“Chi è lei? Cosa fa qui? Generale, cosa suggerisce di fare? Generale, ha ragione: dobbiamo investire nella privacy”. Così ha reagito Josep Borrell, l’Alto rappresentante dell’Ue per la Politica estera, quando si è reso conto che uno sconosciuto era riuscito ad infiltrarsi in una videoconferenza privata dei Ministri della Difesa dell’Ue nel novembre dello scorso anno. Una distrazione del Ministro olandese – aveva condiviso su Twitter un’immagine che mostrava il codice di accesso alla riunione – ha permesso in effetti ad un giornalista di approfittare dell’errore e di connettersi alla riunione, lasciando di stucco le istituzioni dell’Ue. 

La scena, nonostante l’inverosimiglianza, ha evidenziato la grande debolezza dell’Ue in materia di sicurezza informatica: in un gruppo di 27 Paesi, con incontri e conversazioni che dovrebbero idealmente avvenire di persona, ma che per motivi logistici vengono spostati nell’ambiente digitale, è molto difficile che tutte le “porte” siano effettivamente chiuse. E questo, nel mondo interconnesso nel quale viviamo, è un rischio enorme che costringe l’Unione ad armarsi per affrontare gli attacchi digitali sotto qualsiasi forma, luogo o momento in cui questi possano avvenire.

Si tratta certamente di una minaccia silenziosa, ma non certo invisibile. Non è un caso, infatti, che l’Agenzia dell’Unione europea per la cibersicurezza (ENISA) abbia identificato, nel 2020, 304 attacchi informatici  rilevanti contro “settori critici”: più del doppio rispetto all’ anno precedente. Molti di questi hanno preso di mira gli ospedali e le infrastrutture del settore medico-sanitario, che durante la pandemia hanno gestito informazioni preziose sull’evoluzione del Coronavirus e sulla vaccinazione.

Gli obiettivi di questi attacchi sono diversi: dal rubare dati, fino al paralizzare infrastrutture chiave, con conseguenze disastrose per il paese preso di mira. L’esempio più recente è l’attacco al Colonial pipeline, il più grande oleodotto degli Stati Uniti, nel maggio del 2021. L’attacco, perpetrato da un gruppo di hacker professionisti chiamato Darkside, ha costretto gli operatori a bloccare il flusso di greggio, con conseguente carenza di carburante lungo tutta la costa orientale, e a pagare 75 bitcoin, l’equivalente di circa 3,8 milioni di euro.

Fortunatamente per i cittadini europei, l’Unione ha un piano per garantire che non ricapiti un incidente come quello dell’intrusione nella riunione dei Ministri della Difesa e impedire che un attacco informatico comprometta la sicurezza dell’Ue. Nel dicembre 2020, infatti, la Commissione europea ha presentato una nuova Strategia per la cibersicurezza e una proposta  relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (direttiva NIS2 ).

Una nuova corsa al nucleare

L’Unione europea si sta in effetti preparando (e questo dal 2013) per essere in misura di rispondere agli attacchi digitali: negli ultimi anni ha lanciato diverse iniziative per portare avanti la creazione di una strategia comune di difesa e sicurezza delle reti.

Tra queste, le iniziative per la diplomazia informatica e il quadro politico di ciberdifesa , entrambi adottati nel 2018 e volti a migliorare il coordinamento tra gli Stati membri; il regolamento sulla sicurezza informatica del 2019, che ha rinnovato il mandato dell’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA), rendendola l’Agenzia per la cibersicurezza dell’Ue; e l’insieme di strumenti per la sicurezza delle reti 5G , sempre dal 2019.

