LA CYBERSECURITY NELLE PRINCIPALI ORGANIZZAZIONI INTERNAZIONAL

LA CYBERSECURITY NEL CONTESTO INTERNAZIONALE E DELL’UNIONE EUROPEA

2. LA CYBERSECURITY NELLE PRINCIPALI ORGANIZZAZIONI INTERNAZIONAL

2.1. I lavori del G8 e del G7

Il Gruppo degli Otto (G8) è stato un vertice politico formato dai governi di Canada, Francia, Germania, Italia, Giappone, Federazione Russa, Regno Unito e Stati Uniti, più un rappresentante dell’Unione Europea, tenutosi dal 1997 al 2014, anno in cui la Russia fu sospesa temporaneamente a causa del suo coinvolgimento nella crisi in Crimea, fino al 2017, quando decise di abbandonare definitivamente il vertice.

Il G8 ha affrontato la questione della cybersecurity fin dal 1997, quando si istituì un sottogruppo specializzato sull’High-Tech Crime, che stabilì dieci principi per la lotta al crimine informatico ed un relativo Piano d’Azione, con l’obiettivo di assicurare che nessun cyber criminale al mondo potesse rimanere impunito. Durante il vertice di Okinawa nel luglio 2000, gli Stati del G8 si impegnarono a sostenere progetti di

enhanced cooperation volti a sviluppare un accesso globale alla rete e la tutela del

copyright, supportando in seguito a tal riguardo (2011), l’ACTA (Anti-Counterfeiting

Trade Agreement, Accordo Commerciale Anti-Contraffazione68) ed i lavori

dell’OCSE sull’impatto economico della contraffazione e della pirateria69. Di particolare interesse, sempre nel 2011, la Dichiarazione di Deuville70, nella quale gli Stati del G8 concordarono una serie di principi, come la tutela della privacy e del copyright, l’impegno per la sicurezza informatica ed il perseguimento dei reati, e, sempre con l’obiettivo di garantire uno sviluppo sicuro della rete, riguardo al modello multi-stakeholder, i principi di non discriminazione, leale concorrenza, flessibilità, trasparenza. In tutto ciò, la Dichiarazione attribuisce ai governi, con il supporto delle

68_{Disponibile al link:} https://web.archive.org/web/20100709140242/http://www.europarl.europa.eu/news/expert/infopress_p age/026-70281-067-03-11-903-20100309IPR70280-08-03-2010-2010-false/default_it.htm 69_{Disponibile al link:} https://www.agenziadoganemonopoli.gov.it/portale/documents/20182/901640/2010-06-OCSE- IMPATTO_ECONOMICO_CONTRAFFAZIONE.pdf/9d74ef5e-7802-4dda-9e2b- 0607036bce58?version=1.0

altre parti interessate, il compito di elaborare norme di comportamento da osservare nel cyberspazio.

Il Gruppo dei Sette (G7) è il vertice fra i leader dei sette Paesi economicamente più avanzati al mondo. Si tiene dal 1975, tuttavia dal 1997 al 2014 è stato affiancato al G8, ed è formato dagli Stati partecipanti a quest’ultimo ad eccezione della Russia. Da sempre attento ai problemi legati al mondo di Internet ed alle nuove tecnologie (basti pensare ad esempio all’individuazione degli otto elementi fondamentali per la cybersecurity nel settore finanziario nel 201671_{), il Gruppo, al termine del vertice del}

2017 di Lucca ha adottato una dichiarazione congiunta che fissa dodici regole non vincolanti concernenti la condotta degli Stati nel cyberspace.72 Più in particolare, gli Stati partecipanti si impegnano a: cooperare per la stabilità e la sicurezza nell’uso delle ICT; considerare, in caso di incidente ICT, tutte le informazioni rilevanti, inclusa la difficoltà di attribuzione; non permettere cyber attacks dal proprio territorio; cooperare nel campo del cyber terrorism e del cyber crime; garantire il rispetto dei diritti umani e della privacy all’interno dello spazio cibernetico; non appoggiare attività cibernetiche contrarie al diritto internazionale che colpiscano le infrastrutture critiche; controllare e prevenire lo sviluppo di malware; condividere informazioni sulle vulnerabilità e le best practices; non danneggiare le strutture informatiche di risposta agli attacchi informatici; garantire la tutela della proprietà intellettuale.73 Inoltre, sempre nel 2017, al termine del vertice di Venaria, il G7 ha adottato un’altra Dichiarazione congiunta, corredata da alcuni allegati dedicati alla cybersecurity ed all’Intelligenza Artificiale.74_{L’obiettivo, per quanto riguarda la sicurezza informatica,}

