In un mondo digitalizzato e strettamente interconnesso, in cui trionfa l’automazione, il numero degli attacchi informatici è vertiginosamente salito, così come è cresciuta la loro gravità e sofisticazione. Nel mirino del cyber crime ci sono gli obiettivi governativi e i principali settori dell’economia.
Negli ultimi anni, e in particolare durante la pandemia di COVID-19, l’Europa ha visto crescere il numero di attacchi ai propri danni. Al fine di garantire un cyberspazio aperto e sicuro per tutti i suoi stati membri, l’Unione europea in questi anni ha adattato diverse strategie e ha messo in campo dei piani d’azione volti al contenimento delle minacce informatiche. Il rafforzamento delle normative a favore della cybersicurezza è una priorità assoluta per l’Unione europea ed è divenuta una necessità a seguito dell’invasione russa dell’Ucraina, data la minaccia di una cyberguerra.
Oggi si sente spesso parlare di cybersecurity, ovvero di sicurezza informatica, termine con il quale si fa riferimento a quell’insieme di strategie e azioni che vengono intraprese al fine di proteggere le proprie risorse digitali da possibili attacchi informatici come il furto di informazioni e il controllo di dispositivi elettronici.
Nel 2019 nell’UE sono avvenuti circa 450 attacchi alle infrastrutture di settori cruciali come quello energetico, dell’approvvigionamento idrico, dell’informazione, dei trasporti, fino a colpire il settore della sanità e della finanza. Negli ultimi anni, vi è stata una massiccia opera di digitalizzazione dei settori chiave dell’economia. Sebbene le tecnologie digitali facilitano la gestione e il controllo di diverse attività, tutti i settori della società sono costantemente esposti alle minacce informatiche. Un attacco informatico a settori cruciali dell’economia ha come effetto quello di bloccarne la produzione o l’erogazione di servizi essenziali. Negli ultimi 10 anni si è verificata una escalation di attacchi informatici sempre più sofisticati con l’obiettivo di carpire dati sensibili. Durante la pandemia da COVID-19, periodo in cui gran parte della vita delle persone si è svolta nella sfera digitale, i cyber attacchi hanno iniziato a moltiplicarsi. La crisi pandemica ha messo alla prova la sicurezza europea, testando quanto possano essere resilienti le infrastrutture critiche e i sistemi di gestione delle crisi europee.
L’invasione dell’Ucraina da parte della Russia ha avuto come effetto quello di intensificare gli attacchi informatici e minare la sicurezza all’interno de cyberspazio. Mosca usa il cyberspazio per agire in base alle sue aspirazioni geopolitiche, con l’obiettivo di rafforzare il suo ruolo di potenza globale e controllare organizzazioni che considera nemiche, come l’UE o la NATO.
I più recenti fatti di cronaca riportano che si sta conducendo una vera e propria cyberwar globale che si sta facendo sempre più aggressiva da parte di Mosca e dei suoi Paesi satelliti a scapito dei Paesi occidentali che sostengono l’Ucraina. Recentemente, nel mirino degli hacker sono finiti diversi siti italiani, da quello del Senato e della Difesa sino al sito della Polizia di Stato. Il messaggio degli hacker era duplice: dimostrare quanto possono essere vulnerabili i sistemi informatici italiani e “punire” gli italiani per l’aiuto e il sostegno all’Ucraina. La cyberwar ha un effetto paralizzante sulla vita quotidiana dei cittadini. Gli hacker hanno cercato di sabotare persino l’Eurovision Song Contest conclusosi lo scorso 14 maggio. Dietro questi attacchi si cela un collettivo di hacker di matrice filorussa, KillNet.
Ciò che accomuna questa serie di attacchi è la modalità: i cybercriminali compiono le loro azioni avvalendosi di macchine connesse. Perciò, si parla di attacchi DDoS (Distributed Denial of Service), con i quali gli hacker rallentano sino a riuscire a bloccare il normale traffico di un server, servizio o rete, inondandola di traffico Internet. A causa di questa tipologia di cyber attacchi, gli utenti di una rete o sistema non riescono ad accedere a informazioni, servizi o altre risorse. La natura anonima dei cyber attacchi rende spesso arduo identificare il nemico e rispondere in modo adeguato.
Le principali politiche europee sulla cybersicurezza
Nel 2015 vi è stato uno dei più gravi cyber hacking avvenuti in Europa. Nel mirino dei cybercriminali vi era il Bundestag. Dopo questo grave episodio, il governo tedesco, con a capo Angela Merkel, chiese con forza all’Unione europea di prendere dei provvedimenti contro Mosca, accusata di aver causato l’attacco, e di rivedere le normative UE in materia di cybersicurezza.
In questi anni l’UE ha posto in atto diverse strategie e iniziative volte a far fronte ai cyber attacchi e creare un cyberspazio protetto per tutti i cittadini europei, dato l’emergere di nuove minacce alla sicurezza transfrontaliere e intersettoriali sempre più complesse che hanno evidenziato la necessità di una più stretta cooperazione in materia di sicurezza a tutti i livelli.
La direttiva NIS ( Network and Information Systems Directiv) adattata nel 2016 è il primo atto legislativo sulla sicurezza informatica a livello dell’UE. In quanto direttiva, ogni Stato membro dell’UE ha adottato una sua legislazione nazionale basata sul NIS.
