LA CYBERSECURITY NEL CONTESTO INTERNAZIONALE E DELL’UNIONE EUROPEA
3. LA STRATEGIA DI CYBERSECURITY DELL’UNIONE EUROPEA
3.1. L’evoluzione della politica europea in materia di cybersecurity
3.1.1. La sicurezza della società dell’informazione e lo sviluppo dell’economia
digitale comunitaria. La lotta al cybercrime, l’approccio alla NIS ed il quadro normativo per le comunicazioni elettroniche
L’Unione Europea ha mosso i suoi primi passi nell’ambito della sicurezza informatica parallelamente alla sua strategia di sviluppo della società dell’informazione, nell’ambito di diverse iniziative adottate alla fine degli anni Novanta. La prima di queste fu la Decisione n. 276/99/CE del Parlamento europeo e del Consiglio, con cui si adottò un Piano pluriennale d’azione comunitario, al fine sia di promuovere l’uso sicuro di Internet attraverso la lotta alle informazioni di contenuto illegale e nocivo in rete, sia di incoraggiare, a livello europeo, un ambiente favorevole allo sviluppo dell’industria legata alla rete (Safer Internet)112. Tale iniziativa fu poi rinnovata nel
109 Disponibile al link: http://eng.sectsco.org/documents/ 110 (Christou, 2015), pp. 59-60
111 (Lewis & Neuneck, 2013), pp. 105-106 112 Disponibile al link:
108
2002 fino al 2004, anno in cui fu sostituita dal programma Safer Internet Plus (2005- 2008).
Altre importanti iniziative furono adottate dalla Commissione Europea nell’ambito del progetto eEurope del 1999, volto a garantire ai cittadini europei il godimento dei vantaggi portati dall’uso corretto delle ICT nell’ottica dell’allora nascente economia digitale. Dunque in tale contesto, la prima naturale preoccupazione dell’UE non poteva che andare a riguardare la lotta al cybercrime.113 Più specificamente, al termine del
vertice di Lisbona tenutosi a marzo del 2000, il Consiglio europeo invitò il Consiglio e la Commissione ad elaborare un Piano d’Azione (eEurope Action Plan) volto a promuovere azioni a tutela della sicurezza della rete e l’adozione di una strategia coordinata e coerente per far fronte alla criminalità informatica entro la fine del 2002. Tale Piano d’Azione fu elaborato ed approvato in poco tempo, in occasione del vertice del Consiglio europeo a Feira nel giugno 2000.114 In questo senso dunque, si può dire che l’iniziativa eEurope sia stata la base per lo sviluppo di un approccio europeo alla sicurezza informatica. Infatti, nell’ambito del Piano d’Azione, a giugno del 2001, la Commissione Europea pubblicò due importanti Comunicazioni al Consiglio, al Parlamento Europeo, al Comitato Economico e Sociale ed al Comitato delle Regioni, tentando di fornire delle risposte concrete al nascente problema del cybercrime. Nella prima Comunicazione, dal titolo: “Creare una società dell’informazione sicura,
migliorando la sicurezza delle infrastrutture dell’informazione e mediante la lotta alla criminalità informatica”115, la Commissione analizzava la necessità e le eventuali forme di un’iniziativa politica globale per migliorare la sicurezza delle infrastrutture dell’informazione e per combattere la criminalità informatica, preservando l’equilibrio fra le esigenze di sicurezza ed i diritti fondamentali dell’uomo. A tal fine proponeva l’adozione di una serie di disposizioni di diritto sostanziale, di diritto processuale e di misure non legislative. A titolo meramente esemplificativo, fra le prime si ricordano quelle riguardanti la lotta alla pornografia infantile, al razzismo ed alla xenofobia online, anche mediante l’applicazione della Convenzione di Budapest. Per quanto invece riguarda le seconde, si proponeva il ravvicinamento dei poteri nell’ambito del diritto processuale penale per garantire agli organi preposti allo svolgimento delle
113 (Christou, 2015), pp. 87 ss.
114 Link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52000DC0330&from=IT 115 COM/2000/890, consultabile al link: http://www.privacy.it/archivio/com2000-890.html
109
indagini i poteri necessari a tutelare le vittime del crimine cibernetico, puntando anche sul rafforzamento della cooperazione con gli altri Paesi, sempre nel rispetto del diritto comunitario. Infine, le misure non legislative costituivano una serie di parametri operativi in linea con i già citati dieci principi ed il relativo Piano d’Azione del G8 del 1997, fra i quali si ricordano: l’istituzione a livello nazionale di unità speciali di polizia informatica, nel caso non fossero già state create; una migliore cooperazione tra gli organi incaricati dell’applicazione della legge, gli operatori del settore, le organizzazioni dei consumatori e i garanti della protezione dei dati; la promozione di opportune iniziative da parte degli operatori del settore e della collettività, comprese iniziative riguardanti prodotti di sicurezza.
