Approvato dalla Camera dei Deputati il decreto sulla sicurezza cibernetica, provvedimento che include anche una cornice normativa per le reti 5G.
Hanno votato a favore Movimento 5 stelle, Partito democratico, Liberi e uguali e Italia viva, 137 i parlamentari astenuti, appartenenti ai gruppi di Lega, Forza Italia e Fratelli d’Italia.
Secondo la maggioranza politica che sostiene il Governo Conte 2 si tratta del primo passo verso la creazione di un «ecosistema di governance e di responsabilità comune e condivisa nel settore della cybersecurity».
«Un provvedimento che finalmente fornisce una risposta strutturale che tiene conto di tutte le parti in gioco e definisce metodiche e standard condivisi per la risoluzione dei problemi», ha affermato il pentastellato Emanuele Scagliusi, capogruppo in commissione Trasporti e relatore del provvedimento.
Al riguardo, ovviamente, non ha mancato di esprimersi il vertice di Huawei, che, nella persona di Thomas Miao (suo chief executive officer) ha fatto sapere che il decreto andrebbe nella giusta direzione, tuttavia «occorrono pari opportunità per tutti, poiché non si può giudicare un’azienda sulla base del luogo dove essa ha la propria sede».
I cinesi vorrebbero che fosse cambiata quella parte dell’impianto normativo che si richiama alla legge varata nel 2012, che a loro avviso discriminerebbe le imprese non europee.
Il decreto istituisce il cosiddetto “perimetro della sicurezza cibernetica nazionale”, che includerà le amministrazioni pubbliche e le aziende che offrono servizi strategici come telefonia, trasporti ferroviari, fornitura di elettricità e altro.
Gli enti interessati verranno indicati da un successivo decreto che dovrà essere emanato dalla Presidenza del Consiglio dei ministri sulla base delle indicazioni fornite dal Comitato interministeriale per la Sicurezza della Repubblica (Cisr).
È previsto che nel caso un’amministrazione pubblica o un’impresa privata risultante inclusa nel perimetro intenderà procedere all’affidamento di forniture di beni, sistemi e servizi Ict attraverso reti, sistemi informativi o nell’espletamento di servizi di natura informatica, dovrà comunicarlo al Centro di valutazione e certificazione nazionale (Cvcn) istituito presso il Ministero dell’Industria e dello Sviluppo economico.
Il Cvcn, valutando i rischi relativi alla sicurezza, potrà entro un termine di trenta giorni imporre condizioni e test di hardware e software.
I contratti in predicato verranno integrati da clausole e condizioni in grado di condurre anche alla sospensione o, addirittura, alla risoluzione dei contratti, questo fino all’avvenuto rispetto delle condizioni indicate e al positivo superamento dei test di sicurezza.
Sanzioni, anche di natura penale , sono previste nei casi di falsificazione dei test o di fornitura di errate comunicazioni, norme applicabili anche ai contratti relativi al 5G stipulati con soggetti esterni all’Unione europea, rispetto ai quali le leggi attualmente in vigore sulla cosiddetta golden power prevedono la possibilità che il governo possa esercitare un potere di veto o di imposizione di specifiche condizioni.
Inoltre l’autorità potrà imporre modifiche o integrazioni ai contratti stipulati attraverso misure aggiuntive che assicurino adeguati livelli di sicurezza, «anche prescrivendo, ove necessario – recita il testo -, la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza».
Il governo potrà poi opporre la golden power nei confronti dei «soggetti esterni all’Unione europea» che vogliano acquistare partecipazioni azionarie in società detenenti specifici beni e rapporti, fra i quali infrastrutture e tecnologie critiche legate alla gestione dei dati, alla cybersecurity e alle infrastrutture finanziarie (inclusa la Borsa valori).
È stata infine autorizzata l’assunzione a tempo indeterminato per concorso pubblico di un massimo di settantasette persone per disporre di personale in possesso della professionalità necessaria per lo svolgimento delle funzioni presso il Cvcn, mentre la Presidenza del Consiglio dei ministri viene sua volta autorizzata ad assumere fino a dieci dipendenti con incarichi non dirigenziali che verranno incaricati delle operazioni di digitalizzazione.
Sullo specifico argomento è possibile ascoltare anche i seguenti contributi documentali audio tratti dall’archivio di insidertrend.it:
A018 – GUERRA POST-INDUSTRIALE E GUERRE DI IV GENERAZIONE: Information Warfare e potere aereo.
