In un’epoca di crescente conflittualità ibrida, il cyberspazio è ormai riconosciuto come un dominio strategico al pari di quelli terrestre, marittimo, aereo e spaziale. L’Italia, consapevole della natura trasversale e globale della minaccia digitale, sta ridefinendo la propria postura cibernetica per integrare capacità difensive e offensive, in sinergia con gli alleati europei e NATO. L’evoluzione del quadro normativo e operativo avviata dal Ministero della Difesa si inserisce in un processo più ampio di maturazione strategica, che trova interessanti punti di riferimento nei modelli britannico, francese ed estone.
Durante il question time alla Camera del 12 novembre, il Ministro della Difesa Guido Crosetto ha presentato un piano di ridefinizione della strategia cyber nazionale che mira a conferire al dominio cibernetico un ruolo centrale per la difesa italiana. Al dichiarato “riconoscimento del dominio cyber come vero e proprio spazio di difesa nazionale” che riprende la formale definizione dello stesso come V° dominio operativo durante il Summit NATO di Varsavia ormai quasi 10 anni fa, si accompagna la costruzione di un corpo cyber (che il Ministro chiama, nel documento, “arma” a riprova del processo di militarizzazione che interessa lo spazio informatico) specializzato, costituito da circa 1200-1500 unità operative. L’architettura con cui il Ministero intende rispondere alla continua e crescente minaccia ibrida getta le fondamenta su direttrici normative e operative che orienteranno gli sforzi futuri e sulla sinergia con UE e NATO, con le quali è essenziale definire e condividere strategie che rafforzino la resilienza e la prontezza operativa non solo per reagire con efficacia ma anche per contrastare la guerra informativa.
Verso una postura cibernetica offensiva e un nuovo quadro normativo
L’inedita postura italiana che vuole integrare capacità offensive a quelle strettamente difensive necessita però di un complessivo riordino della struttura normativa del settore Difesa che Crosetto dichiara sarà oggetto di un disegno di legge e che consentirà la flessibilità essenziale ad agire prontamente e congiuntamente alle forze alleate in scenari ibridi. Già a settembre il DDL presentato dal presidente della commissione Difesa Nino Minardo sottolineava la necessità di agire sul piano normativo consentendo alle forze armate di intervenire direttamente nel cyber spazio anche in tempo di pace e al di fuori di scenari di guerra con operazioni e attacchi informatici mirati, riconoscendo alla Difesa, non più quindi solamente ai servizi segreti e all’intelligence, una certa autonomia operativa nello spazio digitale, sotto la supervisione del Ministero della Difesa, in sinergia con l’Agenzia per la Cybersicurezza Nazionale. Inoltre all’art.4 il DDL Minardo prevedeva la possibilità di “avvalersi del supporto di soggetti, persone fisiche o giuridiche, specializzati nel settore“ – o i comunemente chiamati hacker “di Stato” – nell’ambito di operazioni richiedenti specifiche capacità. Il piano annunciato da Crosetto alla Camera si inserisce allora in un contesto di generale attivismo nazionale che si integra nel dibattito europeo sulla sicurezza, resilienza e deterrenza cibernetica dell’Unione.
I modelli europei : tra deterrenza e capacità integrate
In un contesto di crescente conflittualità ibrida in Europa dove gli attacchi informatici a servizi governativi e infrastrutture critiche e dual use sono capaci di interrompere, destabilizzare, minare la sicurezza dei civili nonché la tenuta socio-economica e politica interna e comunitaria, è utile una disamina delle principali posture e strategie nazionali al fine di fornire un quadro d’insieme della situazione europea e valutare gli sforzi italiani in prospettiva.
Il Regno Unito, in prima istanza, nel 2020 ha istituito la National Cyber Force, che riunisce sotto un unico comando unificato il personale dell’agenzia di intelligence, informatica e di sicurezza GCHQ, del Ministero della Difesa, del Secret Intelligence Service (MI6) e del Defence Science and Technology Laboratory (DSTL), integrando sotto un’unica egida esperienza operativa del settore difesa, capacità tecnico-scientifiche e capacità di intelligence. Il compito principale della NCF britannica sarebbe dunque quello di operare nel cyberspazio per interrompere, negare, degradare e contrastare coloro che potrebbero nuocere al Regno Unito e ai suoi alleati, adottando dunque un approccio offensivo e deterrente. In linea con le necessità di scenario e operative del momento, sono previste riforme per una crescita cibernetica del Regno Unito che coinvolge anche la NCF.