La seconda Comunicazione, dal titolo “Sicurezza delle reti e sicurezza
dell’informazione: proposta di un approccio strategico europeo”116, testimonia la
volontà dell’UE di intraprendere un percorso autonomo nel campo della cybersecurity. Innanzitutto, veniva fornita una definizione della Network and Information Security (NIS), intesa come la “capacità di una rete o di un sistema d’informazione di resistere, ad un determinato livello di riservatezza, ad eventi imprevisti o atti dolosi che compromettono la disponibilità, l’autenticità, l’integrità e la riservatezza dei dati conservati o trasmessi e dei servizi forniti o accessibili tramite la suddetta rete o sistema”.117 Dopodiché, la Commissione provvedeva ad elencare un quadro generale
delle minacce alla sicurezza, individuandone sei in particolare: l’intercettazione delle comunicazioni; l’accesso non autorizzato a computer e reti informatiche; la caduta della rete, determinata dai c.d. disruptive attack, che comportano l’interruzione delle funzioni di un’infrastruttura; l’esecuzione di malware che modificano o distruggono i dati; l’usurpazione di identità, che può sia arrecare danni all’immagine della vittima, sia comportare la creazione di falsi siti web contenenti malware; gli incidenti ambientali ed altri eventi imprevisti, cioè sia tutte quelle situazioni che sfuggono alla volontà umana (come ad esempio le catastrofi), sia veri e propri casi di errore umano. Preso atto di ciò, la Commissione delineava un approccio europeo alla NIS, sostenendo la necessità di un intervento pubblico per equilibrare il mercato (che da solo non riusciva a promuovere sufficienti investimenti in sicurezza), ed allo stesso tempo per
116 COM/2001/0298, consultabile al link:
https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52001DC0298&from=IT 117 (Commissione Europea, COM/2001/0298, 2001), p. 3
110
migliorare il funzionamento del quadro giuridico. Le azioni principali proposte comprendevano: la sensibilizzazione di tutti i soggetti interessati; la condivisione delle
best practices fra gli Stati membri; il rafforzamento della cooperazione fra i CERT
europei, creando quindi un sistema europeo di segnalazione e di informazione; il sostegno agli investimenti in sicurezza informatica ed alle attività di certificazione e standardizzazione, per superare l’ostacolo della scarsa interoperabilità fra le varie tecnologie esistenti; l’introduzione di un quadro normativo comune volto a ravvicinare le singole discipline nazionali relative alla criminalità informatica ed alla sicurezza; lo sforzo continuo per lo sviluppo di iniziative internazionali nella lotta al cybercrime. Per quanto infine riguarda la Pubblica Amministrazione, veniva riconosciuta massima importanza alla sicurezza informatica, dato che gran parte dei dati dei cittadini, in possesso della PA, erano e sono di natura personale e riservata. La sicurezza dunque risultava essenziale nell’ottica dell’implementazione della strategia eEurope, il cui scopo era quello di incoraggiare una più intensa ed efficace interazione fra cittadino e PA. Inoltre, grazie allo sviluppo dell’e-Government, alle PA veniva riconosciuto il ruolo di “testimoni potenziali dell’efficacia delle soluzioni di sicurezza” ed al contempo, di “soggetti del mercato in grado di influenzare gli sviluppi del settore mediante le loro decisioni di acquisto”.118 Le azioni al riguardo proposte agli Stati
membri erano: l’accoglimento di soluzioni efficaci ed interoperabili di sicurezza delle informazioni per l’e-Government e l’e-procurement della PA, e l’introduzione della firma elettronica nei servizi pubblici offerti online dalla PA. In tale ottica, veniva espressamente affermata la necessità dello sviluppo di una vera e propria cultura della sicurezza per la PA.
Nel 2002 si approvò un nuovo piano d’azione, eEurope 2005, che a differenza del precedente, aveva l’obiettivo di estendere la connettività ad Internet in Europa per aumentare la produttività economica e migliorare la qualità e l’accessibilità dei servizi per tutti i cittadini europei, sulla base di un’infrastruttura a banda larga protetta ed ampiamente disponibile.
