Gli attacchi WannaCry e NotPetya del 2017 hanno dimostrato che la frammentazione nella risposta cyber europea non era più sostenibile.
Da quella consapevolezza è nato l’European Cyber Shield, un’infrastruttura federata che connette i centri operativi di sicurezza nazionali e offre alle aziende private europee accesso a capacità difensive avanzate.
Non un semplice protocollo di cooperazione, ma un vero ecosistema pubblico di resilienza digitale che ridefinisce il rapporto tra Stati, mercato e sicurezza informatica.
Indice degli argomenti
La risposta europea agli attacchi del 2017
Nel maggio 2017, WannaCry ha paralizzato 200.000 computer in 150 Paesi nel giro di poche ore. Un mese dopo, NotPetya ha fatto ancora peggio rivelandosi un’arma di distruzione digitale progettata per cancellare definitivamente i dati. La risposta europea a questi attacchi è stata frammentata e inefficace, con ogni Paese che reagiva per conto proprio duplicando sforzi e perdendo tempo prezioso prima di condividere informazioni realmente utili.
Quando nel dicembre 2020 è emerso SolarWinds, un attacco supply chain così sofisticato che gli aggressori erano dentro le reti delle vittime da mesi senza essere scoperti, l’Europa ha finalmente capito che la frammentazione tra i vari Stati nella risposta all’attacco non era più sostenibile e serviva quindi qualcosa di radicalmente diverso.
Quel qualcosa di diverso ha iniziato a emergere direttamente sul campo. Non è stato un caso quindi che di fronte a un avversario persistente e tecnicamente sofisticato come l’unità APT28, cellula di spionaggio del Direttorato Principale dell’Intelligence russo (GRU), i confini digitali si sono dissolti, costringendo i centri operativi europei a unire le forze.
Dal 2022 infatti, il GRU ha condotto una mirata campagna di spionaggio cibernetico contro la logistica occidentale e le aziende tecnologiche, in particolare quelle coinvolte nel coordinamento e nella consegna degli aiuti esteri all’Ucraina.
Questa minaccia diffusa, che ha colpito obiettivi critici in Paesi come Germania, Francia, Italia e Polonia, ha reso inevitabile una risposta transnazionale. Il risultato è stato un’inedita coalizione tecnica tra i Security Operations Center (SOC) nazionali: il BSI tedesco, l’ANSSI francese, l’NCSC-UK britannico, insieme ai servizi di intelligence statunitensi che hanno iniziato a emettere congiuntamente bollettini di sicurezza e a condividere capacità operative per identificare e neutralizzare le tattiche impiegate dall’APT28 contro i nodi vitali delle catene di trasporto aereo, marittimo e ferroviario europee.
Questa cooperazione nata dalla necessità operativa più che da direttive politiche ha spinto nel 2024 l’Unione Europea a predisporre l’European Cyber Solidarity Act (ECSA) che aveva l’obiettivo di creare un quadro giuridico e operativo per la collaborazione tra gli Stati Membri nella gestione degli attacchi cyber.
La vera innovazione introdotta dall’European Cyber Solidarity Act (ECSA) è nel modello di cooperazione che è stato definito. Di fatto il regolamento europeo crea una Rete Federata tra i SOC e i CERT dei vari Stati dell’Unione con l’obiettivo di difendere le infrastrutture pubbliche europee, ma, nel contempo, fornire anche servizi altamente specializzati alle aziende private europee.
Tale modello è innovativo e si differenzia in maniera sostanziale da quelli adottati da altri Paesi nel mondo quali Stati Uniti e Cina. Di fatto l’Europa sta costruendo un’infrastruttura pubblica che combina coordinamento strategico ed efficienza di mercato nell’ambito della difesa verso gli attacchi cyber. Tale infrastruttura è stata denominata European Cyber Shield (ECS).
Nei prossimi paragrafi verranno illustrate le principali caratteristiche dell’European Cyber Shield e si analizzeranno vantaggi che introduce, nonché le principali differenze rispetto ai modelli adottati negli altri Paesi del mondo.
