesi abbiano invocato il divieto di mettere in atto operazioni militari cyber e di sviluppare capacità offensive. Richiesta che risulta in contrasto con il trend globale, dato che fino al 2011 più di cento Stati avevano istituito unità militari o di intelligence dedicate alla cyberwarfare, come evidenziato da Noah Shachtman e Peter W. Singer in un interessante articolo.
Quale ruolo per l’Italia?
Dal report del Working Group si evince come i governi ritengano che il diritto internazionale, e in particolare la Carte delle Nazioni Unite, svolga un ruolo fondamentale per il mantenimento della pace e per la promozione di un settore TIC sicuro e stabile. Tuttavia, il diritto internazionale non è l’unico deterrente contro le azioni malevole nel dominio cyber. Le organizzazioni regionali sono uno strumento attraverso cui i Paesi possono costruire un contesto di fiducia e sicurezza. In questo senso, la cooperazione con gli Stati membri dell’UE rappresenta, per l’Italia, il preludio alla cooperazione in ambito internazionale.
Il report sottolinea l’importanza della creazione di Computer Emergency Response Teams o di Computer Security Incident Response Team (CSIRT) nazionali per il rafforzamento delle misure di confidence-building. L’istituzione del CSIRT italiano, operativo dal maggio 2020, è stato un passo importante per la cybersecurity nazionale. Ciò rientra nell’ambito dell’implementazione della Network and Information Security directive, direttiva europea approvata nel 2016 che, tra le altre decisioni, prevede la creazione di CSIRT nazionali e di punti di contatto. Questa misura è considerata dall’OEWG un elemento importante per incrementare la fiducia tra stati e, quindi, prevenire i “conflitti”.
L’Italia, parallelamente alla creazione del CSIRT, ha istituito il punto unico di contatto NIS all’interno del Dipartimento di informazione per la sicurezza (DIS) cui compete, secondo quanto riportato dal SISR “assicurare: a livello nazionale, il coordinamento delle questioni relative alla sicurezza delle reti e dei sistemi informativi e, a livello europeo, il raccordo necessario a garantire la cooperazione transfrontaliera delle Autorità competenti NIS italiane con quelle degli altri Stati membri, con il Gruppo di cooperazione (istituito presso la Commissione europea), e la rete dei CSIRT”. Se è vero, quindi, che la cooperazione è fondamentale per il mantenimento della pace e della stabilità a livello internazionale, il punto di contatto italiano, congiuntamente coi punti di contatto degli altri Stati membri, svolge un ruolo fondamentale per la garanzia della sicurezza dell’Unione e della comunità internazionale.
Oltre alla cooperazione, è essenziale – per garantire la stabilità e la sicurezza internazionale – che gli Stati siano in grado di rispondere efficacemente e prontamente alle minacce e agli attacchi informatici, attraverso la predisposizione di strutture adeguate e l’assunzione di personale preparato. È fondamentale, quindi, implementare le misure di capacity-building, fattore su cui l’Italia sembra procedere a rilento, soprattutto rispetto ad altri Paesi dell’UE (Francia in primis).
È vero, d’altronde, che in ambito cibernetico c’è una forte asimmetria di potere. Da un lato gli attori malevoli sviluppano capacità offensive potenzialmente senza limiti, se non quelli tecnologici. Dall’altro lato gli Stati investono in sicurezza informatica o in relazione alle loro possibilità o in relazione al livello dei rischi e delle minacce. Questi elementi, a cui si aggiunge l’impossibilità da parte delle vittime di conoscere l’attaccante e le sue tecniche, comportano un’enorme disparità tra le due parti. È altrettanto vero, però, che gli stati dell’UE, l’Italia in primis, spendono ancora troppo poco in cybersecurity, secondo quanto evidenziato dal NIS Investments report dell’ENISA.