Sempre nel 2002, si adottarono tre importanti direttive in materia di comunicazioni elettroniche (poi modificate dalla Direttiva 2009/140/CE), che trattavano anche alcuni aspetti di sicurezza legati alla protezione della privacy: la Direttiva 2002/21/CE, che
111
istituiva un quadro normativo comune per le reti ed i servizi di comunicazione elettronica; la Direttiva 2002/19/CE, relativa all’accesso alle reti di comunicazione elettronica, alle risorse correlate ed all’interconnessione delle medesime; e la Direttiva 2002/20/CE, relativa alle autorizzazioni per le reti ed i servizi di comunicazione elettronica. Inoltre, con la Direttiva 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, si introdusse l’obbligo per i fornitori di servizi di comunicazione elettronica accessibili al pubblico, di salvaguardare la sicurezza dei loro servizi, oltre a varie disposizioni contro le comunicazioni commerciali non richieste (spam) e contro i programmi spia (spyware).
Infine, nel 2003 l’UE ha adottato una propria strategia in materia di sicurezza, dal titolo “Un’Europa sicura in un mondo migliore”119, che sebbene non menzioni
esplicitamente la cybersecurity, fa riferimento alla “dipendenza europea da un’infrastruttura interconnessa nel settore dei trasporti, dell’energia, dell’informazione ed altri” ed alla “conseguente vulnerabilità dell’Europa sotto questo profilo”120. Solamente nella Relazione del 2008 sull’implementazione della strategia del 2003, dal titolo “Garantire sicurezza in un mondo in piena evoluzione” si farà per la prima volta uso esplicito del termine cybersecurity. La sicurezza informatica viene qui presentata come un aspetto rilevante nell’ottica del terrorismo e della criminalità organizzata, considerando la possibilità che attacchi di natura cibernetica aventi come bersaglio sistemi informatici privati o governativi possano divenire una nuova potenziale arma economica, politica e militare. Sebbene la cybersecurity ricopra un piccolo ruolo all’interno del documento, la Relazione compie comunque un passo importante per quanto riguarda l’evoluzione della tematica in ambito comunitario.121
119 La Strategia del 2003 e la relativa Relazione del 2008, sono disponibili al link: http://www.consilium.europa.eu/media/30812/qc7809568itc.pdf
120 (Consiglio dell'Unione Europea, 2003), p. 29
121 Cencetti C., Cybersecurity: Unione europea e Italia Prospettive a confronto, Quaderni IAI, Edizioni
112
3.1.2. L’European Union Agency for Network and Information Security
Nel 2004 sono stati fatti dei passi molto importanti nell’ambito della sicurezza informatica in Europa. In particolare, il Regolamento (CE) n. 460/2004 ha istituito la
European Union Agency for Network and Information Security (ENISA), al fine
principale di “assicurare un elevato livello di sicurezza delle reti e dell’informazione nella Comunità”, e di “sviluppare una cultura in materia di sicurezza delle reti e dell’informazione a vantaggio dei cittadini, dei consumatori, delle imprese e delle organizzazioni del settore pubblico nell’Unione europea, contribuendo in tal modo al buon funzionamento del mercato interno”122. ENISA è situata in Grecia, la sua sede si
trova a Candia (isola di Creta), e dispone inoltre di un ufficio operativo ad Atene. Nel 2008 il Parlamento europeo ed il Consiglio hanno adottato il Regolamento (CE) n. 1007/2008, che ha prorogato il mandato dell’Agenzia fino a marzo 2012. Il Regolamento (CE) n. 580/2011 ha prorogato a sua volta il mandato dell’Agenzia fino al 13 settembre 2013. Da ultimo, il Regolamento (CE) n. 526/2013 ha abrogato il Regolamento n. 460/2004, estendendo il mandato di ENISA fino al 2020.