Conferenza tenuta dal generale CARLO JEAN all’ISTRID (Istituto Ricerche Studi Informazioni Difesa), Roma, 20 ottobre 2000, introduzione del senatore Giuseppe Zamberletti.
A073 – INFORMATION WARFARE. CONFLITTI E ALLEANZE NELLO SPAZIO CIBERNETICO. Prima conferenza annuale del Centro sulla Cybersecurity promosso da ISPI (Istituto per gli Studi di Politica Internazionale) e Leonardo in occasione della pubblicazione del Rapporto Confronting an “Axis of Cyber”? Roma, Sala Zuccari di Palazzo Giustiniani, via della Dogana Vecchia, 25 ottobre 2018.
Prima sessione, Come affrontare Cina, Russia, Nord Corea e Iran nello spazio cibernetico.
A073AA – FABIO RUGGE (Centro sulla Cybersecurity, ISPI – introduce e modera) (intervento in lingua italiana). Lo spazio cibernetico è divenuta un’arena internazionale ed è sempre più importante per la sicurezza nazionale italiana, ma: come contemperare la sovranità nazionale con la contrastante natura interconnessa dello spazio cibernetico? Sono pensabili risposte graduate, anche alla luce di una sempre maggiore frequenza delle cosiddette “operazioni condotte sotto falsa bandiera” e degli equilibri dei poteri messi sempre più in discussione da questa volatilità e dalla marcata asimmetricità?
A073AB – DEAN CHENG (Senior Research Fellow, Asian Studies Center, Davis institute for National Security and Foreign Policy, The Heritage Foundation, Usa) (intervento in lingua inglese). Ruolo crescente delle informazioni nello scenario cinese nell’era dell’informatica seguita al “dopo-era industriale”; il Partito comunista cinese detiene le leve della comunicazione: dominanza informatica a livello strategico; estensione della sovranità nello spazio internazionale attraverso il dominio dello spazio cibernetico; Pechino tende alla governance lontana dal modello “multistake holder” (Onu, Ong, industrie, eccetera) in una fase storica nella quale evidenzia le proprie capacità di divenire la maggiore economia mondiale e compie grandi sforzi sui diversi piani economico, politico, diplomatico e militare (le forze armate cinesi incrementano le loro dotazioni di strumenti per la raccolta di informazioni). Nelle guerre combattute oggi mutano le armi e l’informatica costituisce la «valuta chiave degli scambi», cioè «informatica è eguale ad armamenti»: nel 2015 all’interno dello strumento militare cinese opera una forza bilanciata con specifici compiti di guerra elettronica, spazio e reti informatiche. Pechino è attiva nelle operazioni di influenza sui decisori politici degli altri Paesi, tuttavia, mediante lo stretto controllo delle informazioni provenienti dall’estero evita di venire influenzata da attacchi similari. La Cina popolare persegue inoltre il dominio dell’infosfera, seguendo e analizzando il processo delle informazioni in tutte le sue sfaccettature (economiche, politiche, diplomatiche, militari, eccetera). Contatto ortogonale nelle cyber operations come concetto strategico-operativo.
A073AC – TIM MAURER (Co-Direttore Cyber Policy Initiative, Carnegie Endowment for International Peace, Usa) (intervento in lingua inglese). Deve ritenersi errata quella “narrativa strategica” che diversifica tra Cina e Russia. Nel 2016 è emerso che la sicurezza delle informazioni si è rivelata più importante della stessa cybersecurity: quell’anno Mosca ha lanciato un attacco cybernetico e, contestualmente, ha diffuso informazioni (operazioni di influenza, operazioni sulle informazioni, Media Ops, eccetera). La Russia controlla numerose fonti di informazioni; Russia, intelligence: hacker, azioni che provocano effetti anche a grandi distanze, con conseguenze simili a quelle prodotte dalle armi convenzionali, nonché sui sistemi economico-finanziari. La novità di tali operazioni deriva dall’impatto che generano, esempi: 2007 attacco informatico all’Estonia; 2008, Georgia: conflitto nel quale i russi hanno combinato assetti kinetik e jamming; Ucraina orientale: black-out di dicembre, «…stuxnet supera la soglia»; Ucraina, 2014: attacco malware alla commissione elettorale; Usa, 2016: interferenza nelle elezioni presidenziali, a Washington si attendevano delle azioni da parte di hacker russi, ma non si sapeva in quali forme e i russi hanno colpito mediante l’amplificazione delle informazioni su varie reti e anche il furto di informazioni.
