L’Articolo 37 del Decreto-Legge 115 del 9 agosto 2022 – il decreto “Aiuti” – ha aggiunto un tanto interessante, quanto complicato tassello alla strategia di difesa cibernetica del nostro paese.
In buona sostanza se il nostro paese è colpito da un attacco cyber può contrattaccare.
Guerra ibrida: l’Italia si prepara alla controffensiva cyber, col DL Aiuti
La modifica apportata dal decreto Aiuti alla cybersecurity
L’intervento ha portato all’aggiunta dell’articolo 7ter Decreto-Legge 174 del 30 ottobre 2015. Per comodità riporto quelli che considero il passaggio chiave dell’intervento normativo.
Il Presidente del Consiglio dei ministri … emana … disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza…
… L’autorizzazione è disposta sulla base di una valutazione volta ad escludere, alla luce delle più aggiornate cognizioni informatiche, fatti salvi i fattori imprevisti e imprevedibili, la lesione degli interessi di cui all’articolo 17, comma 2, della legge 3 agosto 2007, n. 124
I limiti al contro-attacco cyber
I limiti della ritorsione sono fondamentale due.
- Il primo riguarda il tipo di ritorsione che dovrebbe essere di natura analoga e si tratta di una prima discriminante. Cosa non scontata se torniamo al 2017, quando, a seguito della diffusione di WannaCry e NotPetya, l’allora ministro della difesa inglese Fallon dichiarò che la Gran Bretagna era pronta a rispondere con attacchi convenzionali.
- Alla limitazione della reazione in ambito cyber si aggiungono quelle previste dall’articolo 17 della Legge 124 del 3 agosto 2007 in tema di “Sistema di informazione per la sicurezza della Repubblica e nuova disciplina del segreto”. Nella norma si escludono, tra le altre, azioni che possano “mettere in pericolo o a ledere la vita, l’integrità fisica, la personalità individuale, la libertà personale, la libertà morale, la salute o l’incolumità di una o più persone”.
Attacco hacker al Gestore dei servizi energetici: offline il sito web, ma proseguono le attività
Nello specifico si tratta di una garanzia non banale. La prima questione riguarda la concreta possibilità di evitare che si verifichi anche soltanto uno dei casi di esclusione. La crescente convergenza di sistemi IT e OT e la loro crescente interconnessione rappresenta il primo e più grave problema, tale per cui un’azione i cui effetti dovrebbero restare confinati nello spazio cyber potrebbe in realtà produrre effetti cinetici nel mondo reale. In questo senso i “fattori imprevisti e imprevedibili” che potrebbero comunque ammettere la ritorsione, ex-post potrebbero rivelarsi facilmente prevedibili, se solo si fosse raccolta qualche informazione in più sull’obiettivo.
Un secondo problema attiene alla valutazione dell’evento che può giustificare il successivo contrattacco. In questo caso vale la pena richiamare il “Tallin Manual – on the International Law Applicable to Cyber Warfare”. Il testo nella sua edizione 2.0 rappresenta, allo stato attuale e almeno per il mondo occidentale, il più attendibile riferimento in materia di applicabilità del diritto internazionale ai conflitti cibernetici. Per quanto il tema di quelle che definisce in generale le “cyber operations” abbia più volte diviso gli esperti che hanno partecipato alla sua redazione, il Manuale, alla Regola 92, stabilisce che “un attacco cibernetico è un’operazione cibernetica, sia offensiva sia difensiva, dalla quale si può ragionevolmente attendersi il ferimento o la morte di persone oppure il danneggiamento o la distruzione di oggetti”.
L’elemento dirimente sembra essere quello dell’effetto cinetico dell’operazione. In questo senso, seguendo la linea del Manuale, vale la pena chiedersi se le “situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale” devono necessariamente rispettare questo requisito. Probabilmente no, poiché la sicurezza dello stato è un concetto più politico che giuridico, legato quindi alla specificità del contesto storico e alle priorità che mutano nel tempo. Su queste premesse si può facilmente immaginare una situazione paradossale per cui a fronte di un’aggressione cyber che non produce effetti cinetici su persone o cose, il nostro paese risponda con una ritorsione che finisca per causarli e quindi si configuri come quello che, sulla base dell’interpretazione del Manuale, si rivelerebbe un vero e proprio atto di guerra.
Misure di intelligence
Non a caso, quindi, il provvedimento parla di “misure di intelligence” e questo richiama immediatamente operazioni sotto copertura che molto pragmaticamente fanno leva su quella che Aldo Giannuli ha definito come il paradosso della “omertà degli avversari”. Quella situazione per cui chi ha subito l’aggressione non ha interesse a creare le premesse di guerra aperta e quindi, anche nel caso in cui riesca a identificare la fonte dell’attacco, non la denuncerà esplicitamente, piuttosto reagirà all’interno della zona d’ombra che ha creato. Quella della “fog of peace” è peraltro una situazione connaturata allo scenario cyber, all’interno del quale risulta sempre complicatissimo individuare con certezza la provenienza di un attacco. Questo poi rappresenta un ulteriore problema di applicazione di quanto previsto dall’articolo 7ter perché peggio di una risposta sproporzionata c’è soltanto una ritorsione che colpisce il bersaglio sbagliato.
Dl Aiuti e cyber: più forma che sostanza
Tirando le somme mi sembra che questo intervento normativo aggiunga molto da un punto di vista di forma, ma poco da quello della pratica. In definitiva esplicita un ruolo dei nostri servizi di intelligence che implicitamente già avevano.