Il Regolamento n. 526/2013, enuncia gli obiettivi ed i compiti di ENISA, disciplinandone anche l’organizzazione ed il funzionamento. Per quanto concerne in particolare il profilo organizzativo, l’Agenzia è composta da un Consiglio di amministrazione, da un Direttore esecutivo e da un Gruppo permanente di parti interessate. Inoltre, per contribuire a migliorare l’efficacia e l’efficienza del funzionamento dell’Agenzia, il Consiglio di amministrazione ha istituito un Comitato esecutivo (2013), formato da cinque membri dello stesso e presieduto dal Presidente del Consiglio di amministrazione. Il Consiglio di amministrazione definisce gli orientamenti generali del funzionamento di ENISA, in particolare adottando il programma di lavoro annuale e pluriennale dell’Agenzia. Il Consiglio è composto da un rappresentante per ogni Stato membro e da due rappresentanti nominati dalla Commissione, con un mandato di quattro anni rinnovabile. Tutti i rappresentanti hanno diritto di voto, e sono nominati sulla base della loro conoscenza dei compiti e degli obiettivi dell’Agenzia, tenendo conto anche delle loro competenze gestionali, amministrative e di bilancio. Il Presidente del Consiglio di amministrazione è eletto
113
dal Consiglio fra i propri membri con un mandato di tre anni rinnovabile, ed ha il compito di convocare le riunioni del Consiglio stesso. Nell’esercizio delle sue funzioni amministrative e di bilancio, il Consiglio è assistito dal Comitato esecutivo. Il Direttore esecutivo dirige l’attività di ENISA, amministrando l’Agenzia, ed attuando le decisioni del Consiglio di amministrazione. Inoltre, elabora il programma annuale e pluriennale di lavoro di ENISA, e, previa consultazione della Commissione Europea, lo trasmette al Consiglio di amministrazione per la sua adozione. È nominato dal Consiglio di amministrazione ed è indipendente nell’esercizio delle sue funzioni. Oltre a ciò, in base alle esigenze di ENISA, il Direttore esecutivo può istituire gruppi di lavoro ad hoc composti da esperti, provenienti anche dalle Autorità nazionali competenti. Infine, il gruppo permanente di parti interessate è composto da esperti in rappresentanza del settore privato e della società civile, nonché da rappresentanti delle Autorità nazionali di regolamentazione, ed ha funzioni consultive relativamente allo svolgimento delle attività di ENISA.
Per quanto riguarda queste ultime, l’Agenzia principalmente si occupa di assistere le istituzioni, gli organi e gli organismi dell’Unione, e gli Stati membri nell’elaborazione e nell’attuazione di politiche in materia di sicurezza delle reti e dell’informazione, cercando di stimolare un’ampia cooperazione tra attori del settore pubblico e del settore privato. Nel far questo elabora e pubblica sul proprio sito moltissime Raccomandazioni e Linee guida, al fine di diffondere buone pratiche a livello europeo per aumentare la sicurezza della società dell’informazione. Tali documenti forniscono degli utili suggerimenti in tutti i campi della cybersecurity: dalla sicurezza del cloud, allo sviluppo ed aggiornamento delle strategie di cybersecurity nazionali, alla protezione delle infrastrutture critiche, alla tutela della privacy, allo sviluppo dell’IoT e delle infrastrutture smart. Inoltre elabora soluzioni per favorire la cooperazione fra i CERT nazionali a livello europeo, sviluppando anche programmi di incident reporting per incentivare la condivisione di informazioni mediante la segnalazione di incidenti da parte di tutti i soggetti interessati. Altro importante compito riguarda il supporto allo sviluppo di meccanismi di certificazione unici a livello europeo, definendo anche gli standard di sicurezza comuni per le ICT. Infine, ogni due anni ENISA organizza alcune esercitazioni nell’ambito del programma Cyber Europe, alle quali prendono parte i maggiori attori pubblici e privati europei. Tali esercitazioni consistono in
114
simulazioni di incidenti cyber su vasta scala, e consentono di sviluppare elevate capacità di gestione delle crisi.
3.1.3. Le principali iniziative relative al periodo 2006/2013. Verso una cultura
europea della cybersecurity
Se nel 2004 era stato fatto un grande passo in avanti con l’istituzione di ENISA, tuttavia le iniziative dei primi anni del 2000 denotavano l’assenza di una vera cultura della cybersecurity, limitandosi a prevedere requisiti minimi di armonizzazione e ravvicinamento delle varie legislazioni nazionali.123 Tale assenza fu evidenziata in una Comunicazione della Commissione al Consiglio, al Parlamento Europeo, al Comitato Economico e Sociale Europeo ed al Comitato delle Regioni, dal titolo “Una strategia
per una società dell’informazione sicura - Dialogo, partenariato e responsabilizzazione” (COM 2006/251)124, che seguì al lancio nel 2005 dell’iniziativa
“i2010 - una società europea dell’informazione per la crescita e l’occupazione” (COM 2005/229)125, con la quale veniva definito un nuovo quadro strategico per lo sviluppo della società dell’informazione e dei media.