Ma nel mondo iperconnesso nel quale viviamo, dove le minacce ibride sono sempre più sofisticate e le potenze competono per raggiungere uno sviluppo tecnologico che permetta di blindare i loro sistemi, il rischio di rimanere indietro nella corsa tecnologica è troppo importante. In questo senso, la battaglia per la sicurezza informatica ricorda la corsa al nucleare durante  la Guerra fredda, quando gli Stati Uniti, l’Unione Sovietica e i loro rispettivi alleati erano impegnati in una guerra silenziosa per sviluppare armi nucleari. Come accade oggi, ogni passo in avanti, ogni innovazione, era nascosta con cura e ogni mossa della parte avversa obbligava a una risposta. 

Questo è il motivo per cui l’Unione europea è costretta ad aggiornare continuamente la sua strategia di sicurezza informatica, per essere sempre un passo avanti ai criminali informatici. Così, anche se la prima versione del documento è stata pubblicata nel 2013, la strategia è stata rivista nel 2017 e aggiornata nuovamente nel dicembre 2020.

Quest’ultima versione rappresenta comunque un cambio di paradigma: ora che in Europa ci sono misure di sicurezza unificate e coordinate, l’Ue vuole lavorare alla creazione di strumenti che le permetteranno di rispondere immediatamente, se non addirittura di prevenire gli attacchi informatici.

Una tabella di marcia ambiziosa

In quest’ottica la nuova strategia di cibersicurezza si concentra su tre aree chiave : in primo luogo, mira a migliorare la resilienza dell’Ue di fronte agli attacchi informatici attraverso, da un lato, la creazione di una rete di centri operativi di sicurezza in tutta l’Ue che utilizzano l’intelligenza artificiale e, dall’altro, una riforma delle norme sulla sicurezza delle reti e dei sistemi informativi, contenute nella Direttiva sulle misure per un elevato livello comune di sicurezza informatica nell’Unione (direttiva NIS rivista o NIS2).

La direttiva NIS, adottata nel 2016, ha portato un cambiamento nell’approccio istituzionale alla sicurezza informatica negli Stati membri, in quanto li ha obbligati, tra le altre cose, a sviluppare una strategia nazionale di sicurezza informatica e a creare squadre di risposta alle emergenze informatiche. Allo stesso tempo ha mostrato i suoi limiti. 

“La trasformazione digitale della società, intensificata dalla crisi del Covid-19, ha ampliato il panorama delle minacce possibili e sta ponendo nuove sfide che richiedono risposte adeguate e innovative. Qualsiasi perturbazione può ora avere effetti a cascata in tutto il mercato interno”, ha sottolineato la stessa Commissione europea nella presentazione della sua proposta.

Per riassumere, la direttiva NIS2, che ha ricevuto il via libera dal Parlamento europeo lo scorso ottobre, espande i settori considerati critici e rafforza i requisiti di sicurezza per le 160mila aziende che mira a coprire. L’obiettivo è quello di ridurre il divario economico tra le aziende europee e quelle statunitensi, che investono in media il 41% in più nella cibersicurezza.

In secondo luogo, con la sua nuova Strategia di sicurezza informatica, la Commissione vuole anche rafforzare la sua capacità operativa per prevenire, scoraggiare e rispondere agli attacchi informatici, creando un’unità informatica congiunta . Questa squadra lavorerà per assicurare una risposta coordinata dell’Ue agli incidenti informatici su larga scala e alle crisi informatiche, e fornirà assistenza nella fase di recupero. “Le minacce sono spesso comuni: c’è bisogno di coordinamento, di condivisione delle conoscenze e anche di una fase di allerta preventiva”, ha sostenuto la Commissione.

Terzo e ultimo, Bruxelles propone di promuovere un ciberspazio globale e aperto: questo significa impegnarsi in un dialogo con altri paesi per mettere in comune le sue pratiche e regole e contribuire così alla sicurezza internazionale. Si tratta, in altre parole, di un tentativo di evitare che la difesa contro gli attacchi informatici diventi una lotta di tutti contro tutti e, a differenza di quello che è successo con la corsa al nucleare, di far nascere una cooperazione tra le nazioni che vada verso una protezione globale contro questo tipo di minaccia.