Posta sotto diretta autorità del Capo di Stato maggiore della Difesa francese (CEMA), le Commandement de la Cyberdéfense (COMCYBER) riunisce tutte le forze di difesa cibernetica del Ministero. Il Comando opera in tre ambiti, Guerra informatica difensiva (DCL)
Guerra informatica offensiva (OCW), e guerra informatica di influenza (L2I): l’azione offensiva, in particolare, risponde a una strategia dedicata ma non isolata, in integrazione con la manovra militare convenzionale e come moltiplicatrice di effetti e in sinergia con la DGA (Direction Générale de l’Armement) che ne sviluppa gli strumenti e le capacità tecniche. Sintomo dell’adeguamento francese al contesto di militarizzazione del cyberspace, la strategia francese esplicita la necessità di un inquadramento normativo dell’azione cibernetica, che deve garantire gli standard umanitari e rispettare i principi internazionali dello jus ad bello, riconoscendo l’azione cyber come effettivo “uso della forza”.
L’esperienza estone come best practice di cooperazione civile-militare
La best practice europea è però rappresentata dalla struttura estone: a partire dall’attacco del 2007 che prese di mira siti web e organizzazioni governative, Tallinn ha intensificato la sua attenzione verso la cyberdifesa nella sua accezione “socio-statale”. Le Forze armate estoni nel 2018 hanno infatti costituito una componente militare dedicata al dominio cyber, il Comando informatico delle Forze di difesa estoni (in estone: Küberväejuhatus ), che risponde al Ministero della Difesa estone e si occupa di difesa, pianificazione, “information operations”. Carattere più peculiare è però la formazione di un’Unità di Difesa Cibernetica apposita all’interno della “Lega della Difesa”, che comprende specialisti volontari civili nel settore informatico. La Cyber Defence Unit (CDU) è inserita come unità strutturale della Estonian Defence League, un’organizzazione volontaria nazionale ma militarmente organizzata con una lunga storia. Fondata nel 1918 come forza armata volontaria poco dopo la dichiarazione di indipendenza estone dall’Unione Sovietica e poi sciolta negli anni ‘40, oggi la Lega fonda sull’attuale legge sulla Lega di difesa estone in vigore dal 2013, che opera una distinzione organizzativa tra la Lega e le forze di difesa estoni, sebbene in stretta sinergia, come riscontrabile nell’ambito di azione cyber. La missione della CDU in questo ambito è allora complementare alle forze regolari, incentrata in maniera specifica nello sviluppo di una rete di cooperazione fra volontari IT qualificati, settore pubblico e privato per la risposta in crisi, nel miglioramento della sicurezza delle infrastrutture critiche informatiche attraverso condivisione di informazioni e best practices e nella promozione della formazione e addestramento. Il ruolo della CDU è riconosciuto in diversi documenti legislativi e Strategie Nazionali redatte annualmente, oltre che essere integrato esplicitamente e formalmente nel sistema di difesa nazionale fornendo un obiettivo stabilito legalmente e un quadro di riferimento per l’azione e il funzionamento in linea con le priorità e l’azione delle forze armate.
Il modello estone dimostra che nel contesto odierno la modularità e flessibilità della risposta cibernetica è essenziale: rispondere con una struttura che include by – design la cooperazione civile-militare e l’integrazione pubblica-privata contribuirebbe all’ottimizzazione delle capacità nazionali e allo sviluppo di risposte rapide e efficaci in un ambito come quello d’interesse in cui i confini tra civile e militare sono sempre più sfumati.
L’Italia e la prospettiva di un modello integrato
Riconoscendo l’importanza degli sforzi recenti di Roma nel disegnare una strategia cyber al passo con le minacce emergenti, il modello estone e in particolare l’integrazione sinergica di capacità civili nella struttura di cyber deterrence risultano d’esempio. Anche l’Italia ha assunto consapevolezza riguardo il carattere multiforme della sicurezza informatica che non è più solo questione di difesa tecnica ma richiede anche capacità investigative, giuridiche, tecnologiche e di intelligence in interazione profonda e costante. L’intento del Ministero è infatti quello di creare un organico misto, con una forte cooperazione civile e militare che consentirebbe di sfruttare competenze d’intelligence e operative tipiche delle forze armate, insieme all’esperienza tecnica e specialistica del mondo accademico, industriale e degli operatori privati della sicurezza informatica. Un’impostazione simile, sulla falsariga del modello estone e apprendendo dalle esperienze francesi e britanniche rispetto alle capacità offensive integrate e autonome, consentirebbe di concentrare gli sforzi dell’apparato militare sulle attività a maggiore valore strategico-offensivo mentre la componente civile contribuirebbe in modo strutturato alla resilienza, alla formazione e alla gestione delle crisi diffusa. L’Italia sembra allora intraprendere i primi e assertivi passi verso la maturazione di una strategia di cyber difesa e deterrenza olistica, capace di coniugare prontezza operativa, innovazione e integrazione civile-militare a patto che lo sviluppo e l’ancoraggio normativo accompagnino quello tecnico/operativo e che viga chiarezza circa i mandati e le ripartizioni di competenze e responsabilità, assicurando al contempo flessibilità e unitarietà.
