DIPARTIMENTO DI GIURISPRUDENZA
Corso di Laurea Magistrale in Giurisprudenza
Tesi di Laurea Magistrale
ASSETTO NORMATIVO E GOVERNANCE DELLA
CYBERSECURITY PER LA PUBBLICA
AMMINISTRAZIONE
Il Candidato Il Relatore
Claudio Colacicco Prof. Alfredo Fioritto
I
Sommario
INTRODUZIONE V
CAPITOLO I
LA SFIDA DELLA CYBERSECURITY
1. ILCONCETTODICYBERSPACE 1
1.1. Lex informatica e diritto: la regolamentazione dello spazio cibernetico 1 1.2. L’evoluzione dello spazio cibernetico e la sua attuale importanza strategica 6
1.3. Cyberspace: una nozione complessa 9
2. CYBERTHREATSEDATTORIDELCYBERSPACE 10
2.1. Concetto e caratteristiche della minaccia cibernetica 10
2.2. Tipologie di cyber threats 11
3. EVOLUZIONEECARATTERISTICHEDELLANOZIONEDICYBERSECURITY 16
3.1. La nozione di Cybersecurity 16
3.2. L’evoluzione della cybersecurity. La cybersecurity come bene pubblico in senso
economico 19
4. DIGITALREVOLUTIONENUOVETECNOLOGIEPERLAPUBBLICA
AMMINISTRAZIONE 22
4.1. La nascita della società dell’informazione 22
4.2. Le politiche di e-Governement ed il modello dell’Open Government 24 4.3. Open Government e diritto di accesso nella normativa italiana 27 4.4. Profili critici del modello dell’Open Government e difficoltà di sistema 33
4.4.1. Il necessario contemperamento fra principio trasparenza e privacy 33 4.4.2. Le difficoltà del processo di digitalizzazione della Pubblica Amministrazione 45 4.4.3. Sicurezza e nuove tecnologie per la Pubblica Amministrazione 47
4.4.3.1. Il cloud computing 47
4.4.3.2. Internet of Things, Smart Cities/Communities ed Intelligenza Artificiale 63
CAPITOLO II
LA CYBERSECURITY NEL CONTESTOINTERNAZIONALE E
II
1. L’INTERNETGOVERNANCEELEDIFFICOLTA’DIUNAREGOLAZIONE
INTERNAZIONALE 71
1.1. Il concetto di Internet Governance 71
1.2. L’approccio multi-stakeholder ed il ruolo di ICANN 74
1.3. Dai summit di Ginevra (2003) e di Tunisi (2005), fino all’Internet Governance Forum (2006) 77 1.4. Dal modello multi-stakeholder al sistema multi-institutional. La necessaria riforma di
ICANN 79
1.5. I contrasti emersi in sede internazionale in tema di Internet governance 81
1.6. Le ricadute sul profilo della cybersecurity 85
1.7. Considerazioni conclusive in merito alla tematica dell’Internet Governance 88
2. LACYBERSECURITYNELLEPRINCIPALIORGANIZZAZIONIINTERNAZIONALI 90
2.1. I lavori del G8 e del G7 90
2.2. L’ONU e le sue agenzie 92
2.3. La NATO 96
2.4. L’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) 101 2.5. L’Organizzazione per la Sicurezza e la Cooperazione in Europa (OSCE) 102
2.6. Il Consiglio d’Europa 104
3. LASTRATEGIADICYBERSECURITYDELL’UNIONEEUROPEA 107
3.1. L’evoluzione della politica europea in materia di cybersecurity 107
3.1.1. La sicurezza della società dell’informazione e lo sviluppo dell’economia digitale comunitaria. La lotta al cybercrime, l’approccio alla NIS ed il quadro normativo per le comunicazioni elettroniche 107 3.1.2. L’European Union Agency for Network and Information Security 112 3.1.3. Le principali iniziative relative al periodo 2006/2013. Verso una cultura europea della
cybersecurity 114
3.2. La Strategia dell’Unione Europea per la cybersecurity 125
3.3. La Direttiva NIS 130
CAPITOLO III
LA NORMATIVA E L’ARCHITETTURA
ISTITUZIONALE ITALIANA
1. L’EVOLUZIONEDELLACYBERSECURITYNELLANORMATIVAITALIANA 143
1.1. I primi interventi italiani nel contesto della cybersecurity. Il contrasto al cybercrime 143 1.2. Le prime iniziative per la sicurezza informatica nelle pubbliche amministrazioni 148
1.2.1. La Direttiva della Presidenza del Consiglio dei Ministri del 16 gennaio 2002 149 1.2.2. Il Comitato Tecnico Nazionale sulla Sicurezza Informatica e delle Comunicazioni nelle
III
1.2.3. L’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione 155
1.3. Privacy e Cybersecurity. Le misure di sicurezza nella previgente versione del D.lgs. n.
196/2003 157
1.3.1. Il Regolamento GDPR (Reg. UE n. 679/2016). Le novità più rilevanti per la cybersecurity e la nuova disciplina delle misure di sicurezza 165
1.4. Il Codice delle comunicazioni elettroniche (D.lgs. n. 259 del 1 agosto 2003) 176 1.5. Le iniziative per la protezione delle infrastrutture critiche 180
2. LACOSTRUZIONEDELL’ARCHITETTURAISTITUZIONALEITALIANAPERLA
CYBERSECURITY 186
2.1. La sicurezza nazionale e la riforma del sistema di intelligence: dalla L. 3 agosto 2007,
n. 124, alla Legge 7 agosto 2012, n. 133 186
2.2. Il D.P.C.M. 24 gennaio 2013 (c.d. D.P.C.M. Monti) 196
2.3. Il D.P.C.M. 17 febbraio 2017 (c.d. D.P.C.M. Gentiloni) 206 2.4. Il recepimento della Direttiva NIS a livello nazionale: il D.lgs. 18 maggio 2018, n. 65 214
3. LAPOLIZIAPOSTALEEDELLECOMUNICAZIONI 220
4. L’AGENZIAPERL’ITALIADIGITALE 232
4.1. Gli enti pubblici posti alla guida del processo di digitalizzazione della Pubblica Amministrazione italiana e le relative iniziative per la sicurezza informatica dai primi anni
Novanta al 2012 232
4.1.1. L’Autorità per l’Informatica nella Pubblica Amministrazione - AIPA (1993-2003) 232 4.1.2. Il Centro Nazionale per l’Informatica nella Pubblica Amministrazione - CNIPA (2003-2009) 237 4.1.3. DigitPA - Ente Nazionale per la Digitalizzazione della Pubblica Amministrazione (2009-2012) 240
4.2. L’Agenzia per l’Italia Digitale (AgID) 244
4.2.1. Le iniziative di AgID per la sicurezza informatica 247
5. ILPARTENARIATOPUBBLICO-PRIVATO 255
CAPITOLO IV
CODICE DELL’AMMINISTRAZIONE DIGITALE ESICUREZZA
INFORMATICA
1. ILCODICEDELL’AMMINISTRAZIONEDIGITALE 261
2. LASICUREZZADEIDATI,DEISISTEMIEDELLEINFRASTRUTTUREDELLE
PUBBLICHEAMMINISTRAZIONI 263
2.1. Sicurezza informatica: l’inevitabilità di una regolamentazione sub-primaria ed il ruolo
IV
2.1.1. Le basi dati di interesse nazionale. La sicurezza dell’Anagrafe Nazionale della Popolazione
Residente (ANPR) 268
2.1.2. Il procedimento di adozione delle Linee Guida di AgID. La riforma dell’art. 71 del CAD 271
2.2. La continuità operativa ed il disaster recovery. La vicenda dell’art. 50-bis CAD 274
3. CARTADELLACITTADINANZADIGITALEESICUREZZAINFORMATICA 279
3.1. Identità digitale e sicurezza informatica 284
3.1.1. La sicurezza dell’identità digitale nel Regolamento eIDAS 292
3.2. Il diritto ad effettuare pagamenti con modalità informatiche. PagoPA 294 3.3. Domicilio digitale, posta elettronica certificata (PEC) e servizio elettronico di recapito
certificato (SERC) 297
4. ILDOCUMENTOINFORMATICOELEFIRMEELETTRONICHE 304
4.1. Il documento informatico: dematerializzazione e sicurezza 304 4.2. Firme elettroniche e prestatori di servizi fiduciari 306
4.2.1. Tipologie di firme elettroniche e livello di sicurezza 306 4.2.2. I prestatori di servizi fiduciari nel Regolamento eIDAS e nel CAD: qualificazione, obblighi di sicurezza e notifica, vigilanza, responsabilità e sanzioni 317
4.3. Sicurezza della firma elettronica e rilevanza giuridica del documento informatico 322 4.4. Gestione, conservazione, e trasmissione del documento informatico 328
5. LASICUREZZADELSISTEMAPUBBLICODICONNETTIVITÀ 335
6. ILRUOLODELL’AUTORITÀGARANTEDELLAPRIVACYEDELLADISCIPLINAIN
MATERIADIPROTEZIONEDEIDATIPERSONALIALL’INTERNODELCAD 337
CONSIDERAZIONI CONCLUSIVE
LO STATO DELLA MINACCIA CIBERNETICAIN ITALIA 343
BIBLIOGRAFIA 347
SITOGRAFIA 353
GIURISPRUDENZA CITATA 365
V
INTRODUZIONE
Con il presente elaborato si intende fornire una disamina concernente la normativa e la gestione della problematica della Cybersecurity dal punto di vista del settore pubblico. Se, da una parte, le nuove tecnologie hanno consentito lo sviluppo dei modelli di
e-Government e di Open e-Government, cambiando il rapporto fra cittadino e PA, dall’altra, non
possono non essere presi in considerazione i rischi per la sicurezza che attanagliano lo sviluppo dell’amministrazione digitale.