A073AD – DANIEL A. PINKSTON (docente di Relazioni internazionali alla Troy University, Usa) (intervento in lingua inglese). Quattro gli scenari guida sui quali riflettere; Global Governance di Internet; Corea del Nord, arretratezza nello specifico settore: le tecnologie in possesso di Pyongyang risalgono agli anni Ottanta, il Paese è povero, ma lo stato ha il totale controllo della società e impiega in modo mirato le proprie risorse umane. Ma quali sono in realtà le intenzioni del regime comunista nordcoreano? Si delineano quattro scenari: quello attuale è quello delle sanzioni Onu e dell’instabilità strategica del Paese: il regime ha bisogno di valuta pregiata e ricorre a crimini informatici a danno di banche e società finanziarie per procurarsela; il secondo scenario è quello della collaborazione finalizzata al controllo degli armamenti nucleari mediante l’individuazione di percorsi di distensione politica. Ma in questo caso si renderebbe necessario ridurre la minaccia informatica quale effetto del rapporto maggiormente cooperativo, con le risorse di Pyongyang cooptate in attività cooperative; il terzo scenario sarebbe quello del peggioramento dei rapporti tra le due Coree, dato che attualmente l’armistizio si basa sul mantenimento della deterrenza; il quarto scenario è il peggiore: in caso di conflitto verrebbe scatenata anche l’arma informatica, di conseguenza ci si potrebbe attendere un’azione di distruzione dei supporti alle forze combattenti sul terreno. A questo punto le decisioni politiche che assumeranno gli alleati saranno funzione delle dimensioni dell’attacco lanciato da Pyongyang.
A073AE – LIOR TABANSKY (Head of research development, The Blavatnik Interdisciplinary Cyber Research Center, Tel Aviv University, Israel) (intervento in lingua inglese). L’Iran non rappresenta uno dei Paesi leader del settore dato che non è pienamente sviluppato. Nel passato si è reso protagonista di attacchi hacker per impossessarsi di database accademici, ma lo ha fatto servendosi di strumenti poco sofisticati. Tuttavia è comunque emersa l’incapacità dell’Occidente di proteggere le proprie società. La situazione è allarmante poiché, nonostante non manchino le conoscenze, si ripone però eccessiva fiducia nei propri strumenti. Le lezioni apprese dagli attacchi cibernetici – certamente non catastrofici ma certamente indicativi – vanno considerate seriamente, infatti altri avversari diversi dall’Iran sono assai più sofisticati e dunque non vanno sottovalutati. L’Occidente, in realtà, non ha problemi capacitivi, in quanto attacchi del genere possono essere vanificati dalle difese attualmente approntabili, in ogni caso esiste ancora spazio per progredire.
Seconda sessione, Proteggere la sicurezza nazionale nell’era cibernetica.
A073AF – FRANCESCO TALÒ (Coordinatore per la sicurezza cibernetica, Ministero degli Affari Esteri e della Cooperazione internazionale – introduce e modera) (intervento in lingua italiana). Quinto dominio, Cybertech e Cyberweek.
A073AG – ROBERTO BALDONI (Vicedirettore generale, Dipartimento delle Informazioni per la Sicurezza – DIS – Presidenza del Consiglio dei ministri) (intervento in lingua italiana). Architettura nazionale di cyber security; 2017, Programma strategico in materia di cyber security. “Orizzontalità” del cyber, organizzare la difesa cibernetica del Paese lavorando su una molteplicità di assi; unicità della postura nazionale ai tavoli internazionali (Ministero dell’Interno, Ministero della Difesa, Ministero dello Sviluppo economico). Unione europea, approvazione da parte del Consiglio europeo del Cyber Security Act. Criticità rinvenute nel sistema italiano: carenza di specifica normativa mirata all’identificazione e alla protezione sul piano cyber degli asset “critici” per la sicurezza nazionale (parte relativa alle infrastrutture); analisi ed elaborazione di una dottrina finalizzata all’attribuzione degli attori cyber-offensivi o anche potenzialmente offensivi al fine di velocizzare il processo difensivo.
