Cybersicurezza, lo “stato dell’arte” e i vuoti normativi

Il rischio che si verifichi un “attacco” cyber in àmbito economico-finanziario, visto l’elevato livello di interconnessione dei servizi finanziari a livello internazionale, soprattutto tra i paesi G7, è ormai sempre più alto, laddove la vulnerabilità di un paese può quindi diventare la vulnerabilità di tutti gli altri.
Anche al fine di contrastare tale pericolo esiste del resto il G7 Cyber Expert Group (G7-CEG), costituito a settembre 2015, di cui fa parte anche l’Italia e presieduto da US e UK, con l’obiettivo di: identificare i rischi cibernetici nel settore finanziario; rafforzare la cooperazione transnazionale.
Agli Annual Meetings di Washington, sotto la Presidenza G7 del Giappone (ottobre 2016), sono stati del resto approvati i “Fundamental Elements of Cybersecurity for the Financial Sector”, che, anche se consistenti in una sorta di raccomandazioni rivolte ai soggetti finanziari pubblici e privati, non legalmente vincolanti, miravano comunque a rafforzare le capacità di cyber security.
Al G7 di Washington (12 ottobre 2017) è stato poi approvato il “G7 Fundamental Elements for effective assessment of Cybersecurity in the Financial Sector” (per la valutazione efficace della cyber security del settore finanziario) e costituiti 3 subgroups:
– il primo sul third party risks and cross-sector coordination (CSC), presieduto dal Canada e con l’obiettivo di presentare, a luglio 2019, ai Ministri delle finanze e ai Governatori delle Banche Centrali un final paper con un executive summary;
– il secondo su threat-led penetration testing, presieduto dall’ECB, e che, al G7 di ottobre 2018 a Bali, ha presentato delle raccomandazioni per sviluppare strumenti efficaci per valutare la capacità di rilevamento, protezione e risposta alle minacce cyber (G-7 Fundamental Elements for Threat-Led Penetration Testing);
– il terzo sul G7 cybersecurity cross-border exercise (CBCE), presieduto dalla Francia e con l’obiettivo, nel 2019, di definire, pianificare e coordinare un’esercitazione cross-border, per verificare le misure a presidio dei rischi cyber del settore finanziario nei paesi G7.
L’ultima riunione si è tenuta, infine, dal 15 al 17 gennaio 2019 a Tokyo, dove sono stati approfonditi i temi dei due workshops ancora operativi, cioè il third party risks and cross-sector coordination (CSC) e il cybersecurity cross-border exercise (CBCE), con la partecipazione anche del settore privato.
Prossimi punti all’ordine del giorno dei gruppi di lavoro internazionali saranno dunque:
l’armonizzazione della normativa;
la necessità di coinvolgere anche altri paesi al di fuori del G7, come, ad esempio, Singapore e i paesi africani.
Per quanto riguarda invece l’ambito nazionale, si ricorda che l’architettura delle strutture di cyber security è stata definita dal Dpcm 24 gennaio 2013 e dal Dpcm 17 febbraio 2017 (la cosiddetta “direttiva Gentiloni”).
E, da ultimo, il decreto legislativo del 18 maggio 2018, n. 65 ha dato attuazione alla direttiva (Ue) 2016/1148, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione (direttiva NIS – Network and Information Security).
Il decreto n. 65 identifica, all’art. 7, come autorità NIS, il MEF per il settore bancario e per il settore infrastrutture dei mercati finanziari, in collaborazione con le autorità di vigilanza di settore, Banca d’Italia e Consob.
Solo la collaborazione tra i paesi, come detto, può comunque attenuare, efficacemente, la minaccia e le conseguenze dei cyber-attacks.
Tanto premesso in ordine allo “stato dell’arte”, è opportuno comunque evidenziare alcune osservazioni di sistema.
Quando si tratta di definire i compiti per la protezione e la difesa della Nazione dalle cyber minacce e di determinare i mezzi necessari a tale scopo, ci si dovrebbe porre, tra le altre, le seguenti domande: quali sono e come devono essere strutturate le basi giuridiche di impiego e attività di difesa cyber? quali sono gli effetti economici degli attacchi cyber e come possono essere adeguatamente contrastati?