Il punto di partenza da cui muove tale dissertazione è costituito dalla presa di coscienza di quanto sia necessario assicurare la sicurezza informatica, al fine di alimentare la fiducia del cittadino negli strumenti informativi e nelle nuove tecnologie via via implementate dalla PA, consentendo, in tal modo, la piena integrazione di quest’ultimo nella nascente “società dell’informazione”. Dunque, in tale ottica, diventa primaria l’esigenza di protezione, non solo rispetto alle classiche categorie di minacce cibernetiche, rappresentate dal cyber crime, cyber
terrorism, cyber warfare, cyber espionage, hacking e dall’insider threat, ma anche rispetto a
quelli che possono essere i limiti stessi delle nuove tecnologie, le quali, anche quando non sono minacciate in modo diretto, restano comunque esposte al rischio di crash down, che può comportare una perdita di funzionalità o il blocco dei sistemi informativi e, di conseguenza, dei servizi tramite essi erogati.
Altro rischio è quello rappresentato dal Big Business1, ossia dalla sete di conoscenza del settore
privato, che partendo da semplici analisi di alcune informazioni che ci riguardano, spesso inserite su Internet proprio da noi in maniera inconsapevole, è in grado di ricavare una vera e propria profilazione della nostra personalità, dei nostri comportamenti e delle nostre abitudini, al punto da arrivare a conoscerci meglio dei nostri congiunti.2
Inoltre, all’interno di tale contesto, rimane ferma la consapevolezza che la cybersecurity dovrebbe in ogni caso rappresentare una garanzia per i diritti fondamentali dell’individuo, e non uno strumento per consentirne l’abuso. In tal senso, è necessario salvaguardarsi dal rischio rappresentato dalla nascita di un vero e proprio Big Brother3, laddove il monitoraggio di
1 Giovanni Ziccardi mette in guardia dai pericoli del Big Brother e del Big Business, in: Ziccardi G., Il ricatto digitale. Geopolitica, sorveglianza e controllo, il Mulino, Fascicolo 4, luglio-agosto 2017, pp.
670-678
2 Come evidenziato da un recente studio dello Psychometrics Centre dell’Università di Cambridge,
VI Internet e delle informazioni, svolto dagli organismi di pubblica sicurezza di uno Stato, dietro la maschera della sicurezza, finisca per rivelarsi eccessivo rispetto ai suoi fini.
L’elaborato, ponendosi in una prospettiva evolutiva, segue un doppio filo: da una parte vengono analizzati i poteri e le funzioni degli organismi internazionali, comunitari e nazionali posti a tutela dei sistemi informativi pubblici; dall’altra parte, invece, vengono analizzate le varie iniziative normative e non adottate a livello comunitario e nazionale.
Il Capitolo I introduce alla “sfida” della cybersecurity, definendo dapprima i concetti generali di cyberspace, cyber threats e cybersecurity, per poi passare ad un’analisi più mirata al settore pubblico. Si parte con una riflessione sullo sviluppo dei paradigmi dell’e-Government e dell’Open Government, cercando di metterne in luce gli aspetti critici (in particolare per quanto riguarda il rapporto fra principio di trasparenza e riservatezza), per concludere con un’analisi delle più recenti tecnologie che, molto probabilmente, le PA si troveranno ad utilizzare quotidianamente fra qualche anno, sempre tenendo presente il profilo della sicurezza (vengono analizzati in particolare: il Cloud Computing, l’Internet of Things, l’Intelligenza
Artificiale, il modello Smart Cities-Communities).
Il Capitolo II, invece, inquadra la problematica della cybersecurity all’interno del contesto internazionale e comunitario, partendo dai contrasti emersi in sede internazionale intorno al concetto di Internet Governance, che sono alla base dell’attuale incapacità di fornire risposte adeguate alla sicurezza dello spazio cibernetico a livello mondiale. Dopodiché, vengono passate in rassegna, in una prospettiva evolutiva, le iniziative maggiormente rilevanti per la cybersecurity, poste in essere dalle principali organizzazioni internazionali. Infine, un intero paragrafo è dedicato alla rilevanza che l’Unione Europea da sempre riconosce al tema della cybersecurity, con le principali iniziative, legislative e non, poste in essere dagli organismi comunitari, fra le quali si ricordano, ad esempio, l’istituzione dell’ENISA e la c.d. Direttiva NIS (Direttiva UE 2016/1148).
Il Capitolo III svolge un’ampia panoramica, in un’ottica evolutiva, sulla normativa e sull’architettura istituzionale della cybersecurity a livello nazionale. L’analisi della normativa nazionale viene suddivisa in aree tematiche. Nello specifico vengono analizzate: la disciplina di contrasto al cybercrime; le prime iniziative per la sicurezza informatica della PA; la disciplina a tutela della privacy, con particolare riguardo alle misure di sicurezza, tenuto conto anche del nuovo Regolamento GDPR (Reg. UE n. 679/2016), entrato in vigore il 25 maggio 2018; gli obblighi di sicurezza e notifica previsti dal Codice delle Comunicazioni Elettroniche (D.lgs. 1 agosto 2003, n. 259) ed i poteri da quest’ultimo assegnati al MISE ed all’AGCOM; le iniziative per la protezione delle infrastrutture critiche. Successivamente, viene passata in rassegna la costruzione dell’architettura istituzionale italiana per la cybersecurity, un percorso
VII durato più di dieci anni, iniziato con la L. 3 agosto 2007, n. 124 (poi modificata successivamente dalla L. 7 agosto 2012, n. 133), che ha istituito il Sistema di Informazione per
la Sicurezza della Repubblica, passato successivamente dal D.P.C.M. Monti del 24 gennaio
2013, che per la prima volta ha introdotto un Quadro Strategico ed un Piano Nazionale per la sicurezza del cyberspace nel nostro ordinamento, razionalizzato e puntualizzato poi dal D.P.C.M. Gentiloni del 17 febbraio 2017 ed, infine, dal D.lgs. 18 maggio 2018, n. 65, che ha recepito la suddetta Direttiva NIS a livello nazionale. Negli ultimi tre paragrafi invece sono analizzati, rispettivamente, due organi pubblici ed un modello di organizzazione ed azione amministrativa, che svolgono un ruolo chiave per la sicurezza informatica del nostro Paese. Nello specifico, per quanto riguarda gli organi, si fa qui riferimento: al Servizio di Polizia
Postale e delle Comunicazioni, che opera nel contesto dell’attività di contrasto al cybercrime,
al cyber terrorism e della protezione delle infrastrutture critiche; ed all’AgID, punto d’approdo del percorso evolutivo dei vari enti pubblici che, a partire dagli anni Novanta, hanno guidato la digital revolution della PA, svolgendo un ruolo fondamentale anche per la sicurezza di tale processo. Invece, il modello di organizzazione ed azione amministrativa analizzato è quello del Partenariato Pubblico Privato, che, anche alla luce del summenzionato Quadro Strategico, costituisce uno degli assi portanti per la tenuta dell’architettura nazionale della cybersecurity. Il Capitolo IV invece, fornisce un’analisi specifica delle norme che direttamente o indirettamente fanno riferimento alla sicurezza informatica ed alla tutela della riservatezza all’interno del CAD (Codice dell’Amministrazione Digitale, D.lgs. 7 marzo 2005, n. 82), anche alla luce delle recenti riforme apportate dal Regolamento eIDAS (Reg. UE n. 910/2014), dal D.lgs. 26 agosto 2016, n. 179, ed infine, dal D.lgs. 13 dicembre 2017, n. 217. In particolare, viene messo in luce il fatto che, per affrontare efficacemente il problema della sicurezza informatica, sia in molti casi necessario fare ricorso ad una regolamentazione sub-primaria, più facilmente modificabile ed adattabile all’evoluzione tecnologica. Vengono poi analizzati: le norme del CAD relative alla sicurezza dei dati, dei sistemi e delle infrastrutture delle PA; i nuovi istituti volti all’attuazione sul piano concreto della c.d. Carta della Cittadinanza Digitale e la loro concreta idoneità ad assicurare un elevato livello di sicurezza dei sistemi informativi pubblici; la disciplina del documento informatico e delle firme elettroniche, con particolare riguardo agli aspetti di sicurezza dei servizi fiduciari; la sicurezza del Sistema Pubblico di Connettività (SPC). Infine, l’ultimo paragrafo analizza il ruolo riservato al Garante della Privacy all’interno del CAD, ed il rapporto fra quest’ultimo ed il Codice della privacy (D.lgs. n. 196/2003), evidenziando le numerose interconnessioni, anche sul piano concreto, fra le norme a tutela della privacy e quelle finalizzate a garantire la cybersecurity.