è quello di sviluppare ed implementare pratiche adeguate, sensibilizzando sul tema le PMI, e di stabilire rapporti di enhanced cooperation fra i governi, i CSIRTs nazionali (Computer Security Incident Response Teams), ed i privati, favorendo anche la condivisione di informazioni. Per quanto concerne invece l’I.A., oltre a riconoscerne i

71_{Disponibile al link:}

https://www.mof.go.jp/english/international_policy/convention/g7/g7_161011_1.pdf

72_{Documenti disponibili al link:}_{http://www.g7italy.it/it/news/i-documenti-del-g7-esteri-di-lucca} 73_{(Marchetti & Mulas, 2017), p. 133}

74_{Disponibili ai seguenti link:}

http://www.mise.gov.it/images/stories/documenti/G7_ICT_Industry_Declaration_%20Italy- 26%20Sept_2017_ANNEX_2.pdf (Intelligenza Artificiale), e:

http://www.mise.gov.it/images/stories/documenti/G7_ICT_Industry_Declaration_%20Italy- 26%20Sept_2017_ANNEX_3.pdf (Cybersecurity)

potenziali benefici, viene delineato un modello di governance multi-stakeholder, che coinvolga tutti i soggetti interessati (governi, privati, società civile), nel dibattito sulle principali questioni etiche, sociali ed economiche connesse all’implementazione di questo tipo di tecnologia.

2.2. L’ONU e le sue agenzie

La cybersecurity ha assunto rilevanza nell’ambito delle Nazioni Unite a partire dal 1998, quando la Federazione Russa presentò una bozza di risoluzione alla Prima Commissione dell’Assemblea Generale (A/35/576, 18 novembre 1998), adottata poi con risoluzione 53/70 nel gennaio 1999, al fine di ridurre il rischio di una guerra cibernetica e di monitorare lo sviluppo di cyber weapons.75 Da quel momento in poi, il Segretario Generale elabora dei Rapporti annuali all’Assemblea Generale, concernenti le opinioni dei vari Stati sulla questione della sicurezza (Developments in

the field of information and telecommunications in the context of international security).

Gli organi appartenenti alla galassia ONU che si occupano a vario titolo di questioni attinenti alla cybersecurity sono molteplici.76 Questi ultimi possono essere distinti in base al tipo di attività che svolgono: da una parte abbiamo organi che trattano di

cybersecurity da un punto di vista politico-militare, dall’altra invece abbiamo organi

focalizzati sugli aspetti socio-economici del cybercrime. Appartengono al primo gruppo l’Assemblea Generale ed il Consiglio di Sicurezza che, nell’elaborazione delle loro delibere, sono supportati dal lavoro di numerose agenzie ONU, quali: l’International Telecommunications Union (ITU); lo United Nations Institute for

Disarmament Research (UNIDIR) che, con la sua attività di analisi e ricerca, supporta

gli attori interessati a livello nazionale, regionale, internazionale; i gruppi di lavoro dedicati al contrasto del cyber terrorism del Counter Terrorism Implementation Task

Force (CTITF). Appartengono invece al secondo gruppo, a livello governativo,

l’Assemblea Generale ed il Consiglio Economico Sociale (ECOSOC), che raccoglie

75_{Lewis J. A., Neuneck G., The Cyber Index. International Security Trends and Realities, UNIDIR,}

United Nations Publications, New York and Geneva, 2013, p. 94

informazioni sul cybercrime e suggerisce le best practices da seguire. Questi organi a loro volta si avvalgono del supporto di numerose agenzie specializzate, quali: il United