European Cyber Shield: cosa è e come funziona
L’European Cyber Shield è una rete federata di difesa cibernetica tra gli Stati Membri dell’Unione. Come detto prima, essa rappresenta l’attuazione dell’European Cyber Solidarity Act che fornisce le basi politiche e giuridiche, nonché le modalità di cooperazione e scambio delle informazioni tra i vari SOC e CERT nazionali degli Stati Europei.
Lo Shield non è un prodotto che si acquista né un software da installare, ma un ecosistema di capacità difensive condivise, un’infrastruttura pubblica concepita per essere il fondamento tecnico della solidarietà cibernetica europea.
L’obiettivo è sfidante, ma devono essere sciolti alcuni nodi importanti soprattutto a livello politico.
Con questa piattaforma, quando un attacco colpisce simultaneamente obiettivi in più Paesi europei, non sarà più necessario analizzarlo separatamente in team diversi: il primo SOC che lo intercetta condividerà immediatamente i risultati con gli altri, aumentando così la velocità di rilevazione e reazione.
In un modello federato, tale velocità dipende dalla maturità tecnica dei SOC/CERT nazionali e ad oggi questi sono profondamente diversi condizionando di fatto l’efficacia del modello.
Ad oggi, gli Stati Membri hanno strategie diverse e con budget notevolmente diversi. Questo genera la diversa maturità tecnica tra i SOC e CERT confederati citata prima. Affinché il modello definito non fallisca, è necessario avere SOC/CERT tutti allo stesso livello di maturità tecnica e questo richiede sforzi economici da parte dei Paesi Membri.
Bisogna considerare che gli attacchi più pericolosi non si basano solo su minacce già catalogate, con firma nota, che attivano processi automatizzati, ma sono progettati per non avere firma, usare zero-day, avere infrastrutture pulite, tecniche che cambiano campagna dopo campagna. In questi casi, la condivisione richiede analisi umana, valutazione contestuale, decisioni che coinvolgono persone in fusi orari diversi, con lingue diverse, e con mandati istituzionali che non sempre si sovrappongono perfettamente.
Oltre ad essere una rete federata pubblica di SOC/CERT, una delle maggiori novità introdotte dalla infrastruttura Shield è la possibilità di offrire servizi altamente specializzati anche a tutte le aziende private europee.
La rete non potrà rivolgersi direttamente alle aziende private vista la complessità in termini di numerosità e diversità delle aziende private, ma fornirà a queste un accesso alla rete mediato dai Managed Security Service Provider (MSSP), ovvero soggetti privati, ma certificati e accreditati presso l’infrastruttura pubblica europea.
In questo modo, tutte le aziende private europee potranno accedere, tramite gli MSSP, a servizi di difesa cybernetica altamente qualificati e con costi nettamente inferiori a quelli offerti da in SOC interno. Tra questi servizi ricordiamo il monitoraggio continuo del proprio perimetro digitale, una threat intelligence evoluta basata sulle informazioni raccolte dall’infrastruttura Shield, team di incident response specializzati ed efficienti e così via.
L’analogia più immediata è quella con la rete elettrica. Nessuno si costruisce la propria centrale in casa, ma tutti si collegano alla rete pubblica e acquistano l’energia che serve. Lo Shield mira a offrire la stessa logica per la sicurezza informatica, una resilienza distribuita come un servizio pubblico.
L’infrastruttura tecnica Shield è in fase di avvio e sviluppo, con nodi nazionali che stanno sviluppando le necessarie interfacce tecniche.
Ma se la rete federata dei SOC/CERT nazionali ha dimostrato di funzionare e la collaborazione operativa tra gli Stati Membri è stata efficace nella gestione dei recenti incidenti cyber, il passaggio da infrastruttura pubblica a ecosistema di servizi privati è tutto da sviluppare e la sua efficacia deve essere ancora dimostrata.
Accesso delle imprese e rischi sistemici
Il vantaggio teorico è chiaro: le PMI che oggi non possono permettersi un SOC interno potrebbero finalmente accedere, con costi contenuti, a capacità difensive sofisticate attraverso abbonamenti scalabili agli MSSP connessi alla rete federata. Considerando però che poiché gli MSSP sono aziende private con logiche di profitto, è necessario evitare che il modello replichi le dinamiche di mercato tradizionali, offrendo servizi premium ad alto costo per chi può permetterseli e offerte marginali per tutti gli altri.