1
CAPITOLO I
LA SFIDA DELLA CYBERSECURITY
1. IL CONCETTO DI CYBERSPACE
Il termine cyberspace fu usato per la prima volta nel “Neuromancer”, un celebre romanzo di fantascienza scritto da William Gibson nel 19841, nel quale lo scrittore statunitense anticipò quelli che poi sarebbero stati i più importanti sviluppi del ventunesimo secolo: l’interconnessione globale di dati e sistemi e la pervasività delle tecnologie ICT (Information and Communication Technology).
L’origine del termine “cibernetica” invece, è da ritrovarsi nel greco antico
“kybernetes” (κυβερνήτης), che letteralmente significa “timoniere”, “guida”. Infatti la
caratteristica principale del cyberspace è proprio la sua navigabilità, che permette agli utenti di affacciarsi su uno stesso luogo virtuale, comunicando tra computer diversi indipendentemente dalla loro posizione fisica.2
1.1. Lex informatica e diritto: la regolamentazione dello spazio cibernetico
A partire dagli anni Ottanta si è assistito ad un incremento esponenziale della diffusione di sistemi informatici. Ciò ha portato alla nascita di un nuovo spazio per le attività umane, un ambiente virtuale che avvolge interamente la vita delle persone, facendole interagire fra loro: “Cyberplace is a place. People live there. They
experience all the sort of things that they experience in the real space, there. […] While
1 Gibson W. (1984), Neuromancer, Ace
2 Marchetti R., Mulas R., Cybersecurity. Hacker, terroristi, spie, le nuove minacce del web, Luiss
University Press, Roma, luglio 2017, p. 23. Essendo stato utilizzato il formato e-book di tale opera per la stesura della presente Tesi, si precisa che il numero di pagina indicato potrebbe non corrispondere al numero di pagina della versione cartacea.
2 they are in that place, cyberspace, they are also here. […] They live this life there, while here”.3
Il cyberspazio è divenuto quindi un luogo dove lo spazio fisico si fonde con lo spazio virtuale. Infatti, tramite l’utilizzo delle tecnologie ICT, non solo riusciamo a riprodurre perfettamente nel cyberspace attività che solitamente svolgiamo nello spazio fisico, ma, virtualizzandole, ne modifichiamo anche le normali modalità di esecuzione.4 Inoltre, le più recenti tecnologie informatiche sono in grado di costruire nuovi dati, aggregando e combinando altri dati informatici. Riescono quindi a trasformare la realtà ed a ridurre la distinzione tra essa e la sua rappresentazione digitale, creando una nuova dimensione. Di fatto, alla tradizionale funzione conoscitiva dei computer, di supporto alle attività cognitive dell’uomo (come per esempio il calcolo o la ricerca), se ne aggiunge una ontologica, grazie alla quale le tecnologie riescono a creare ambienti ed oggetti virtuali che vanno ad estendere il mondo fisico. Ad oggi ci sono circa quindici miliardi di dispositivi connessi alla rete, nel 2020 si stima che il numero salirà a cinquanta miliardi, nel 2030 a cinquecento miliardi. È in atto quindi una vera e propria rivoluzione digitale che ridurrà sempre più la separazione fra cyberspace e realtà fisica.5
Ma da cosa è regolato veramente il comportamento umano in questo nuovo spazio virtuale? Piuttosto che dal diritto, è facile accorgersi che il comportamento umano nel cyberspace sia in realtà vincolato dal “codice”, o lex informatica6, cioè dai modi in cui operano hardware e software.7
Tuttavia, risulterebbe poco utile e soprattutto ingannevole negare una qualsiasi funzione regolativa al diritto nel cyberspace, si pensi ad esempio alle sanzioni previste dalle leggi a tutela del diritto d’autore, o a quelle sulla diffamazione. D’altra parte però, non si può non tener conto del fatto che gli Internet Service Provider (ISP)
3 Lessig L., The Zones of Cyberspace, Stanford Law Review, Vol. 48, No. 5 (May, 1996), pp.
1403-1411, citato in (Brighi, 2017), p. 81
4 Brighi R., La vulnerabilità nel cyberspazio, Ars interpretandi, Rivista di ermeneutica giuridica, n.
1/2017, pp. 81-94, doi: 10.7382/86672
5 Santoni A., La centralità della rete per una cybersecurity efficace. L’ approccio architetturale per un’intelligence pervasiva sulle nuove minacce, Gnosis, Rivista italiana di intelligence, n. 2/2016, pp.
102-109
6 Reidenberg J. R., Lex Informatica: The Formulation of Information Policy Rules through Technology,
Tex. L. Rev., n. 553, 1997-1998, p. 76, citato in (Brighi, 2017), p. 82
7 Giovanni Sartor parla anche di “regole virtuali” per definire i modi in cui il software può vincolare il
comportamento umano (Sartor G., Internet e il diritto, in: Temi di diritto dell'informatica, Torino, Giappichelli, 2011, pp. 11-34)
3
preferiscono l’autogestione e l’autoregolamentazione rispetto a qualsiasi forma statale e sovranazionale di controllo giuridico.
Un importante contributo riguardo al ruolo del diritto nel governo di Internet, è stato dato da Lawrence Lessig, giurista statunitense già citato sopra, il quale distingue fra quattro fattori di regolazione del cyberspace8: la legge, cioè il diritto imposto dallo
Stato; le norme sociali, cioè le regole sociali adottate dai membri di una particolare comunità; il mercato, che influenza il comportamento degli individui nel web, determinando i prezzi dei beni e delle opportunità presenti in rete; l’architettura (o
codice), espressione con la quale Lessig si riferisce all’hardware ed al software che
costituiscono il ciberspazio. Lessig osserva che, prima dell’avvento di Internet, questi quattro fattori risultavano ben bilanciati fra loro, influenzandosi e vincolandosi a vicenda; di conseguenza, si andavano a collocare in modo equidistante rispetto al singolo individuo che operava al centro dello scenario sociale. Dopo l’avvento di Internet invece, il codice è divenuto un vincolo fortissimo per l’individuo ed ha finito per influenzare in maniera determinante anche gli altri tre fattori, imponendo regole non per legge, ma attraverso la tecnologia, e rendendo di conseguenza impossibile una qualsiasi eventuale verifica da parte dei giudici.
In passato i vari tentativi di regolare il cyberspace da parte dei legislatori sono stati oggetto di accese rimostranze, basti pensare a cosa accadde nel 1996, quando John Perry Barlow9 guidò la protesta contro il Communications Decency Act, una legge statunitense dello stesso anno che proibiva la trasmissione di materiale pornografico sulla rete allo scopo di rendere quest’ultima un luogo accessibile e sicuro per i minori. Tale legge fu poi dichiarata incostituzionale nel 1997 dalla Supreme Court of the United States, in quanto eccessivamente restrittiva rispetto al suo scopo ed in contrasto con il primo emendamento, in particolare in riferimento al principio della Freedom of
Speech.10 Tuttavia, nel 1996 Barlow divenne uno dei profeti libertari di Internet,
scrivendo la “Dichiarazione di Indipendenza del Cyberspazio”11, nella quale vengono
8 Lessig L., Code and Other Laws of Cyberspace, Basic Books, New York, 1999
9 John Perry Barlow (1947-2018) è stato un poeta, saggista ed attivista statunitense, co-fondatore della
“Electronic Frontier Foundation”, oltre che autore dei testi delle canzoni del gruppo rock “Grateful Dead”.