Nations Office on Drugs and Crime (UNODC), che supporta forum e meccanismi

regionali per l’enhanced cooperation e la condivisione di informazioni sul cybercrime; il United Nations Interregional Crime and Justice Research Institute (UNICRI), che analizza i cyber crimini emergenti, ricercando soluzioni per la sicurezza degli utenti. Partendo dal contesto politico-militare della cybersecurity, solamente il Consiglio di Sicurezza può emanare raccomandazioni vincolanti, anche se tuttavia ad oggi non risultano ancora suoi interventi in materia. L’Assemblea Generale invece, ha adottato nel 2003 e 2004 due risoluzioni al fine di creare una cultura globale della sicurezza informatica, in particolare per quanto riguarda la protezione delle infrastrutture critiche. La risoluzione A/57/239 del 2003, chiede agli Stati più capaci maggiore consapevolezza, responsabilità, e collaborazione al fine di prevenire, rilevare, e rispondere alle minacce informatiche. La risoluzione A/58/199 del 2004, invece, invita le organizzazioni internazionali più rilevanti e gli Stati membri che hanno già sviluppato strategie avanzate di cybersecurity a protezione delle loro infrastrutture critiche, alla condivisione con gli altri Stati delle best practices e delle misure adottate.77

Un’altra importante iniziativa è il Group of Governmental Experts (GGE), un gruppo di esperti convocato dal Segretario Generale su richiesta dell’Assemblea Generale, composto da un massimo di quindici membri nominati dai rispettivi governi in rappresentanza regionale, che si occupa di analizzare specifiche tematiche concernenti l’utilizzo delle ICT nel campo della sicurezza internazionale.

Fra i vari Rapporti78 presentati dal GGE all’Assemblea Generale, quello del 2010, oltre a fornire alcune raccomandazioni concernenti la riduzione del rischio cibernetico e la protezione delle infrastrutture critiche, richiamava il rafforzamento della cooperazione fra Stati, soggetti privati, e società civile, nel contesto della governance, da realizzarsi mediante la condivisione di best practices per la prevenzione e la gestione degli incidenti, aumentando la trasparenza e la stabilità del sistema. Infine, forniva anche

77_{Per approfondimenti (Lewis & Neuneck, 2013), pp. 94-95} 78_{(Christou, 2015), pp. 46-50}

importanti indicazioni sulle modalità di applicazione del diritto internazionale al cyberspace, in particolare per quanto concerne il profilo della cyber warfare.

Tuttavia, su molte tematiche emergeva ancora una netta divergenza di opinioni fra gli Stati, dunque nel 2010, l’Assemblea Generale approvò una risoluzione (A/RES/65/41) che chiedeva un nuovo GGE, il quale si svolse nel 2012, e che nel 2013 produsse un nuovo Rapporto, nel quale si convenne su un elevato numero di raccomandazioni concernenti norme, regole e principi di condotta responsabile degli Stati nel cyberspazio.79

Infine, nell’ultimo Rapporto, presentato nel 2015 (A/70/174), il GGE ha definitivamente sancito l’applicabilità dei principi di diritto internazionale al cyberspace, affidando all’ONU un ruolo guida nella promozione del dialogo sulla cybersecurity. I principali risultati ottenuti con questi Rapporti consistono nella prevenzione dell’utilizzo delle ICT per fini incompatibili con lo Statuto dell’ONU. In particolare, viene sancita la responsabilità dello Stato per le azioni commesse all’interno dello spazio cibernetico in contrasto con il diritto internazionale.

L’ITU è un’agenzia delle Nazioni Unite specializzata nel settore delle telecomunicazioni, ed in quanto tale, ha promosso molte iniziative concernenti la

cybersecurity. In particolare, nel 2007 l’ITU ha lanciato la Global Cybersecurity Agenda (GCA), un framework per la cooperazione internazionale, volto a rafforzare la

fiducia e la sicurezza nella società dell’informazione.80 La GCA si focalizza su diverse aree di lavoro: misure legali, misure tecniche e procedurali, strutture organizzative, sviluppo delle capacità e cooperazione internazionale. Al fine di rendere operativa la GCA, l’ITU ha instaurato una collaborazione strutturata con l’International