In Italia, il Nucleo di sicurezza cibernetica è responsabile della gestione delle crisi derivanti da attacchi informatici. Ma la crisi deve essere un evento da scongiurare ed evitare. Ciò è possibile solamente grazie a un adeguato sistema di prevenzione che coinvolga tanto le infrastrutture pubbliche, quanto quelle private. Sebbene la relazione sulla politica dell’informazione per la sicurezza pubblicata a inizio marzo dal Sistema di informazione per la sicurezza della Repubblica (SISR) abbia messo in luce la crescita degli attacchi informatici in Italia e i maggiori rischi per la sicurezza nazionale, il Perimetro di sicurezza cibernetica non ha ancora ricevuto applicazione. La creazione del Perimetro – che rappresenta il perno centrale della protezione delle infrastrutture critiche – è stata annunciata dal governo nel 2019, ma solo uno dei quattro decreti ha ricevuto attuazione, mentre il secondo è stato approvato dalle Camere ed è in attesa di approvazione da parte del Consiglio dei ministri.
Se è vero, quindi, che la cooperazione in ambito UE rappresenta un elemento chiave per la sicurezza (informatica) nazionale, è altrettanto vero che l’Italia ha bisogno di maggiori investimenti pubblici in cybersecurity, di una più rapida implementazione delle misure per la protezione delle infrastrutture critiche e di creare maggiore consapevolezza delle minacce, anche alla luce della relazione del SISR. Ciò è necessario non solo per proteggere il sistema paese dalle minacce esterne, ma anche per permettere all’Italia di svolgere un ruolo di primo piano nell’UE e nella NATO, tenuto conto del nuovo approccio dell’amministrazione americana al cyberspace e degli investimenti in cybersecurity – pari a 1 miliardo di euro – annunciati dal presidente francese Macron.
Conclusioni
Sebbene il lavoro dell’OEWG non abbia portato a risultati “rivoluzionari”, è utile evidenziare alcuni elementi di novità. La sicurezza internazionale nel cyberspace è stata trattata per la prima volta da tutti gli stati membri delle Nazioni Unite. A differenza del GGE del 2015, infatti, il Working Group è stato aperto a tutti i Paesi che volessero parteciparvi. Per garantire la stabilità e la pace sarà necessario non solo raggiungere una comunità di intenti, ma anche una maggiore fiducia. Perciò, assume un ruolo fondamentale la cooperazione tra Stati, sia a livello internazionale che regionale.
Il report ha poi riconosciuto la necessità di risolvere due grandi problematiche legate al mondo informatico. Da un lato, è necessario colmare il digital divide esistente tra le diverse nazioni; dall’altro, è stata posta l’attenzione sull’ineguaglianza di genere, lanciando una sfida al gender gap esistente sia all’interno delle singole nazioni, sia a livello internazionale.
Viste le potenzialità implicite e le novità apportate dall’Open Ended Working Group, molto probabilmente questo diverrà il principale formato attraverso cui i membri delle Nazioni Unite discuteranno i temi delle TIC in futuro. Finora, infatti, gli Stati si sono riuniti attraverso il Gruppo di Esperti Governativi (GGE). L’ultimo di questi è stato creato nel 2019 e presenterà il proprio rapporto entro maggio.
Infine, il Programme of Action – a cui l’Italia ha aderito fin da subito – è stato individuato quale foro flessibile e adeguato a permettere negoziazioni e discussioni trasparenti sullo sviluppo di norme e sull’adozione di soluzioni condivise.
Per quanto sia difficile adottare una regolamentazione internazionale del cyberspace, ci si aspetta che il lavoro dell’OEWG abbia un seguito. I recenti attacchi (Solarwinds e Microsoft Exchange), perpetrati da state-sponsored actors hanno messo ulteriormente in luce la necessità di meccanismi che permettano di attribuire con più facilità la responsabilità e di comminare, di conseguenza, le adeguate pene o sanzioni.
Davide Lo Prete,
Geopolitica.info