10 Si veda: Reno v. American Civil Liberties Union, 521 U.S. 844 (1997), Supreme Court of the United
States.
4
rivendicate l’autonomia e l’originarietà dell’ordinamento del ciberspazio, assimilabile quasi ad un fenomeno naturale. Secondo Barlow, il ciberspazio porterebbe dentro di sé un “codice non scritto”, e quindi sarebbe capace di autoregolarsi e di risolvere da solo i propri conflitti, senza aver bisogno dell’intervento dello Stato.
È la Lex informatica, e non il diritto, che permette di stabilire norme specifiche per le informazioni presenti in rete. Attraverso le architetture tecnologiche infatti, si possono vietare alcune azioni, come ad esempio l’accesso, ovvero imporre alcuni strumenti di controllo atti a regolamentare l’azione dei soggetti ed a limitarne la libertà: la registrazione dell’utente, la password di accesso, l’autenticazione, i cookies, la tracciabilità degli indirizzi IP, i filtri sui contenuti.12 Facendo leva sulla metafora del cyberspazio come un luogo (cyberspace as a place), i tribunali spesso hanno applicato alle email ed all’accesso ai siti web la dottrina dell’illecita turbativa del possesso di cose, ignorando però che nessuno “entra” propriamente in un sito web, e che Internet non è un luogo in cui viaggiare, ma un protocollo che consente agli utenti di trasmettere dati fra computer.13 Diritti come ad esempio il diritto di proprietà difficilmente possono dirsi esistenti nella rete, dissimulati come sono dal diritto di accesso o dalla licenza d’uso.14
In Internet il diritto viene veicolato attraverso il mezzo tecnico: il codice non è una legge e non è soggetto a limiti costituzionali, ma trova la sua copertura nella legge e funziona de facto come una legge, garantendo a volte maggiore efficacia rispetto a questa. È una forma di soft law: una serie di atti, disomogenei in quanto ad origine e natura, ma in vario modo giuridicamente rilevanti, anche se privi di effetti giuridici vincolanti.15 Nel cyberspace le categorie giuridiche tradizionali del permesso e dell’obbligo vengono di fatto sostituite da ciò che è tecnologicamente possibile o impossibile. Il diritto nel mondo digitale diviene tecnologizzato, assumendo caratteristiche peculiari rispetto a quelle che normalmente presenta nel mondo reale;
12 Le seguenti considerazioni sono tratte da Maestri E., in Lex informatica e diritto. Pratiche sociali, sovranità e fonti nel cyberspazio, Ars Interpretandi, Rivista di ermeneutica giuridica, n. 1/2017, pp.
15-28, doi: 10.7382/86668
13 In tal senso, in (Maestri, 2017), p. 16, è indicata la seguente casistica giurisprudenziale: eBay, Inc. v. Bidder's Edge, Inc., 100 F. Supp. 2d 1058 (N.D. Cal. 2000); Register.com, Inc. v. Verio, Inc., 126 F.
Supp. 2d 238 (S.D.N.Y. 2000); American Online v. National Health Care Discount, Inc., 174 F. Supp. 2d 890 (N.D. Iowa 2001).
14 (Lessig, Code and Other Laws of Cyberspace, 1999), citato in (Maestri, 2017), p. 20 15 (Maestri, 2017), p. 18
5
ad esempio, nel cyberspace il diritto non si trova più ad insistere su un solo territorio particolare, ma in qualche modo deve riuscire a regolare un insieme di relazioni che si trovano nel vasto territorio virtuale che copre l’intero pianeta. L’elemento della territorialità tende quindi ad essere sostituito da quello della spazialità.16 Tutto questo ha come naturale conseguenza la crisi della sovranità dello Stato: il diritto statale, essendo un diritto rigido, non riesce a regolare le nuove modalità delle azioni umane. Serve un diritto flessibile, che si adatti al modello reticolare del mondo digitale.17
Tuttavia, come si accennava poco sopra, negare del tutto una funzione regolativa al diritto nel cyberspace sarebbe controproducente: sono molte infatti le richieste di una disciplina giuridica della rete, e non è assolutamente possibile non prenderle in considerazione. Queste richieste provengono innanzitutto dai governi, interessati a controllare la rete a fini di prevenzione del crimine ed in particolare del terrorismo, o allo scopo di censurare alcuni tipi di informazioni (materiali attinenti alla pedofilia, all’incitazione all’odio etnico o razziale, ecc.), ovvero per monitorare il dissenso politico e sociale. Altre richieste provengono poi dal mondo del business, basti pensare alla fondamentale tutela della proprietà intellettuale. Infine, ci sono richieste motivate dalla preoccupazione per la protezione della privacy e più in generale per gli altri diritti di libertà. Se da un lato quindi Internet sembra respingere il diritto e la politica, percependoli come ostacoli alla propria creatività ed al proprio autogoverno, dall’altro sembra aver bisogno di soluzioni giuridiche per i nuovi problemi determinati proprio dalla stessa creatività della rete, problemi rispetto ai quali non pare possibile raggiungere soluzioni condivise da parte di utenti ed operatori del web.18
Dunque, nonostante la crisi della sovranità statale, residua ancora un margine di intervento normativo per gli Stati: l’unica capacità di regolamentazione che essi hanno, è quella di intervenire sul codice e sull’architettura del sistema.19 Di tale avviso è anche Lessig: “Il codice può cambiare perché evolve in modo diverso, o perché il governo o
il mondo delle imprese lo spingono ad evolvere in modo particolare”.20 Poiché le
16 Pariotti E., La giustizia oltre lo Stato: forme e problemi, Giappichelli, Torino, 2004, citato in:
(Maestri, 2017), p. 19
17 Come sostenuto ancora in (Maestri, 2017), p. 19 18 (Sartor, 2011), p. 2
19 Betzu M., Regolare Internet. Le libertà di informazione e di comunicazione nell’ era digitale.
Giappichelli, Torino, 2012, citato in: (Maestri, 2017), p. 22
20 Lessig L., The Law of the Horse: What Cyberlaw Might Teach, Harvard Law Review, Vol. 113, 1999,
6
tecnologie ICT creano il mondo in cui viviamo, il diritto deve intervenire quantomeno per fare in modo che esse siano progettate in modo da evitare che alcune loro caratteristiche intrinseche le rendano strumenti di compressione di diritti fondamentali della persona. La base di tale intervento sta proprio nel principio di neutralità della rete, che presuppone che il traffico Internet debba essere trattato in condizioni di uguaglianza, senza discriminazioni. Internet infatti è una rete aperta e neutrale, ed è stata proprio questa la ragione del suo successo.21 Il diritto deve intervenire ex ante sul
codice per impedire che Internet da spazio di libertà, si trasformi in spazio di controllo. Il codice, che in maniera sempre più pervasiva ridefinisce le categorie della realtà, può infatti facilmente trasformarsi in una dittatura dell’algoritmo22; per evitare queste conseguenze, trasparenza, neutralità, sicurezza e riservatezza sono le direttrici fondamentali che lo Stato deve salvaguardare attraverso le sue leggi.
1.2. L’evoluzione dello spazio cibernetico e la sua attuale importanza strategica
Dopo aver analizzato il ruolo del diritto all’interno dello spazio cibernetico, pare opportuno compiere un breve excursus sulla nascita e sull’evoluzione di quest’ultimo.23
Nel 1969 la Defence Advanced Research Progects Agency (DARPA), un’agenzia del Dipartimento della Difesa statunitense, promosse il progetto ARPANET (Advanced
Research Projects Agency Network), l’antenato del World Wide Web, allo scopo di
ottimizzare la velocità di scambio di informazioni fra università e laboratori di ricerca negli Stati Uniti. Tuttavia, durante la guerra fredda ARPANET si rivelò un’utile risorsa per costruire una rete di informazioni militari in grado di resistere ad un attacco nucleare sovietico che potesse colpire le reti telefoniche americane, mettendo a repentaglio le comunicazioni governative.
La nuova rete crebbe rapidamente; già a partire dagli anni Sessanta infatti iniziò a svilupparsi la tecnologia dei computer, i quali divennero sempre più potenti ed economici.