Multilateral Partnership Against Cyber Threats (IMPACT), la prima coalizione

pubblico-privata concernente la cybersecurity e sponsorizzata dalle Nazioni Unite. L’ITU ha poi promosso il Global Cybersecurity Index, un’iniziativa multi-stakeholder volta a misurare l’impegno degli Stati riguardo lo sviluppo di soluzioni per la

cybersecurity con riferimento alle cinque aree di interesse della GCA. Infine, sempre

nell’ambito della GCA, nel 2008 l’ITU ha lanciato un’altra iniziativa multi- stakeholder, la Child Online Protection, al fine di rendere il cyberspace un ambiente

79_{(Christou, 2015), pp. 46-50}

sicuro per la navigazione dei bambini. L’ITU inoltre fornisce assistenza agli Stati impegnati nella creazione di un Computer Incident Response Team (CIRT). In particolare, ha elaborato linee guida su come sviluppare un’efficace strategia di

cybersecurity per i Paesi in via di sviluppo, ponendo l’enfasi sul modello multi- stakeholder e sulla enhanced cooperation fra tutte le parti interessate, tuttavia

riservando ai governi un ruolo chiave nella definizione dell’agenda e delle condizioni per la collaborazione con gli altri stakeholder.81_{Per il monitoraggio dell’efficacia della}

strategia, raccomanda un classico approccio regolatorio statale, mediante la designazione di un’agenzia indipendente. Infine, nel modello delineato dall’ITU viene in evidenza anche il ruolo dei partenariati pubblico-privati, sostenendo che una collaborazione di successo presupponga tre elementi: in primis, tutti gli stakeholders devono essere consapevoli dei benefici portati dalla collaborazione; in secundis, si raccomanda una chiara delineazione dei ruoli e delle responsabilità di ogni soggetto interessato; in tertiis, si richiama lo sviluppo della fiducia fra tutte le parti interessate. Per quanto riguarda invece l’aspetto socio-economico connesso al cybercrime82, la

prima risoluzione adottata dall’Assemblea Generale risale al 2001 (56/121),

Combating the Criminal Misuse of Information Technologies. In tale risoluzione, gli

Stati vengono incoraggiati ad adottare provvedimenti legislativi che: eliminino la possibilità per i cyber criminali di trovare rifugi sicuri; creino una maggiore consapevolezza pubblica nei confronti del cyber crime; siano idonei a proteggere la confidenzialità, l’integrità e la disponibilità dei dati. Inoltre, con la risoluzione dell’Assemblea Generale 65/230 del 2010, si affida allo United Nations Office on

Drugs and Crime (UNODC) il compito di elaborare uno studio sulle problematiche

del cyber crime a livello globale, studio poi completato nel 2013 e che ad oggi è considerato una pietra miliare per la quantità di temi affrontati in un forum internazionale.83_{Nel 2015 l’UNODC ha poi istituito il Cyber Crime Repository, un}

database dove è possibile reperire giurisprudenza, leggi e best practices nella lotta al cybercrime.84

81_{(Christou, 2015), pp. 46-50} 82_{(Marchetti & Mulas, 2017), p. 121} 83_{Consultabile al link:}

https://www.unodc.org/documents/organizedcrime/UNODC_CCPCJ_EG.4_2013/CYBERCRIME_S TUDY_210213.pdf

Di recente anche il tema della tutela della privacy nel cyberspace ha suscitato l’attenzione delle Nazioni Unite.85 Nel 2013 il Consiglio per i Diritti Umani (United

Nations Human Rights Council – UNHRC), oltre a sancire l’estensione della tutela dei

diritti umani allo spazio cibernetico, ha sottolineato l’indispensabilità di un approccio multilaterale per affrontare il problema della privacy, piuttosto che affidarsi esclusivamente alla legislazione statale, dato che molto spesso i governi si accordano con i grandi fornitori di servizi informatici per il trattamento dei dati riservati. Inoltre, nel rapporto annuale dello Special Rapporteur on the right to privacy, viene messa in evidenza la necessità di una migliore supervisione sulle attività di intelligence dei vari Stati, al fine di non sacrificare sull’altare della sicurezza informatica, il diritto alla privacy dei cittadini.