La direttiva NIS si articola in tre componenti corrispondenti ad altrettante grandi strategie
Componenti e strategie cui facciamo riferimento si articolano in questo modo. Capacità nazionali: i singoli Stati membri dell’UE devono predisporre piani nazionali di sicurezza informatica; collaborazione transfrontaliera tra paesi dell’UE; supervisione nazionale dei settori fondamentali: gli Stati membri dell’UE devono vigilare sulla sicurezza informatica degli operatori di mercato.
Nel 2017 la Commissione europea ha proposto nuove iniziative politiche in materia di cybersicurezza, tra cui una raccomandazione agli Stati membri dell’UE di sviluppare un quadro di cybersicurezza per lo scambio di informazioni. Nel 2018, mirando a rafforzare la sicurezza digitale dei suoi stati membri, l’UE ha adottato il Cyber Diplomacy Toolbox (CDT), che si inscrive nell’ottica della diplomazia informatica e ha lo scopo di contribuire alla prevenzione dei conflitti, all’attenuazione delle minacce informatiche e a garantire una maggiore stabilità nelle relazioni internazionali. L’obiettivo che si pone l’UE con l’CDT è di impegnarsi nella risoluzione pacifica delle controversie internazionali nel cyberspazio. La strategia di Cyber Diplomacy Toolbox contempla l’utilizzo di sanzioni in modo da punire efficacemente gli attacchi alle infrastrutture fondamentali, alle catene di approvvigionamento e alle istituzioni. Perciò, l’utilizzo di sanzioni è una vera e propria forma di deterrenza delle minacce nel cyberspazio.
Il 27 giugno del 2019 è entrato in vigore il Cybersecurity Act, un vero e proprio regolamento che riprende e migliora alcuni aspetti della direttiva NIS. Grazie al Cybersecurity Act vengono disciplinati gli schemi europei di certificazione della sicurezza informatica e viene rafforzato il ruolo dell’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (ENISA) fondata nel 2004. Con il nuovo regolamento, all’ENISA è stato assegnato un mandato di Agenzia permanente e oggi è un attore che detiene un ruolo primario nella lotta ai cyber attacchi.
A partire dal 2020, l’Unione europea ha concentrato i suoi sforzi sulla costruzione di piani operativi volti a prevenire, scoraggiare e rispondere a cyber attacchi in Europa. Nel 2020 è nata la strategia EU Security Union Strategy che copre il periodo 2020-2025 e ha lo scopo di migliorare e promuovere la sicurezza informatica nell’arco di cinque anni e rafforzare la resilienza dell’Europa nel caso di cyber attacchi. Inoltre, tale strategia contempla delle proposte concrete per l’introduzione di strumenti normativi, strategici e di investimento.
Nel 2021, il Consiglio ha adottato delle conclusioni sulla strategia dell’UE in materia di cybersicurezza per il decennio digitale, volte a potenziare la leadership digitale dell’Europa così come le sue capacità strategiche. Tra le conclusioni rientravano diversi piani d’azione e importanti proposte, tra cui la proposta di una istituzione di un gruppo di lavoro di intelligence informatica al fine di rafforzare la capacità specifica dell’INTCEN (European Union Intelligence and Situation Centre) e quella di elaborare un’agenda dell’UE per lo sviluppo delle capacità informatiche esterne con l’obiettivo di incrementare la cyber resilienza e le capacità a livello mondiale.
Al fine di dare una risposta ancor più forte in materia di cybersicurezza, dato l’esponenziale aumento dei cyber attacchi, il 13 maggio 2022 la Commissione europea ha accolto con favore un accordo politico tra il Parlamento europeo e gli Stati membri UE riguardo la direttiva relativa a misure per un livello comune elevato di cybersicurezza nell’Unione (Direttiva NIS 2). Inizialmente proposta dalla Commissione nel dicembre 2020, la normativa aggiorna e va a sostituire la Direttiva NIS del 2016. La nuova direttiva, una volta formalmente approvata dal Parlamento e dal Consiglio europeo e pubblicata nella Gazzetta ufficiale dell’UE, entrerà in vigore venti giorni dopo e gli Stati membri la dovranno recepire nel diritto nazionale.
La Direttiva NIS 2 sancisce una nuova importante svolta nella strategia digitale europea e ha l’obiettivo di rafforzare gli obblighi di sicurezza per le imprese che dovranno occuparsi della sicurezza delle catene di approvvigionamento. Inoltre, introduce misure di vigilanza più rigorose per le autorità nazionali, incrementata ulteriormente la condivisione delle informazioni incentivando la cooperazione. Con il NIS 2 sono stati introdotti obblighi di esecuzione più severi e si prefigge l’obiettivo di armonizzare i regimi sanzionatori in tutti gli Stati membri dell’Unione europea.
Oggi la cybersicurezza e la lotta al cyber crime è divenuta una priorità assoluta per la Commissione europea e l’invasione russa dell’Ucraina ha allertato ulteriormente l’Unione europea: la BCE ha chiesto alle banche centrali nazionali di prepararsi a contrastare gli attacchi informatici russi. Riguardo la necessità di proteggere l’economia e la società dai cyber attacchi e sulla nuova normativa UE, la Vicepresidente per la Promozione dello stile di vita europeo Margaritis Schinas ha dichiarato: “[… ] L’attuale contesto geopolitico fa sì che sia ancora più urgente per l’UE garantire un quadro giuridico adeguato allo scopo. Concordando norme più stringenti, stiamo onorando l’impegno a rafforzare gli standard di cybersicurezza nell’UE. Oggi l’UE si dimostra chiaramente determinata a promuovere la preparazione e la resilienza alle minacce informatiche che colpiscono le nostre economie, le nostre democrazie e la pace“.
di Giada Cabbua
Mercurio Blog 