Gli aspetti giuridici ed economici della materia sono rilevantissimi e, non a caso, del Tavolo Tecnico Cyber (TTC), istituito in seno al CISR, fa parte anche un rappresentante del Ministero dell’Economia e Finanze.
Il Quadro strategico nazionale mira ad accrescere le capacità di risposta del Paese alle sfide riguardanti lo spazio cibernetico ed individua le misure alla base di un’adeguata politica di sicurezza delle informazioni, tra cui anche misure procedurali, come l’elaborazione di norme e procedure volte a disciplinare gli aspetti organizzativi del processo di sicurezza.
L’evoluzione del fenomeno della cyber threat ha peraltro evidenziato un vuoto normativo in àmbito nazionale ed internazionale, laddove sono ancora tanti gli aspetti non disciplinati, specialmente per quanto attiene l’eventuale liceità di un attacco cibernetico sul piano internazionale.
Sotto tale profilo, si pongono anche questioni relative:
– alla legittima difesa preventiva e proporzionale, soprattutto quando gli attacchi cibernetici non siano chiaramente riconducibili ad atti criminali, a conflitti armati o ad azioni di spionaggio/terrorismo;
– all’aggiornamento del quadro normativo, inadeguato a disciplinare i settori correlati alla tecnologia dell’informazione e della comunicazione;
– alla regolamentazione di alcuni aspetti relativi all’individuazione dei soggetti responsabili e alla previsione di un adeguato sistema sanzionatorio.
E, infine, alla creazione di “cyber ROE”.
Perché si possa parlare di attacco armato, occorre infatti oggi verificare l’effettivo ricorso all’uso della forza, ovvero se sia accertata la presenza di un’operazione che causi, o ragionevolmente possa causare, un danno fisico a persone e proprietà, o una disruption delle infrastrutture critiche dello Stato.
Come definito dalla ICJ nel caso Nicaragua del 1974, e ribadito nella risoluzione UN 3314 art. 3 (a,b,d,g), la nozione di aggressione è del resto molto più ampia di quella di attacco armato, costituendo quest’ultima una sub categoria della precedente.
Per quanto afferisce alle operazioni cyber che arrechino un danno materiale, il commentario del Manuale di Tallin, su diritto e cyberwar (“The Tallinn Manual on the International Law Applicable to Cyber Warfare”), redatto da un gruppo di accademici internazionali indipendenti guidato dal professor Michael N. Schmitt (Preside del Dipartimento di Diritto Internazionale presso lo United States Naval War College) e pubblicato dalla Cambridge University press, conclude, ad esempio, che l’impiego del virus Stuxnet poteva essere assimilato all’uso della forza e persino ad un attacco armato.
Tuttavia, nella parte speciale del catalogo nazionale delle ROE (le cosiddette regole di ingaggio) non si ritrova una serie specificamente dedicata a questo tipo di azioni.
Da definire è inoltre ancora, tra gli altri, il concetto di legittima difesa, e quando poter ricorrere a cyber difesa preventiva, per annullare la minaccia prima che l’attacco sia stato effettivamente sferrato.
Lasciare dunque all’interpretazione di dottrina o giurisprudenza la valutazione della possibile applicazione, in tali casi, del combinato disposto di cui agli art. 44 del C.p.m.p (Codice penale militare di pace) e 59 del C.p., lasciando nell’incertezza normativa quando si possano individuare circostanze idonee a determinare il convincimento della ricorrenza della causa di giustificazione (non essendo sufficiente la mera percezione), non sembra del resto più ammissibile, né efficace in termini operativi.
De iure condendo, bisognerebbe dunque prevedere un apparato normativo ad hoc, che consenta di agire preventivamente quando il pericolo sia concreto, imminente ed attuale, anche solo per paralizzare l’eventuale minaccia.

