L’allarme lanciato dall’Agenzia per la cybersicurezza nazionale sulla necessità di elevare i livelli di sicurezza da parte degli operatori di infrastrutture digitali nazionali è un indice abbastanza attendibile del fatto che, a seguito delle scelte politiche assunte, anche l’Italia può diventare bersaglio della controffensiva russa.
Significativamente, l’Agenzia rivolge il grido di allarme verso i gestori di infrastrutture digitali e non – come pure avrebbe dovuto, visto il suo mandato – soltanto verso le infrastrutture critiche e i fornitori di servizi essenziali.
La spiegazione di questa scelta risiede, probabilmente, in una valutazione pragmatica: l’esistenza di un difetto strutturale della normativa sul Perimetro nazionale di sicurezza cibernetica.
La legge numero 133 del 2019 (che ha convertito il decreto legge numero 105 del 2019) è basata sull’individuazione di un “dentro” – il perimetro da proteggere – e di un “fuori” che è lasciato sostanzialmente privo di presidio e difesa. Questa scelta normativa avrebbe avuto senso se, fisicamente e posto che fosse stato possibile, le infrastrutture critiche e quelle che erogano servizi essenziali fossero state migrate su una rete separata e “impermeabile” rispetto a quella normalmente in uso al resto del Paese (che fosse possibile o fattibile, è un altro discorso). La realtà è un’altra e dunque ampie parti del perimetro nazionale sono connesse con, o dipendono da infrastrutture esterne.
L’Agenzia per la cybersicurezza nazionale, da organismo tecnico, rileva che a prescindere dalle definizioni giuridiche, in caso di di attacchi è l’intera infrastruttura nazionale nel suo insieme ad essere un bersaglio. Dunque, se cominciano a cadere pezzi di rete al di fuori del Perimetro, presto o tardi anche questo subirà un destino analogo. Interconnessione e interdipendenza sono infatti il punto di forza ma anche, come in questo caso, di enorme debolezza di un sistema di rete, anzi, di reti.
Un’altra conseguenza dell’errore di impianto della normativa sul Perimetro nazionale di sicurezza cibernetica è avere trascurato la dimensione transnazionale e dei servizi di comunicazione elettronica sotto due profili.
Il primo è che nonostante la facilità di scambio di informazioni, i confini politici sono identificabili, proteggibili e violabili anche nella topografia delle reti di telecomunicazioni.
Il secondo è che non solo negli scambi commerciali ma anche nelle azioni criminali la raggiungibilità permanente e ubiqua di qualsiasi risorsa di rete non è necessariamente un valore perché costringe i Paesi a complesse operazioni di polizia che portano al limite la resistenza del diritto internazionale.
La consapevolezza politica che questi problemi non possano essere affrontati a livello locale è finalmente arrivata sui tavoli dei decisori internazionali. Le Nazioni Unite hanno infatti istituito un “Ad Hoc Commitee” per elaborare una proposta di convenzione internazionale sul cybercrime che si terrà il prossimo 28 marzo nella sede newyorkese dell’Organizzazione.
Da un lato, questa è senz’altro una buona notizia perché sperabilmente segnerà un’evoluzione verso la definizione di una strategia complessiva per la sicurezza nazionale tecnologica che responsabilizzi anche e soprattutto i produttori di apparati e software. Dall’altro, è auspicabile che le scelte di public policy che verrano assunte siano orientate all’efficacia e alla riappropriazione da parte degli Stati del ruolo di governo della sicurezza tecnologica, sottraendole a un settore privato che non necessariamente condivide la stessa agenda.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte
- Le accuse mosse a Pavel Durov mettono in discussione la permanenza in Europa di Big Tech