21 (Brighi, 2017), p. 88
22 Rodotà S., Il mondo nella rete. Quali i diritti, quali i vincoli, Editori Laterza, Roma-Bari, 2014, p. 33 23 Il seguente excursus è stato preso da: (Marchetti & Mulas, 2017), pp. 24-29
7
La rivoluzione digitale come la intendiamo oggi però, si ebbe solamente a partire dagli anni Ottanta, quando furono inventati i protocolli TCP/IP (Transimission Control
Protocol/Internet Protocol), i quali costituiscono i modelli concettuali alla base della
rete, gli “stradari” che indicano come devono essere trasmessi i dati per andare da un punto all’altro del cyberspace.
Altro sviluppo fondamentale nella storia di Internet si ebbe il 6 agosto 1991, quando il CERN di Ginevra mise online il primo sito web, grazie agli sviluppi tecnologici del protocollo http (Hypertext Transfer Protocol) e del linguaggio html (Hypertext
Markup Language). L’obiettivo del suo inventore, Tim Berners-Lee, era quello di
consentire agli scienziati di tutto il mondo di condividere con facilità i risultati dei loro esperimenti su una piattaforma comune liberamente accessibile. Di fatto però, era la nascita del World Wide Web, e la base per la digital revolution che, in neanche trent’anni, ha completamente cambiato la nostra quotidianità, assumendo un’importanza fondamentale per qualsiasi tipo di attività umana.
È un fatto accertato storicamente che i mutamenti delle gerarchie di potenza internazionali fra Stati, siano dovuti all’acquisizione o alla perdita di determinate risorse, e che molto spesso queste risorse siano legate a particolari sviluppi tecnologici. La tecnologia è infatti da sempre la più importante variabile da tenere in considerazione per comprendere le relazioni internazionali ed i mutamenti degli assetti di potere fra Stati.24 Il cyberspazio fino a poco tempo fa era considerato una questione di low politics, riguardante decisioni di routine, da distinguere dalla high politics, che riguarda invece gli interessi dello Stato e la sicurezza nazionale. Tuttavia quando l’accumularsi dell’attività di routine modifica le relazioni fra Stato e società, la low
politics diventa high politics. Non è un caso quindi, che dapprima nel 2010 il
Pentagono, ed in seguito nel 2016 i ministri della difesa dei paesi NATO durante il summit di Varsavia, abbiano formalmente riconosciuto il cyberspazio come un nuovo dominio operativo da difendere, il quinto dopo terra, mare, aria e spazio. Se inizialmente l’uomo poteva agire solo su terra e mare, già con la conquista dello spazio aereo nel Novecento il mondo diventò più piccolo, favorendo la crescita della mobilità di uomini e merci. Grazie sempre agli sviluppi tecnologici poi, nel 1957 si unì lo spazio
24 Le seguenti considerazioni riguardo l’importanza strategia del cyberspace, sono tratte da: Gori U., Le nuove minacce cyber, in Lo spazio cibernetico tra esigenze di sicurezza nazionale e tutela delle libertà individuali, Supplemento al n. 6/2014 di Informazioni della Difesa, pp. 5-30
8
agli altri tre domini. Ed infine, ai quattro domini tradizionali si è aggiunto il cyberspace, il quale però se ne differenzia per la sua trasversalità, in quanto crea un ambiente che riesce ad avvolgere completamente tutte le aree dell’azione umana. Grazie al cyberspazio infatti oggi si realizzano la maggior parte delle attività umane, dal controllo del traffico aereo, marittimo, ferroviario, fino al funzionamento di una centrale elettrica. Il confine fra spazio cibernetico e domini tradizionali quindi, diventa sempre più labile, potendo le azioni virtuali avere anche ripercussioni fisiche molto gravi.25
Oltre che per la sua trasversalità, il cyberspace risulta essere un dominio peculiare rispetto ai tradizionali anche a causa delle seguenti caratteristiche: il tempo convenzionale viene qui rimpiazzato dal real time; non esistono limiti geografici, ne confini al suo interno; può modificarsi e riconfigurarsi in modo rapidissimo; abbatte gli ostacoli dell’attività politica, oscurando l’identità degli attori e scavalcando i meccanismi della responsabilità. Una grande differenza quindi, rispetto al periodo della guerra fredda (nel quale si combattevano le c.d. proxy wars), è che le caratteristiche del cyberspazio offrono alle superpotenze la possibilità di scontrarsi direttamente in un luogo virtuale. Da qui la necessità di una politica cibernetica
(cyberpolitics) consapevole. La politica cibernetica è la risultante di due processi: da
una parte l’interazione fra uomini (politics), dall’altra i possibili utilizzi dello spazio virtuale (cyber). È una politica dematerializzata, decentrata, denazionalizzata, deterritorializzata26, e che tuttavia, non deve preoccuparsi solamente delle relazioni di potere fra Stati. Infatti, deve anche tener conto del ruolo molto importante che l’individuo può rivestire all’interno dello spazio virtuale: oggi il potere del più debole può facilmente sfidare quello del più forte, grazie alle caratteristiche del cyberspace. L’individuo rimane quindi “the sole thinking, feeling and acting system in politics”27,
e di conseguenza, oltre ai classici homo oeconomicus ed homo politicus, viene in evidenza l’homo cybericus.28
25 (Marchetti & Mulas, 2017), p. 35
26 Le considerazioni sulla cyberpolitics e sul ruolo dell’individuo nel cyberspace, sono sempre di (Gori,
2014), p. 8
27 Kenneth N. Waltz, Man, the State, and War: A Theoretical Analysis, Columbia University Press, 5
settembre 2001, citato in (Gori, 2014), p. 8
28 Nazli Choucri, Cyberpolitics in International Relations, Mit Press, Cambridge, 9 novembre 2012,
9
1.3. Cyberspace: una nozione complessa
Volendo infine provare a dare una definizione precisa ed univoca del concetto di cyberspace, possiamo da subito accorgerci di quanto in realtà questa non sia cosa facile. È però fondamentale sin da subito fare dei distinguo.29 In primis, conviene
distinguere lo spazio cibernetico da Internet: a livello concettuale infatti, il cyberspazio è composto da tutti i computer che possono essere connessi alla rete, inclusi i nodi isolati. A ben vedere invece, Internet costituisce solo una parte del cyberspazio, e cioè quella parte comprendente tutti i computer interconnessi. Più ristretto rispetto ad Internet è poi il concetto di World Wide Web, il quale è costituito dall’insieme delle risorse identificate ed accessibili mediante un sistema di indirizzamento noto come URL (Uniform Resource Locator). Il Web è quindi solo una parte dei servizi supportati dall’infrastruttura di Internet, anche se sicuramente risulta essere la più importante. In generale, possiamo definire lo spazio cibernetico come “l’insieme delle
infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi”. Lo spazio
cibernetico inoltre, include “Internet, reti di comunicazione, sistemi attuatori di
processo ed apparecchiature mobili dotate di connessione di rete”.30
Andando a cercare nella letteratura specialistica, troviamo diverse altre definizioni di cyberspace. In particolare, lo spazio cibernetico viene definito a seconda del contesto come: dominio caratterizzato dall’utilizzo dell’elettronica e dello spettro elettromagnetico per immagazzinare, modificare e scambiare dati attraverso sistemi interconnessi in rete e associati a infrastrutture fisiche; dominio composto da un consistente numero di computer interconnessi, server, router, switch e fibre ottiche che permettono alle infrastrutture critiche di comunicare e il cui corretto funzionamento è essenziale all’economia e alla sicurezza nazionale; spazio di diffusione di informazioni attraverso le reti informatiche; quinto dominio della difesa militare dopo terra, mare, aria e spazio.31
29 I seguenti distinguo sono presi da (Marchetti & Mulas, 2017), p. 25
30 Presidenza del Consiglio dei Ministri, Il linguaggio degli organismi informativi. Glossario intelligence, Sistema di informazione per la sicurezza della repubblica, Quaderni di Intelligence Gnosis,
2013. Al riguardo, si veda anche il D.P.C.M. 17 febbraio 2017, art. 2, lettera h)
31 Queste definizioni sono prese da: Azzarone R., Cybervademecum I parte, il concetto di cyberspace,
10
Non è un caso che parte della letteratura specialistica faccia dei riferimenti espliciti alla sicurezza nazionale ed ai domini delle operazioni militari: questo ci fa capire quanto in realtà il cyberspazio sia progressivamente diventato un campo di battaglia, un vero e proprio luogo da difendere. Infatti, se da una parte le sue caratteristiche offrono grandi possibilità, dall’altra possono comportare gravi vulnerabilità per la sicurezza nazionale, dovute al costo minimo di utilizzo, all’anonimato di chi vi agisce, al fatto che ogni volta che si attiva un nuovo operatore si amplia la sua dimensione, alla possibilità che offre di sferrare attacchi da lontano ad una velocità quasi infinita. Questo è il doppio volto del cyberspace, e nei prossimi anni il nostro Paese non potrà farsi trovare impreparato: di fronte a questa nuova sfida dovranno essere adottate tutte le misure idonee a garantire la sicurezza delle infrastrutture critiche, delle imprese e della Pubblica Amministrazione.