In conclusione, è agevole constatare come il grande numero di agenzie ONU che si occupano a vario titolo di cybersecurity, renda molto difficile l’elaborazione di un indirizzo unitario a livello internazionale, non facilitando la creazione di un organismo intergovernativo ad hoc.

2.3. La NATO

La cyber defense è entrata nell’agenda politica della NATO a partire dal vertice di Praga del 2002, nel quale si prese atto di alcuni attacchi DDoS subiti nel 1999 durante il conflitto in Kosovo, e si cercò di sviluppare una strategia che potesse assicurare un maggiore grado di sicurezza, confluita poi in un primo Cyber Defense Program. Tuttavia questo primo approccio risultava essere piuttosto tecnico, prevedendo sostanzialmente la costituzione del Nato Computer Incident Response Capability (NCIRC), un ente tuttora preposto allo sviluppo, all’implementazione ed alla gestione della sicurezza informatica della rete dell’Alleanza, che si avvale di un Rapid Reaction

Team per una pronta risposta alle aggressioni cyber.86

Solamente in seguito agli attacchi in Estonia del 2007, al termine del Summit di Bucarest del 2008, l’approccio della NATO è diventato più politico, essendo stata

85_{(Marchetti & Mulas, 2017), p. 125}

86_{Azzarone R., Cybervademecum IV parte, Gnosis, Rivista Italiana di Intelligence, n. 2/2015, pp. 88-}

definita per la prima volta una vera e propria policy per la cyber defense.87 L’obiettivo era quello di proteggere i sistemi informativi della NATO e dei suoi membri, aumentando la collaborazione e la condivisione di migliori pratiche per lo sviluppo delle capacità necessarie a prevenire, rilevare e rispondere ad una minaccia. A tal fine si istituirono il CDMA (Cyber Defense Management Autority), che si occupava del coordinamento operativo, ed il CCDCOE (Cooperative Cyber Defense Centre Of

Excellence), con scopi di ricerca.

Il CDMA, oggi sostituito dal Cyber Defense Management Board (CDMB), è un comitato operativo che gestisce la strategia di cyber defense della NATO, garantendo il coordinamento di quest’ultima fra tutti gli organismi civili e militari dell’Alleanza, anche attraverso la stipulazione di protocolli di intesa con le singole autorità nazionali preposte alla difesa informatica.

Il CCDCOE invece, istituito nel 2008 a Tallin, non ha un ruolo operativo, svolgendo principalmente funzioni di ricerca, formazione, ed addestramento sulle questioni legali e tecniche concernenti la cyberwarfare. Il CCDCOE (di cui l’Italia è fra l’altro

Sponsoring Nation) è dunque un organismo di cooperazione, essendo il suo scopo

quello di sviluppare una conoscenza condivisa fra i vari Paesi. Alla sua guida si trova un Direttivo, ed è diviso in cinque sezioni, Law and Politics, Technology, Strategy,

Education and Exercise, Support. Al suo interno si svolgono diverse tipologie di

attività, fra cui: attività di sostegno e coordinamento per le politiche strategiche dell’Alleanza e nazionali (Legal and Policy Support to NATO and Nations); attività di studio e ricerca sulle implicazioni legali e politiche legate alla cybersecurity (Legal

and Policy Research); attività legate allo sviluppo delle capacità dei singoli Paesi ed

integrate, attraverso la ricostruzione di scenari futuri (Strategy and Capability

Development); attività di sviluppo delle capacità di analisi, prevenzione, contrasto

della minaccia, collegate alla dottrina ed al Concetto Strategico NATO (Military

Doctrine and Capability Development); sostegno ad attività di esercitazione ed

addestramento (External Exercise Support); creazione di una consapevolezza culturale e situazionale, e comprensione della realtà circostante (Education and Awareness,

Monitoring and Situational Awareness); attività di esercitazione vere e proprie

(Technical Exercises); studio della scienza digitale forsense (Digital Forensics); test

87_{(Marchetti & Mulas, 2017), p. 127}

sulla resilienza delle strutture cyber, in particolare delle infrastrutture critiche (Penetration Testing).