La sfida delle Commissione Europea sarà quella di regolamentare il mercato per trovare il giusto punto di equilibrio tra accesso all’infrastruttura pubblica e servizi accessibili a tutti e con costi accessibili.
Anche se il modello mostra delle potenzialità elevate, presenta anche alcuni punti di attenzione.
Uno di questi è connesso alle competenze interne delle aziende. Se un modello as-a-service funziona davvero, le aziende saranno incentivate a esternalizzare completamente la gestione della sicurezza.
Ma cosa succede quando un’organizzazione perde la memoria operativa di come si gestisce la sicurezza internamente? Questo è un dilemma che ha coinvolto anche il cloud computing dove la convenienza economica immediata ha creato delle crea dipendenze strutturali forti con gli operatori cloud e una perdita di competenza interna significativa.
La risposta difficilmente sarà binaria. Le organizzazioni più grandi probabilmente manterranno capacità interne e useranno gli MSSP connessi allo Shield per integrare le proprie difese.
Le piccole aziende, che oggi spesso non hanno elevate capacità economiche, faranno un salto di qualità anche solo accedendo a un livello base di protezione federata. Il rischio è nella fascia intermedia: aziende che oggi hanno team interni piccoli ma funzionali potrebbero essere tentate di smantellare queste competenze per risparmiare, perdendo nel medio/lungo termine la resilienza verso la cybersicurezza che necessita comunque di competenze interne qualificate.
Altro punto di attenzione è relativo alla resilienza dell’infrastruttura Shield. Cosa accadrebbe se questa infrastruttura venisse compromessa? Un attacco riuscito all’infrastruttura non colpirebbe più un singolo stato o una singola azienda, ma potenzialmente l’intero ecosistema difensivo europeo simultaneamente.
La centralizzazione, se da un lato aumenta l’efficienza, dall’altro concentra il rischio in un unico punto. Per usare una similitudine, questo punto di attenzione vale anche per le reti elettriche, per le reti interbancarie, per il cloud computing e, in genere, per tutte le infrastrutture critiche.
Pur mantenendo i vantaggi connessi alla centralizzazione, esistono soluzioni per aumentare la resilienza dell’infrastruttura ed evitare che diventi un one-point-of-failure (es. ridondanza, segmentazione, capacità di degradazione controllata,…). A titolo esemplificativo, se un nodo della rete federata viene compromesso, gli altri devono poter continuare a operare. Analogamente, se un MSSP viene infiltrato, non deve trascinare con sé l’intera catena.
Tutte queste domande restano aperte: il modello è ancora troppo recente e in fase di raffinamento.
Modelli a confronto: Stati Uniti, Cina ed Europa
Nel dominio cibernetico, la geografia non è più disegnata dai confini fisici, ma dagli ecosistemi digitali che li sorreggono. Ogni blocco geopolitico ha costruito la propria infrastruttura di sicurezza come un’estensione della propria identità politica: il modo in cui un Paese difende i propri dati è lo specchio del modo in cui difende la propria sovranità.
Gli Stati Uniti non hanno un’infrastruttura pubblica di cybersecurity paragonabile allo Shield europeo. Non ne hanno bisogno. Hanno Google, Microsoft, Amazon, Cloudflare, Palo Alto Networks, CrowdStrike e così via.
In pratica hanno aziende che gestiscono volumi di traffico e dati talmente elevati che possono fare analisi preventive e predittiva delle minacce prima che le stesse capitino. Ad esempio, quando un nuovo malware inizia a diffondersi, i sensori di Microsoft lo rilevano su milioni di endpoint in pochi minuti. Analogamente, quando un’infrastruttura di comando e controllo si attiva, Cloudflare la identifica analizzando i pattern di traffico sulla sua rete globale.
Questo dà agli Stati Uniti un vantaggio di velocità e scala che nessuna infrastruttura pubblica può replicare, ma crea anche dipendenze che sono problematiche per chiunque non sia americano.
Ad esempio, se un’azienda europea affida la sua sicurezza a fornitori americani, implicitamente accetta che i suoi dati passeranno attraverso giurisdizioni quali il Cloud Act, che consente al governo americano di richiedere accesso a informazioni archiviate all’estero da aziende americane. Si sta anche accettando il rischio che in uno scenario di conflitto geopolitico, gli interessi dell’azienda potrebbero non essere completamente allineati a quelle dei suoi fornitori.