Fino al 2006, la strategia adottata dalla Comunità europea per la sicurezza della società dell’informazione si era articolata su tre livelli, comprendendo l’adozione di: misure specifiche per la NIS; un quadro normativo per le comunicazioni elettroniche, che includeva anche alcune questioni legate alla privacy; misure legate al contrasto del cybercrime. La Comunicazione del 2006 prendeva atto del fatto che le numerose interdipendenze presentate da questi tre aspetti giustificavano l’implementazione di una strategia coordinata e coerente, “basata su una cultura della sicurezza e fondata sul dialogo, il partenariato e la responsabilizzazione”126. Più in particolare, la
Comunicazione delineava le varie sfide per la sicurezza da affrontare a fronte del mutamento dello scenario avutosi in quegli anni, mutamento comportato da tre fattori: gli attacchi ai sistemi informatici erano sempre più motivati da una ricerca di profitto,
123 (Christou, 2015), p. 93
124 Link: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:52006DC0251&from=en 125 Link: https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2005:0229:FIN:IT:PDF 126 (Commissione Europea, COM 2006/251, 2006), p. 3
115
anziché dal semplice desiderio di creare caos, basandosi sulla raccolta illegale di dati all’insaputa dell’utilizzatore, e sulla rapida evoluzione e diffusione di nuovi malware; la vasta diffusione dei dispositivi mobili; l’avvento dell’intelligenza ambientale, cioè della diffusione capillare di dispositivi ICT intelligenti nella vita dell’uomo, la cui sicurezza richiede diversità, apertura ed interoperabilità. Tutti questi fattori rischiavano di scoraggiare gli utenti, frenando di conseguenza il mercato dell’ICT e lo sviluppo della società europea dell’informazione. Da qui la necessità di una sensibilizzazione di tutti gli attori in gioco, a partire dalla Pubblica Amministrazione, per la quale ancora non si poneva solamente il problema di proteggere le informazioni del settore pubblico, ma anche quello di diventare un esempio di buone pratiche per gli altri.
Dunque, la strategia delineata dalla Commissione proponeva un approccio dinamico ed integrato, che coinvolgesse tutti i soggetti interessati e si basasse su tre pilastri: il dialogo, il partenariato e la responsabilizzazione. A tal fine, riservava importanti funzioni ad ENISA, chiamata a svolgere un ruolo attivo nel raggiungimento di tutti e tre i profili strategici, fornendo suggerimenti e collaborando con le istituzioni comunitarie, gli Stati membri e le altre parti interessate.
Sempre in questi anni, in risposta ai tragici attentati di Madrid (2004) e Londra (2005), furono adottate alcune importanti iniziative per la protezione delle infrastrutture critiche. La Comunicazione della Commissione del 2004 intitolata “La protezione
delle infrastrutture critiche nella lotta contro il terrorismo” (COM 2004/702)127
presentava al riguardo una serie di proposte chiare per incrementare la prevenzione, la preparazione e la risposta in caso di attentati terroristici contro le infrastrutture critiche, in particolare proponendo un European Programme for Critical Infrastructure
Protection (EPCIP), e la costituzione di una rete informativa di allarme sulle
infrastrutture critiche (Critical Infrastructure Warning Information Network - CIWIN). Nel 2005, la Commissione ha poi adottato un Libro Verde relativo ad un programma europeo per la protezione delle infrastrutture critiche, presentando varie alternative relative all’elaborazione dell’EPCIP e della CIWIN.128
127 Link: http://www.vigilfuoco.it/aspx/ReturnDocument.aspx?IdDocumento=2833
116
Le idee contenute in tale Libro Verde furono poi elaborate dalla Comunicazione della Commissione del 2006 (COM 2006/786) relativa a un programma europeo per la protezione delle infrastrutture critiche, che presentava i principi, le procedure e gli strumenti proposti per attuare l’EPCIP.129 Tale Comunicazione evidenziava la natura interdipendente ed interconnessa delle infrastrutture critiche, ed in tale ottica, l’importanza di garantire la sicurezza delle tecnologie dell’informazione per attenuare le minacce. In questo senso, l’obiettivo dell’EPCIP era la riduzione al minimo delle vulnerabilità che sarebbero potute derivare da una qualsiasi interruzione dei servizi essenziali, migliorando la protezione e la resilienza delle infrastrutture critiche a livello comunitario.130 L’approccio adottato era un approccio multirischio, pur riconoscendo espressamente la priorità della minaccia terroristica rispetto alle altre. Più in particolare, si prevedeva la creazione di una piattaforma di coordinamento e cooperazione per portare avanti i lavori riguardanti gli aspetti generali e le specifiche azioni settoriali dell’EPCIP. In tal senso, si disponeva l’istituzione di un Gruppo di contatto PIC (Protezione Infrastrutture Critiche) a livello comunitario presieduto dalla Commissione, che avrebbe dovuto riunire i PIC designati a livello nazionale dai singoli Stati membri per coordinare le questioni legate alla protezione delle infrastrutture critiche. A tal fine veniva evidenziata la necessità di una Direttiva che regolasse la procedura di individuazione e designazione delle infrastrutture critiche europee e l’approccio comune per la valutazione della necessità di migliorarne la protezione.