Tra i maggiori contributi del CCDCOE si possono ritrovare: le due edizioni del Manuale di Tallinn (2013 e 2017)88, che contengono uno studio sulle modalità di applicazione dei principi di diritto internazionale alla guerra cibernetica; le esercitazioni annuali grazie alle quali gli alleati possono testare la propria capacità di gestire una crisi cibernetica. Partendo dal Tallin Manual on the International Law

applicable to Cyber Warfare, con la prima edizione del 2013 si è affermato che il

diritto internazionale debba guidare il comportamento degli Stati nel cyberspace, fornendo un’analisi del diritto applicabile in materia in riferimento allo jus ad bellum e ad allo jus in bello. Con la seconda edizione del 2017, sono state approfondite anche diverse tematiche concernenti le maggiori minacce cibernetiche per gli Stati dell’Alleanza.89_{In generale, le due versioni del Manuale costituiscono un utilissimo}

strumento per lo studio e l’approfondimento della materia, anche se, per alcuni Stati contrapposti all’Alleanza, come ad esempio la Russia, costituiscono un tentativo di dare una giustificazione ed una legittimazione giuridica ai conflitti cibernetici.90 Per quanto invece concerne le esercitazioni, ogni anno vengono organizzate delle

Locked Shields, condotte utilizzando il Cyber Range (Poligono Virtuale) del

CCDCOE. I Poligoni Virtuali sono complessi sistemi di elaborazione che, sfruttando la tecnologia della virtualizzazione, consentono di simulare reali scenari di crisi. In tal senso, la costituzione di un Cyber Range anche a livello nazionale potrebbe rivelarsi un utile strumento per la protezione dei propri sistemi informatici. In particolare, ciò consentirebbe: alle Forze Armate e alla Pubblica Amministrazione, una migliore formazione dei propri operatori; alle Università, l’incoraggiamento allo studio ed alla ricerca di nuove tecniche di cybersecurity; ai privati specializzati nel settore, lo sviluppo ed il test di nuove soluzioni tecnologiche.91

Ciononostante, è solamente a partire dal vertice di Lisbona del 2010 che si iniziò a delineare una concreta centralizzazione della difesa dell’apparato istituzionale NATO.

88_{Link all’edizione del 2013:}_{http://csef.ru/media/articles/3990/3990.pdf}_{Link all’edizione del 2017:} https://www.cambridge.org/core/books/tallinn-manual-20-on-the-international-law-applicable-to- cyber-operations/E4FFD83EA790D7C4C3C28FC9CA2FB6C9

89_{(Marchetti & Mulas, 2017), p. 129}

90_{Sul punto si veda (Krutskikh, 2014), pp. 115-126} 91_{(Baldoni, 2015), pp. 46-47}

In tale occasione infatti, la cyber defense venne inclusa nel nuovo Concetto Strategico, entrando quindi a tutti gli effetti a far parte della dottrina NATO.92 Più in particolare, mentre i precedenti Concetti Strategici erano sempre stati legati alla difesa territoriale degli Stati membri rispetto a minacce convenzionali, l’attuale risulta essere più politico e globale, assegnando all’articolo 5 del Trattato di Washington (contenente il principio della collective defense) l’obiettivo di proteggere gli Stati membri da minacce che trascendono i confini nazionali, fra cui anche quelle provenienti dallo spazio cibernetico, con particolare riferimento alle infrastrutture critiche.93_{Su questa base,}

nel 2011 fu definita una nuova policy per la cyber defense, e nel 2012, il relativo piano di azione, cercando di sviluppare un approccio coordinato in tutta l’Alleanza, da realizzarsi anche tramite la collaborazione con organizzazioni internazionali, settore privato e mondo accademico. Inoltre, nel 2012 si istituì l’Agenzia di comunicazione ed informazione della NATO (NCIA), al fine di centralizzare la protezione informatica delle istituzioni NATO, aumentando nel contempo le competenze del NCIRC.

Infine, al termine dei vertici del 2014 in Galles e del 2016 a Varsavia, è stata avvallata l’Enhanced Cyber Defence Policy. In particolare, il cyberspace è stato formalmente

Nel documento Assetto normativo e governance della Cybersecurity per la Pubblica Amministrazione (pagine 101-118)