La Cina si muove all’estremo opposto. L’innovazione non è lasciata al mercato, ma orchestrata dallo Stato come componente organica della propria strategia di potenza. L’infrastruttura digitale, dalle reti 5G alle piattaforme cloud, è parte di un unico organismo politico, dove pubblico e privato si fondono in una catena di comando unificata. È un modello di efficienza quasi militare: centralizzato, coerente, capace di mobilitare rapidamente risorse e competenze. Ma la stessa forza che ne garantisce la solidità, ne limita l’adattabilità. L’assenza di autonomia aziendale trasforma il cyberspazio in strumento di controllo, non di cooperazione.
In mezzo a questi due modelli si colloca l’European Cyber Shield che è una infrastruttura di difesa cibernetica pubblica nella sua architettura, ma competitiva nei suoi servizi, coordinata a livello sovranazionale, ma rispettosa delle autonomie nazionali, accessibile alle PMI ma tecnicamente sofisticata quanto le soluzioni enterprise offerte dai fornitori americani.
Rispetto al modello americano, l’European Cyber Shield ha un vantaggio strutturale in quanto è pubblica e questo significa che i costi non sono sostenuti interamente dai provider privati e quindi potrebbe consentire investimenti importanti per sviluppare l’infrastruttura anche quando le logiche di mercato non li giustificano.
È chiaro che l’infrastruttura federata europea è sicuramente quella più democratica e più accessibile sul mercato, ma d’altra parte è anche la più difficile da realizzare vista le disomogeneità politiche, strategiche e tecniche che oggi esistono tra i 27 Stati Membri dell’Unione.
In pratica, se da un lato il modello cinese è poco democratico ma più protetto e il modello americano è meno regolamentato ma meno accessibile alle piccole aziende, il modello europeo è più regolamentato e più accessibile alle piccole aziende, ma richiede che le aziende si fidino abbastanza da condividere informazioni sensibili e che questa fiducia non si trasformi in dipendenza strutturale.
Prospettive e ricadute per la sovranità digitale
Tutto era cominciato con WannaCry e NotPetya. Due attacchi che, nel 2017, paralizzarono interi Paesi in poche ore, rivelando quanto fragile fosse l’infrastruttura digitale globale. Da lì è partita la corsa europea verso la sovranità cibernetica, spinta dall’urgenza di non dipendere più né dalle big tech americane né dai modelli autoritari orientali. Ma ogni tentativo di emancipazione ha un prezzo.
Il valore dello Shield non sta nella perfezione della sua architettura, ma nel fatto che affronta un problema reale con un modello che cerca di bilanciare compromessi difficili.
Nei prossimi anni, il modello sarà messo alla prova da incidenti reali. Un attacco coordinato su larga scala rivelerà se i tempi di risposta della rete federata sono competitivi o se la frammentazione residua vanifica i vantaggi del coordinamento. La competizione tra MSSP mostrerà se l’accesso all’infrastruttura pubblica abbassa davvero le barriere all’ingresso o se la certificazione consolida un oligopolio. Le tensioni geopolitiche diranno se la cooperazione tecnica riesce a sopravvivere ai disaccordi politici o se il primo conflitto serio tra Stati Membri paralizzerà l’intero sistema.
Ma per chi deve prendere decisioni oggi, su cosa investire e come strutturare la propria difesa cibernetica, lo Shield rappresenta un’opzione che prima non esisteva. Non è la soluzione perfetta, ma è un’infrastruttura funzionante che offre capacità concrete: threat intelligence condivisa tra ventisette Paesi, coordinamento operativo con i SOC/CERT nazionali, accesso a competenze specialistiche attraverso provider certificati e così via.
Per una PMI europea che oggi non ha alcuna difesa strutturata, questo può fare la differenza tra essere un bersaglio facile e avere un perimetro minimamente protetto. Per un’azienda più grande, può essere il complemento alle capacità interne che mancano: visibilità su minacce che operano a livello transnazionale, early warning su campagne in corso, supporto specialistico in caso di incidente grave.
