“Resilienza, deterrenza e difesa: costruire una sicurezza cibernetica forte per l’Ue”. Sono chiari già nel titolo, con le prime tre parole, gli obiettivi del nuovo piano cybersecurity presentato nei giorni scorsi dalla Commissione europea. Il tutto pochi giorni dopo che il presidente della Commissione europea Jean-Claude Juncker ha ribadito l’importanza strategica della sicurezza cibernetica per gli stati membri.
Tecnicamente, quella della Commissione è una proposta, in forma di comunicazione congiunta indirizzata al parlamento europeo a al consiglio.
Gli esperti concordano sul fatto che la proposta avrà una forte influenza sulla strategia operativa dell’Europa in fatto di cybersecurity, tema sempre più sentito dalle istituzioni UE. L’idea di fondo affinare gli strumenti per rendere più coordinato, a livello europeo, la tutela della sicurezza informatica, intesa come necessaria per proteggere lo sviluppo socio-economico dell’Europa.
In particolare, il “principale obiettivo della nuova comunicazione è aumentare la resilienza dei sistemi informativi alle minacce cibernetiche. E a questo scopo il più notevole suggerimento è dare all’Agenzia European Union Agency for Network and Information Security (ENISA) il ruolo di nuova “Agenzia di sicurezza cibernetica europea”, con un mandato permanente”, dice Pierluigi Paganini, esperto di questi temi, che oltre a collaborare per la stessa Enisa è membro del Gruppo di Lavoro Cyber G7 2017 presso Ministero degli Affari Esteri e della Cooperazione Internazionale e collaboratore SIPAF, Ministero Dell’Economia e delle Finanze.
Conferma Gabriele Faggioli, presidente del Clusit, docente del Politecnico di Milano e amministratore delegato di P4i: “Il concetto di resilienza è sempre più presente in normativa, per esempio all’interno del nuovo Regolamento Generale per la Protezione dei Dati, applicabile da maggio del 2018. Implica che solo mediante una forte cooperazione tra gli Stati membri sarà possibile incrementare il livello di cybersecurity europea”.
Il nuovo ruolo di Enisa servirebbe appunto per aiutare i Paesi a rispondere agli attacchi cyber e far nascere framework di certificazione per garantire che tutti i prodotti e i servizi siano sicuri dal punto di vista informatico. Security by design, insomma.
Per l’obiettivo della deterrenza, bisogna potenziare la risposta delle autorità ai criminali. Si suggerisce la diffusione del nuovo protocollo IPv6, che assegnando un singolo indirizzo IP per utente, aiuterebbe le indagini di polizia. A inizio 2018, l’Ue proporrà misure per facilitare lo scambio della prova digitale fra Paesi, mentre a ottobre pubblicherà i risultati di uno studio sull’impatto della crittografia per le indagini.
Sempre in quest’ambito, la Commissione fa una proposta di direttiva per contrastare le frodi su pagamenti elettronici e assegnare10,5 milioni di euro alla formazione poliziotti e giudici con il Fondo di sicurezza interno-Programma di polizia. L’Europa sta sviluppando anche un “cyber diplomacy toolbox” per accelerare le decisioni, per esempio su come sanzionare Paesi stranieri responsabili di attacchi informatici.
Terzo obiettivo, la difesa e qui si parla di come rafforzare la cooperazione internazionale, dove c’è anche il concetto di “cybersecurity capacity building” per condividere competenze tra Paesi.
Si suggerisce quindi la nascita del Centro europeo di ricerca e competenze sulla sicurezza cibernetica, a partire dal 2018 a fronte di un investimento iniziale di 50 milioni di euro. E un network di competence center nei Paesi membri. L’obiettivo è aiutarli a sviluppare gli strumenti e le tecnologie necessarie alla difesa cyber.
E l’Italia come si pone in questo frangente?

Risponde Roberto Baldoni, dell’università Sapienza di Roma: “il Decreto Gentiloni sulla cybersecurity, di febbraio, è assolutamente in linea con la nuova strategia. Molte delle azioni riportate nella comunicazione EU sono state previste nel decreto, infatti, come la costituzione di un Centro di Ricerca Europeo e una rete di centri di Competenza sulla Cybersecurity, attenzione massima alla cultura della cybersecurity, alla formazione alla creazione di una workforce Europea sulla cybersecurity, attenzione agli standard”. “Il decreto inoltre punta molto sulla creazione di un ecosistema cyber attraverso un fondo di investimento ad-hoc per stimolare la nascita di piccole imprese”.