2. CYBER THREATS ED ATTORI DEL
CYBERSPACE
2.1. Concetto e caratteristiche della minaccia cibernetica
Il D.P.C.M. 17 febbraio 2017 all’art. 2 lett. l), definisce il concetto di minaccia cibernetica (cyber threat) come il “complesso delle condotte che possono essere realizzate nello spazio cibernetico o tramite esso, ovvero in danno dello stesso e dei suoi elementi costitutivi, che si sostanzia in particolare, nelle azioni di singoli individui od organizzazioni, statali e non, pubbliche o private, finalizzate all’acquisizione e al trasferimento indebiti di dati, alla loro modifica o distruzione illegittima, ovvero a controllare indebitamente, danneggiare, distruggere o ostacolare il regolare funzionamento delle reti e dei sistemi informativi o dei loro elementi costitutivi”. Caratteristica principale della minaccia cibernetica è la sua asimmetricità: a causa delle peculiari caratteristiche del cyberspazio infatti, l’attacco può facilmente prevalere sulla difesa. Tutto ciò limita la deterrenza e rende indispensabile, da parte di governi ed
11
aziende (principali attori dello spazio cibernetico), un continuo monitoraggio ed adeguamento degli standard e delle procedure di sicurezza al contesto operativo e tecnologico in veloce cambiamento. Attualmente gli attacchi più sofisticati possono essere realizzati attraverso l’uso di c.d. armi cibernetiche (cyber weapons), ossia software malevoli (malware) sviluppati con lo specifico intento di danneggiare o alterare un sistema informatico, anche al fine di produrre danni fisici.32
Fra i vari attori della minaccia (hackers, hactivists, terroristi), un ruolo di primo piano è rivestito dagli Stati potenzialmente ostili, in considerazione delle notevoli risorse umane e finanziarie che questi possono mettere in campo per acquisire informazioni nei settori governativi, militari, industriali ed economici, o per danneggiare le infrastrutture critiche di altri Stati.33
2.2. Tipologie di cyber threats
Le cyber threats assumono nel panorama attuale una crescente valenza strategica, in quanto sempre più rivolte a minacciare le infrastrutture critiche dei vari Stati, oltre che i singoli individui. Si possono individuare in tutto sei tipologie di minacce cibernetiche:
1) Cyber crime (crimine cibernetico)
Il cyber crime è l’insieme delle minacce poste in essere da organizzazioni criminali o singoli malviventi, che sfruttano lo spazio cibernetico per la commissione di reati.34 È la più comune delle minacce cyber, e comprende una vasta gamma di attività illegali. Fra queste, le più frequenti sono il furto di identità e di dati sensibili, le frodi informatiche a scopo estorsivo, la vendita illegale di materiale contraffatto ed il riciclaggio di denaro legato all’utilizzo delle criptovalute (fra le quali la più diffusa è il Bitcoin).
32 Presidenza del Consiglio dei Ministri, Quadro strategico nazionale per la sicurezza dello spazio cibernetico, dicembre 2013, p. 11
33 Vatis, M. (2001), Cyber attacks during the War on Terrorism: a Predictive Analysis. Institute for Security Technology Studies. Hanover, NH, Dartmouth College, citato in: (Marchetti & Mulas, 2017),
pp. 69-70
12
La maggior parte di queste attività si svolge nel deep web, ossia la parte del web non rintracciabile con un motore di ricerca. Si stima che il deep web sia circa 500 volte più grande del clean web, la parte di Internet frequentata dagli utenti standard.35
La modalità usata per offrire le varie prestazioni di natura criminale, è quella del Crime
as a Service (crimine come servizio): ad esempio, è possibile arruolare assassini a
contratto, oppure commissionare crimini prettamente cibernetici, come la diffusione di specifici malware. In questo mercato virtuale operano dei veri e propri cyber criminali professionisti e freelance che, guidati dal profitto, vendono competenze e strumenti a gruppi criminali e terroristici. Di conseguenza, nel cyberspazio le forme tradizionali e gerarchiche dei gruppi criminali organizzati lasciano il passo a favore dello sviluppo di rapporti mutevoli, circoscritti, limitati nel tempo e finalizzati ad obiettivi specifici.36
Tuttavia questa minaccia tende ad essere percepita come la meno preoccupante all’interno della strategia di difesa nazionale, perché per la maggior parte colpisce i singoli privati e le aziende, piuttosto che le infrastrutture critiche o il governo del Paese in quanto tale.37
2) Hacktivism (hacktivismo)
L’hacktivism è una pratica posta in essere da alcune particolari comunità di hackers, che consiste nel condurre attacchi cibernetici per ragioni politiche, di rivalsa, ideologiche e di protesta, oppure per il semplice desiderio di ridicolizzare le vittime aggirandone i dispositivi di sicurezza. Il fine di queste azioni non è quindi il profitto economico, ma riuscire ad ottenere la massima visibilità dall’attacco perpetrato, il quale molto spesso consiste nel rendere inaccessibile il sito web dell’organizzazione colpita, comportandone l’interruzione dei servizi (DDoS, Distributed Denial Of
Service). Altri attacchi frequenti condotti dagli hactivists sono i Web Defacements, che
alterano i dati di un determinato sito Internet per calunnia o semplice dileggio. In altri casi ancora gli hactivisti fanno uso di malware per sottrarre surrettiziamente dati di
35 (Marchetti & Mulas, 2017), p. 53
36 Baldoni R., Il Futuro della Cyber Security in Italia. Un libro bianco per raccontare le principali sfide che il nostro Paese dovrà affrontare nei prossimi cinque anni, Laboratorio Nazionale di Cyber Security,
Consorzio Interuniversitario Nazionale per l’Informatica, a cura di: Roberto Baldoni, Università degli Studi di Roma “La Sapienza”, Rocco De Nicola, IMT, Institute for Advanced Studies, Lucca, ottobre 2015, pp. 6-9
13
proprietà dei governi, delle aziende o degli individui, al fine di esporli pubblicamente, o anche solo per dimostrare le proprie capacità informatiche.38
La differenza principale fra hactivisti e cyber terroristi sta nelle diverse finalità degli attacchi posti in essere: i primi infatti vogliono solamente protestare e causare disordine, non sono interessati né ad uccidere né ad incutere paura. Gli hacktivisti utilizzano il cyberspace per aumentare la consapevolezza degli altri utenti su un particolare problema sociale, conducendo attacchi a scopo dimostrativo.
La comunità di hacktivisti più famosa è senza dubbio quella di Anonymous, nata nel 2003 come movimento anarchico del web. Il gruppo non ha un leader, né una struttura di comando rigida, e nel corso degli anni ha condotto numerosi cyberattacchi per fini politici e di protesta verso moltissimi siti di istituzioni governative, commerciali, religiose.
3) Cyber espionage (spionaggio cibernetico)
L’espressione cyber espionage fa riferimento all’insieme di condotte realizzate nello spazio cibernetico che hanno come fine l’impropria acquisizione di materiale classificato come riservato. Questi attacchi possono essere rivolti tanto contro imprese concorrenti, per acquisire vantaggi competitivi sottraendo segreti industriali a fini di concorrenza sleale (cyber spionaggio industriale), quanto contro strutture statali, per appropriarsi di informazioni cruciali per la sicurezza nazionale.39
4) Cyber warfare (guerra cibernetica)
Il concetto di cyber warfare in generale delinea “l’insieme delle operazioni condotte nel e tramite il cyberspace al fine di negare all’avversario (statuale o non) l’uso efficace di sistemi, armi e strumenti informatici, o comunque di infrastrutture e processi da questi controllati. Include anche attività di difesa e capacitanti, volte cioè a garantirsi la disponibilità e l’uso del cyberspace. Può assumere la fisionomia di un conflitto di tipo tradizionale, quando coinvolge le forze armate di due o più stati, ovvero irregolare, quando si svolge tra forze ufficiali e non ufficiali. Può rappresentare l’unica forma di confronto ovvero costituire uno degli aspetti di un conflitto che coinvolga altri domini
38 (Presidenza del Consiglio dei Ministri, Quadro strategico nazionale per la sicurezza dello spazio
cibernetico, 2013), pp. 14-15
39 Si tratta di un fenomeno in costante aumento, basti pensare alla recente vicenda dei fratelli Giulio e
Francesca Occhionero, i quali sfruttando tecnologie di scarso rilievo, per così dire “fatte in casa” (il malware Eye Pyramid), hanno spiato fra il 2011 ed il 2017 più di diciottomila fra politici, banchieri e rappresentanti delle istituzioni italiane.