Ultime notizie
continuità territoriale
Infrastrutture

La discontinuità territoriale della Sardegna

Continuità territoriale, in Sardegna manca ancora una soluzione definitiva, soprattutto per lo scalo di Alghero disertato dalle compagnie aeree nei bandi proposti dalla Regione. In estate la situazione precaria dei collegamenti è peggiorata dal traffico turistico, mentre la continuità vige solo da e per Milano e Roma.
di giuseppe pulina
continuità territoriale
violenza di genere
Donne

Violenza di genere, i dati degli ultimi sei mesi della Polizia Criminale

Violenza di genere, i dati del Servizio Analisi Criminale della Polizia Criminale documentano un trend in crescita dal 2021 al 2023, ma i dati degli ultimi sei mesi evidenziano una flessione rispetto allo stesso periodo del 2023, soprattutto per i reati spia e gli omicidi volontari.
di redazione
violenza di genere
work life balance
Parità

Work life balance, c’è ancora un gap di genere da colmare

Il work life balance, ovvero l’equilibrio tra vita privata e professionale, riguarda anche la parità di genere, soprattutto in merito al caregiving, che troppo spesso ancora ricade principalmente sulle donne. Adnkronos evidenzia inoltre che il 66% degli utenti si dichiara insoddisfatto del proprio life work balance, e che questo incide nella scelta dell’impiego.
di redazione
work life balance
mediterraneo
Sostenibilità

Giornata internazionale del Mediterraneo, un ecosistema da difendere da plastica e sfruttamento

La Giornata internazionale del Mediterraneo è stata dedicata al dibattito sul nostro mare, un ecosistema che va difeso dallo sfruttamento intensivo della pesca e dalle plastiche. Un incontro presso la Camera dei Deputati organizzato da Fondazione Aqua ha visto numerosi studiosi esprimersi in merito al fragile equilibrio di questa risorsa fondamentale.
di redazione
mediterraneo
Uricchio ANVUR
Intervista

Antonio Uricchio, Presidente ANVUR: la valutazione come strumento per migliorare la qualità di ricerca e didattica

Antonio Uricchio, Presidente di ANVUR interviene nel merito delle critiche mosse verso una eccessiva burocratizzazione delle Università italiane, affermando la valutazione delle stesse come importante strumento per migliorare la qualità della ricerca e della didattica attraverso la raccolta di dati, documenti e informazioni.
di Mario Caligiuri*
Uricchio ANVUR
Corridoi TEN-T
Infrastrutture

Segnali positivi nella nuova strategia dei corridoi europei dei trasporti TEN-T

Il Parlamento europeo ha approvato il nuovo Regolamento sui Corridoi TEN-T. Il testo ha l’obiettivo di completare alcuni importanti collegamenti, aggiornando il piano europeo per una rete di ferrovie, strade, vie navigabili interne e rotte marittime a corto raggio collegate attraverso porti e terminali in tutta l’Unione.
di Giampaolo Basoli*
Corridoi TEN-T
Intervista

Pierluigi Petrone, Presidente Assoram: sfide globali e nuove competenze del comparto healthcare

Il comparto healthcare oggi si trova ad affrontare nuove sfide che vanno oltre gli anni della pandemia: le mutate esigenze dei consumatori, sempre più vicini all’e-commerce, e gli equilibri internazionali che condizionano logistica e distribuzione. Uno sguardo alle sfide del futuro con il Presidente di Assoram Pierluigi Petrone.
di Susanna Fara
scuola
Istruzione

La Scuola di domani: tecnologie digitali e valorizzazione delle eccellenze

Tecnologie digitali e una gestione oculata dei fondi per valorizzare le eccellenze e la qualità: è questa la prospettiva sulla Scuola italiana individuata da Alessandro Curioni, Docente (Università Cattolica di Milano) e Presidente di DI.GI Academy.
di Massimiliano Cannata
scuola
maternità surrogata
Società

Maternità surrogata: italiani contrari, solo dai giovani segnali di apertura

Il 62,9% degli italiani si dichiara oggi contrario alla maternità surrogata, e solo i giovani mostrano segnali di apertura, dal momento che il 58% dei 18-24enni si dichiara favorevole. Ma il tema è complesso e maggiormente avversato dall’opinione pubblica italiana, da Nord a Sud e a dispetto anche del titolo di studio.
di redazione
maternità surrogata
animali
Animali

Vivisezione, caccia, allevamenti intensivi: cresce la sensibilità degli italiani verso il benessere animale

I diritti degli animali contano sempre di più per una maggioranza di italiani: il 76% è contrario alla vivisezione, il 73% agli allevamenti intensivi. I temi etici legati agli animali raccolgono quote consistenti di italiani contrari anche rispetto a vivisezione, caccia, pellicce, uso degli animali nei circhi.
di redazione
animali