A073AH – UMBERTO GORI (Professore di Relazioni internazionali all’Università di Firenze) (intervento in lingua italiana). La Hybrid Warfare ha segnato la fine dei conflitti convenzionali? Gli obiettivi di “Balance of Power” classico e il paradigma risalente a Tucidide. Cina e Usa: confronto dalle distanze culturali impressionanti; Sun Tzu: «L’obiettivo è la mente del nemico».
A073AI – GIORGIO MOSCA (Direttore Competitive Analysis, Strategy and Technologies at Security & Information System Division, Leonardo) (intervento in lingua italiana). Dati consuntivi del Gruppo Leonardo e suo peso percentuale sul prodotto dell’industria nazionale. XXI secolo, mutamento del paradigma: ricerca della supremazia nel Cyberspazio; criticità: education, necessarie competenze, nonché lavorare sul meccanismo generale di consapevolezza della società; autonomia strategica delle scelte in campo tecnologico in un contesto internazionale di cooperazione; costi e investimenti nella cybersecurity. Cyber: istantaneità, compressione del tempo (azzeramento) di tempo e spazio nel cyberspazio.
A073AL – FRANCESCO VESTITO (Comandante del Comando Interforze per le Operazioni Cibernetiche – CIOC – Ministero della Difesa) (intervento in lingua italiana). Industria nazionale, tecnologia, ecosistema. Dottrina dell’attribution. Air Power (potere aereo), potere aereo strategico da Douhet ai giorni nostri.
A073AM – GIANPIERO MASSOLO (Presidente dell’ISPI) (intervento in lingua italiana). Conclusioni.
A098 – SICUREZZA, IL FUTURO DELLA CYBERSECURITY IN ITALIA: panorama analitico sul quadro strategico nazionale per la sicurezza dello spazio cibernetico. La V dimensione della conflittualità: militarizzazione dello spazio cibernetico ed effetti sulla pace e la stabilità internazionale; capacità distruttiva delle armi cibernetiche. Conferenza organizzata dall’ITALIAN DIPLOMATIC ACADEMY presso la WASHINGTON UNIVERSITY of ROME, Roma, 15 febbraio 2019. Moderatore, professor VITTORFRANCO PISANO (già consulente della Divisione di Diritto europeo del Congresso degli Stati Uniti d’America e del Senato degli Stati Uniti d’America – Commissione Affari Giudiziari, Sottocommissione per la Sicurezza e il Terrorismo); interventi di: DOMENICO VECCHIONI (ministro plenipotenziario e storico dell’Intelligence), Intelligence e Diplomazia; professor CAMIL DEMETRESCU (coordinatore nazionale CyberChallenge.it, Università La Sapienza di Roma), CyberChallenge.it, primo programma italiano di addestramento alla cybersecurity per giovani di talento; professor LUIGI MARTINO (responsabile e coordinatore del Center for Cyber Security and International Relations Studies del Dipartimento di Scienze Politiche e Sociali dell’Università di Firenze), l’influenza del cyberspazio sulla stabilità, la pace e la sicurezza del sistema internazionale globale; professoressa GERMANA TAPPERO MERLO (Global Trends & Security), weaponization of informations, cyberwar e terrorismo nell’attuale contesto, dark web e network terroristici islamisti, criptovalute/bit coin, Cybertech Tel Aviv; dottor GIOVANNI FINETTO (imprenditore del settore sicurezza); generale FRANCESCO VESTITO (generale di brigata aerea, Comando Interforze per le Operazioni Cibernetiche – CIOC), Cyber Defence: l’importanza della cooperazione internazionale nella condivisione delle buone pratiche; a seguire, question time.
Argomenti trattati: weaponization of informations (fake news e manipolazione delle informazioni); asimmetrie, armi cibernetiche: costi minori, diffusione ed estesa praticabilità da parte di numerosi soggetti; Tallin Manual 2.0 on the International Law applicable to Cyber Operations; web, deep web, dark web; sociogrammi di Moreno; Internet of Things (Internet delle cose); US Cybercom; F.D. Kramer; Dpcm Gentiloni 17 febbraio 2017; Decreto Monti 13 dicembre 2014; Estonia, attacco cibernetico del 27 aprile 2007; hacker, soggetto dotato di “intelligenza laterale” che risolve i problemi.