14
(terra, mare, cielo e spazio); in entrambi i casi, i suoi effetti possono essere limitati al cyberspace ovvero tradursi in danni concreti, inclusa la perdita di vite umane”.40 Questa nozione costituisce in realtà la species di un genus più ampio, quello del cyber
conflict (conflitto cibernetico). Secondo Umberto Gori, il confine fra conflitto e guerra
è tracciato dal fatto che l’attacco sia rivolto o meno contro le infrastrutture critiche di uno Stato. Solamente in quest’ultimo caso l’attacco può essere considerato armato e può quindi costituire un atto di guerra, infatti sono operazioni belliche tutti quegli attacchi che hanno effetti cinetici.41 Un’altra importante definizione di cyber war è
data da Thomas Rid, secondo il quale per essere considerato un atto di guerra, un attacco cibernetico deve soddisfare tre requisiti: essere violento, strumentale ed avere una connotazione di carattere politico.42
Qualunque posizione si accolga al riguardo, una cosa è certa: se ad oggi sono stati molti gli episodi di conflitto cibernetico, mai si è verificata una cyber war. L’unico caso si è avuto forse nell’aprile del 2007, quando in Estonia, la rimozione da un parco di una statua di un soldato sovietico della Seconda Guerra Mondiale, ha dato inizio ad una serie di attacchi cibernetici con DDoS, che hanno causato gravissimi danni alle infrastrutture critiche del Paese. L’attacco probabilmente proveniva dalla Russia, anche se le autorità di Mosca hanno sempre negato qualsiasi tipo di responsabilità. Per questo attacco l’Estonia chiese l’applicazione dell’art. 5 del Trattato NATO, che prevede il principio della collective defence. L’articolo alla fine non fu applicato, ma una simile richiesta costituì un precedente mai visto, e forse è anche a causa di questo evento che nel 2016 la NATO ha formalmente riconosciuto il cyberspace come quinto dominio della conflittualità.
5) Cyber terrorism (terrorismo cibernetico)
La nozione di cyber terrorism si riferisce a quella serie di attacchi o minacce di essi, contro computer, network ed informazioni riservate, allo scopo di intimidire o
40 (Presidenza del Consiglio dei Ministri, Il linguaggio degli organismi informativi. Glossario
intelligence, 2013)
41 (Gori, 2014), p. 14
42 Rid T., Cyber War Will Not Take Place. Journal of Strategic Studies, 2012, Vol. 35, n. 1/2012, pp.
5-32, citato in: Gori U., Lisi S., Cyber Warfare 2014: armi cibernetiche, sicurezza nazionale e difesa del
15
costringere un governo o i suoi cittadini al perseguimento di un obiettivo politico o sociale.43
Tuttavia ad oggi i terroristi usano il cyberspace perlopiù per attività di propaganda, affiliazione, finanziamento ed organizzazione delle future azioni terroristiche. Infatti l’altissima facilità degli scambi comunicativi nel cyberspace consente ai gruppi terroristici, anche se ubicati in continenti diversi, di interagire nell’anonimato, senza entrare in contatto fisico fra loro, rendendo molto difficoltosa l’attività investigativa.44
6) Insider threat (minaccia interna)
L’insider threat è una minaccia che colpisce un’organizzazione dal suo interno, utilizzando i dipendenti e gli associati che sono in possesso di informazioni sulle sue misure di sicurezza, sui suoi dati e sui suoi sistemi informatici.45 Questo tipo di attacco avviene inconsapevolmente quando il computer di un dipendente viene hackerato da un sistema remoto. L’attacco si rivela molto più efficace tuttavia quando il furto di informazioni avviene per mano consapevole di un insider, proprio come è successo nel caso di Wikileaks nel 2009.46 Un altro caso molto famoso e recente di insider threat è quello di Edward Snowden, contractor della National Security Agency (NSA) degli Stati Uniti, che nel 2013 copiò da questa migliaia di documenti riservati riguardanti attività di intelligence del governo americano e britannico, per poi passarli ad un giornalista del Guardian.
43 Denning D. E., Cyberterrorism: the logic bomb versus the truck bomb, Global Dialogue, n. 2/2000,
p. 4, citato in: (Marchetti & Mulas, 2017), pp. 64-65
44 Non è una novità, ad esempio, che organizzazioni terroristiche ispirate all’estremismo islamico, come
Al Quaeda o Isis, utilizzino Internet per i più vari scopi: dal finanziamento, alla propaganda, al reclutamento ed alla formazione di nuovi terroristi, all’incitamento a compiere attentati.
45 (Marchetti & Mulas, 2017), p. 66
46 Nel 2009, Chelsea Manning, un militare americano, passò a Julian Assange migliaia di documenti
16
3. EVOLUZIONE E CARATTERISTICHE DELLA
NOZIONE DI CYBERSECURITY
3.1. La nozione di Cybersecurity
La cybersecurity consiste nella capacità di controllare l’accesso ai sistemi in rete ed alle informazioni che questi contengono. Per dare una definizione generale del concetto di cybersecurity, vengono spesso usate delle triadi che descrivono gli obiettivi ed i metodi osservati dagli esperti del settore. Le triadi più usate sono47:
- prevenire, rilevare, rispondere
Il primo obiettivo di un piano di sicurezza deve essere quello di prevenire (prevent) un attacco dell’avversario. La prevenzione può essere attiva o passiva. Quella attiva consiste nel contrastare le minacce già note prima che si verifichi l’attacco. Quella passiva si attua attraverso varie fasi: l’identificazione degli assetti critici e della loro rilevanza, l’analisi della dipendenza delle funzioni critiche dal cyberspazio, l’analisi delle vulnerabilità e delle minacce, facendo tesoro degli attacchi subiti in precedenza ed analizzando i trends.
Ciononostante, gli esperti di sicurezza informatica sono consapevoli del fatto che non è possibile prevenire tutti gli attacchi, e quindi un piano di sicurezza deve includere anche dei metodi per rilevare (detect) le minacce in corso, prima che queste siano portate a termine causando danni.
Tuttavia, quando un sistema viene minacciato nonostante l’attività di prevenzione e di rilevamento, deve comunque essere in grado di rispondere (respond) agli attacchi, cioè non solo di difendersi, ma anche di recuperare i dati e correggere gli errori che non gli permettono di operare correttamente. Quest’ultimo obiettivo si raggiunge attraverso lo svolgimento di due fasi distinte: l’assimilazione ed il recupero. L’assimilazione è la capacità di metabolizzare l’attacco attraverso la creazione di sistemi elastici, che permettano oltretutto di avere tempo sufficiente per prendere decisioni non improvvisate. A questo fine occorre dotarsi di un piano che consenta alla struttura di
47 Le seguenti triadi sono state prese da: Bayuk J. L., Healey J., Rohmeyer P., Sachs M. H., Schmidt J.,
17
continuare a funzionare provvisoriamente anche dopo un attacco. Il recupero delle funzionalità invece, dipende dalla qualità della pianificazione precedente l’attacco, e riguarda sia i danni materiali, sia la dimensione sociale del danno, anche se quest’ultima è in concreto più difficilmente accertabile e recuperabile.
- persone, procedure, tecnologia
Per svolgere correttamente le proprie funzioni, i sistemi richiedono che i propri operatori seguano delle best practices. La sicurezza infatti non si raggiunge solamente tramite gli esperti e la tecnologia. All’interno di un sistema agiscono anche altre persone (people), i cui comportamenti giocano un ruolo fondamentale nel successo di un piano di sicurezza.
A livello individuale però, queste persone non sono in grado di prevenire, rilevare e rispondere ad una minaccia, se non hanno una procedura pianificata in precedenza (process) da seguire.
Il compito degli esperti in sicurezza informatica quindi, deve essere anche quello di inserire delle procedure organizzative nei piani di sicurezza, facendo un uso strategico della tecnologia (technology).
- riservatezza, integrità, disponibilità
Questa triade si riferisce agli aspetti di sicurezza informatica che riguardano i dati e le informazioni contenuti in un determinato sistema.
La riservatezza (confidentiality) è la capacità di un sistema di limitare l’accesso alle informazioni solo agli utenti autorizzati.
L’integrità (integrity) si riferisce alla capacità di un sistema di preservare la completezza, la precisione e la provenienza delle informazioni registrate.
La disponibilità (availability) si riferisce alla capacità di un sistema di assicurare l’utilizzabilità delle informazioni a chi le possiede.
A ben vedere, gli elementi di questa triade possono facilmente entrare in contrasto fra loro: ad esempio garantire un elevato livello di disponibilità, può rendere più difficoltosa la salvaguardia della riservatezza dei dati. È quindi compito degli esperti in sicurezza informatica anche quello di riuscire a bilanciare bene la riservatezza, l’integrità e la disponibilità delle informazioni all’interno di un sistema.
Analizzate queste tre triadi, possiamo infine delineare una definizione generale del concetto di cybersecurity. Con il termine cybersecurity, ci si riferisce a tutte quelle
18
metodologie di impiego di persone, procedure e tecnologia, per prevenire, rilevare e
rispondere alle minacce alla riservatezza, integrità e disponibilità dei dati e delle
informazioni presenti nel cyberspazio.48
In concreto, un sistema per essere sicuro deve essere reso in primis resiliente, cioè deve essere in grado di preservare le proprie funzionalità attraverso procedure e meccanismi di prevenzione, rilevamento, assimilazione e recupero durante e dopo un attacco. La
resilienza del cyberspazio è l’obiettivo principale che una buona politica di cybersecurity deve perseguire, questo proprio a causa del fatto che la natura dei futuri
attacchi è imprevedibile. Per raggiungere la resilienza di un sistema, l’approccio deve essere proattivo, e non reattivo, si deve cioè seguire un metodo diretto a prevenire le situazioni di difficoltà, pianificando anticipatamente le azioni opportune.49
Da questo deriva in primis la necessità di munirsi di un adeguato piano di prevenzione, fondato sulla gestione, sul monitoraggio e sulla mitigazione del rischio. Su questo deve poggiare l’adozione di vari tipi di misure di sicurezza50: misure di tipo fisico (come ad
esempio, il controllo degli accessi al fine di circoscrivere gli stessi al solo personale autorizzato, o la tracciabilità degli spostamenti dello stesso all’interno dell’ambiente di lavoro in modo da proteggere gli apparati da furti, danneggiamenti, manomissioni);
misure di tipo logico (come ad esempio, l’impiego di prodotti certificati per ovviare al
problema degli approvvigionamenti di prodotti e servizi tecnologici da fornitori esteri a rischio, l’impiego di un software antivirus aggiornato, di sistemi di cifratura e di firma digitale, oppure l’identificazione e autenticazione degli utenti, o il monitoraggio e la tracciabilità degli accessi e delle funzioni svolte in rete da ciascun utente); misure
di tipo procedurale (come ad esempio, l’adozione di norme e procedure dirette a
disciplinare gli aspetti organizzativi, di gestione e di responsabilità del processo di sicurezza, l’adozione di specifiche procedure che completino e rafforzino le contromisure tecnologiche adottate, oppure l’introduzione di controlli sulla consistenza e sull’affidabilità degli apparati). Infine, rimane l’esigenza fondamentale di sensibilizzare, formare e responsabilizzare il personale. Quest’ultimo aspetto non è
48 (Bayuk, et al., 2012), p. 3
49 Gori U., Lisi S., Information warfare 2013: la protezione cibernetica delle infrastrutture nazionali,
Franco Angeli, 2014, pp. 11-21
50 Le seguenti tipologie di misure di sicurezza sono indicate in (Presidenza del Consiglio dei Ministri,
19
da trascurare perché la mancanza di un’adeguata cultura digitale da parte dei singoli utenti è alla base della riuscita della maggior parte degli attacchi cyber.
Adottando questi tipi di misure di sicurezza in concreto, si riesce a dare attuazione alle tre triadi generali analizzate sopra, ed il cyberspazio diviene una struttura virtuale resiliente e sicura.
3.2. L’evoluzione della cybersecurity. La cybersecurity come bene pubblico in
senso economico
Per comprendere le varie politiche di gestione della cybersecurity, può aiutare sapere come questa si sia evoluta negli anni.51
La storia della cybersecurity inizia negli anni Sessanta con l’invenzione del
mainframe. Questo fu il primo tipo di computer a diffondersi in maniera considerevole
fra le aziende a causa della sua convenienza in termini economici. A quei tempi i sistemi erano protetti tramite personale di sorveglianza ed accessi di sicurezza, come ad esempio porte e cancelli. Si misero a punto quindi misure di sicurezza di tipo fisico per assicurare che solamente il personale autorizzato potesse avere accesso ai computer.
Il primo attacco cibernetico di epoca moderna è stato il Morris worm52, e fu lanciato nel 1988 da Robert Morris, figlio di un dirigente della National Security Agency (NSA) statunitense. Attaccò ARPANET causando il blocco di tutti i computer collegati ad esso. Infatti, essendo ARPANET stato creato inizialmente per facilitare lo scambio di informazioni fra centri di ricerca, non si era mai pensato alla necessità di innalzarne il livello di sicurezza. Le ripercussioni del Morris Worm per il DARPA furono così devastanti da rendere inevitabile la creazione di un CERT (Computer Emergency
Response Team), per consentire a governo, industria, forze dell'ordine ed università,
di condividere metodi e tecnologie incentrati sulla prevenzione di attacchi informatici su larga scala. Da quel momento in poi, anche a causa dello sviluppo parallelo dei protocolli TCP/IP, l’esigenza di assicurare la sicurezza informatica è aumentata
51 Per approfondire l’evoluzione della cybersecurity, si consiglia la lettura di (Bayuk, et al., 2012), pp.
33-57
20
costantemente: qualsiasi dispositivo allacciato ad Internet è divenuto infatti un potenziale target di attacchi ed intrusioni informatiche.
Attualmente la cybersecurity può essere considerata un bene pubblico in senso economico, cioè un bene che presenta due caratteristiche, la non rivalità e la non
escludibilità nel consumo. Con la prima si fa riferimento al fatto che il consumo del
bene da parte di un fruitore, non ne impedisce il godimento da parte di un altro soggetto. Un individuo che beneficia della sicurezza informatica all’interno di una rete infatti, non impedisce agli altri individui connessi di beneficiarne a loro volta. Con la seconda invece si fa riferimento al fatto che una volta che il bene è prodotto, diventa difficile, se non impossibile, escludere la collettività dall’accesso gratuito al bene. Ed infatti quando una rete è sicura, è impossibile escludere determinati individui dai benefici che questo comporta.53
Inoltre la cybersecurity può essere considerata un bene pubblico globale54, in quanto uno Stato che investe in cybersecurity non solo migliora la sicurezza delle proprie reti, ma crea vantaggi anche per gli altri Stati. Gli hackers di solito conducono i malware attraverso diversi Paesi per riuscire a coprire le loro tracce, e quindi, se da una parte reti informatiche altamente protette contribuiscono alla sicurezza informatica complessiva, dall’altra reti informatiche debolmente difese comportano rischi per tutte le altre reti. Una sicurezza informatica debole costituisce un’esternalità negativa per tutti, al pari dell’inquinamento o della deforestazione. Difese informatiche deboli sono dovute non solo a problemi tecnici ed organizzativi, ma spesso anche a delle vere e proprie carenze legislative, come è successo ad esempio nel caso del c.d. virus
I-love-you nel 2000, che ha causato gravissime perdite economiche in tutto il mondo. Il virus
fu creato da un giovane studente delle Filippine, ma il fatto rimase poi sostanzialmente impunito, perché all’epoca la legge filippina non proibiva la creazione e l’uso di
malware informatici. Va però sottolineato che le principali vittime di questa carenza
legislativa furono le economie americane, europee ed asiatiche, e non la Repubblica
53 Come sostenuto da: Chieh L. W., Policy Analysis: Cybersecurity is a Public Good that Starts with the Individual, Lee Kuan Yew School of Public Policy (LKYSchool), National University of Singapore,
2017, link: https://lkyspp.nus.edu.sg/docs/default-source/case-studies/cybersecurity-is-a-public-good-that-starts-with-the-individual.pdf
54 Le seguenti considerazioni riguardo la cybersecurity come bene pubblico globale, sono tratte da:
Hansel M., Cyber Security Governance and the Theory of Public Goods, E-International Relations, 27 giugno 2013, link: https://www.e-ir.info/2013/06/27/cyber-security-governance-and-the-theory-of-public-goods/
