In un mondo sempre più proiettato verso la digitalizzazione, basti pensare che nel 2025 si raggiugeranno i 41 miliardi di dispositivi elettronici collegati alla rete internet, di primario interesse è il ruolo che l’Unione Europea viene ad assumere in tema di cybersicurezza, che, limitatamente al mercato europeo, risulta impegnare oltre 60.000 imprese e 660 centri di competenza, per un valore stimato che supera i 130 miliardi di euro e con un livello di crescita di circa il 17% l’anno.
Se le tecnologie digitali garantiscono enormi opportunità, offrendo valide soluzioni alle molteplici sfide che l’Europa sarà chiamata ad affrontare, le stesse risultano fortemente esporre l’intera società, nei suoi settori più critici (energia, trasporti, sanità, ecc.) a pericolose minacce informatiche, sempre più numerose e sofisticate, che necessitano di risposte rapide ed innovative, onde garantire un cyberspazio aperto, stabile e sicuro.
In tale contesto, alla fine del 2020 la Commissione Europea e l’Alto rappresentante per gli affari esteri e la politica di sicurezza hanno presentato una nuova strategia dell’EU per la sicurezza informatica, dove la stessa UE è volta a coordinare gli sforzi per una digitalizzazione sempre più sicura, con apposite norme per soluzioni condivise a livello mondiale, attraverso standard di sicurezza informatica per servizi essenziali e infrastrutture critiche, con lo sviluppo e l’applicazione di nuove tecnologie.
Muovendo dalla strategia del 2013, l’UE si è evoluta, adottando, in collaborazione con i suoi partener, un nuovo approccio, con l’obiettivo di rafforzare la capacità dell’Europa di affrontare e superare le minacce informatiche, nonché garantire a tutti i cittadini ed alle imprese l’uso di servizi e strumenti digitali affidabili, il tutto attraverso una sempre maggiore interconnessione tra sicurezza interna ed esterna.
Questa nuova strategia, volta alla salvaguardia di un internet libero e universale, oltre ad offrire un sistema di protezione dei valori europei e dei diritti fondamentali, formula concrete proposte in merito a iniziative politiche, investimenti e regolamentazione. In particolare la Commissione, nel proporre una riforma delle norme sulla sicurezza delle reti e dei sistemi informatici, per un più elevato livello comune a difesa dei settori pubblici e privati essenziali, suggerisce la realizzazione di una rete di centri operativi per la sicurezza comune, adeguatamente supportati dall’intelligenza artificiale per una più rapida e tempestiva rilevazione del minimo segnale di attacco informatico, onde limitare al massimo i possibili conseguenti danni.
La Commissione mira, così, attraverso la creazione di una nuova unità congiunta per il cyberspazio, a sviluppare e consolidare una fattiva collaborazione, non solo tra i diversi organismi dell’UE, ma soprattutto con le diverse unità dei singoli Stati membri, queste ultime specializzate a prevenire, contrastare, bloccare e rispondere ad attacchi informatici sempre più agguerriti.
La nuova strategia prevede, inoltre, misure per il sostegno delle piccole e medie imprese, con l’obiettivo di migliorare le competenze professionali, attirare e trattenere giovani talenti esperti in cybersicurezza, far crescere gli investimenti su ricerca e innovazione.
L’Unione Europea intensificherà, in tal modo, i rapporti di collaborazione con i partners internazionali allo scopo di disporre di un cyberspazio fondato su regole, sicurezza e stabilità, atto a proteggere e garantire i diritti umani e le libertà fondamentali. A tal fine si prevede la realizzazione di una rete per la diplomazia informatica europea, che ne promuova la visione.
L’Unione Europea si è, quindi, impegnata a sostenere la nuova strategia per la cybersicurezza attraverso ingenti investimenti nella transizione digitale, con evidenti riflessi sul bilancio a lungo termine (2021-2027), e tra questi: l’Europa Digitale, il programma di finanziamento incentrato sull’introduzione della tecnologia digitale nelle imprese, presso i cittadini e nelle pubbliche amministrazioni, l’Orizzonte Europa, il programma quadro di ricerca e innovazione, e il piano di ripresa NextGenerationEU. Obiettivo dell’UE è raggiungere i 4,5 miliardi di Euro di investimenti, ripartiti tra la stessa UE, gli Stati membri ed il settore industriale.
Per realizzare detti obiettivi, l’UE ha introdotto nel 2019 un apposito sistema sanzionatorio, attraverso il Regolamento (UE) 796/2019 e la Decisione (PESC) 797/2019, con lo specifico intento di comminare misure restrittive individuali per limitare e contrastare ogni possibile attacco informatico, che lo stesso sistema sanzionatorio definisce come un’azione che comporti accesso ai sistemi di informazione, interferenza in banche dati o sistemi di informazione, o intercettazione di dati qualora tale azione non sia debitamente autorizzata dal proprietario o da altro titolare di diritti sul sistema, ovvero non sia consentita a norma del diritto dell’Unione e dello Stato membro interessato.
Come riportato nella “Relazione al Parlamento sullo stato dell’azione di prevenzione al riciclaggio e del finanziamento del terrorismo” per l’anno 2023, elaborata e resa pubblica dal Comitato di sicurezza finanziaria presso il Dipartimento del Tesoro nel 2024, l’UE, con Decisione (PESC) 964/2023 del 15 maggio 2023, ha prorogato fino al 18 maggio 2025 la validità del predetto regime sanzionatorio, che alla data del 31 dicembre 2023 è stato applicato complessivamente nei confronti di 8 individui e 4 entità.
In tutto ciò l’Italia svolge un ruolo importante e si è organizzata al meglio con la costituzione dell’Agenzia per la Cybersicurezza Nazionale e varando una serie di provvedimenti, quali la Legge n. 90 del 28.06.2024, titolata “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, ovvero recependo con il D.lgs. n. 138 del 04.09.2024 la Direttiva NIS2, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, in attesa di recepire entro il 17 gennaio 2025 anche il Regolamento 2022-2554, c.d. DORA (Digital Operational Resilience Act), emanato dalla UE con particolare riferimento al settore finanziario.
Peraltro è proprio di questi giorni il varo da parte dell’Agenzia per la Cybersicurezza Nazionale delle linee guida “per il rafforzamento della protezione delle banche dati rispetto al rischio di utilizzo improprio”. Queste linee guida hanno come obiettivo proprio la riduzione dei rischi che soggetti non autorizzati possano introdursi abusivamente, essendo privi di credenziali e privilegi, violando la protezione dei sistemi e degli archivi.
Nessun soggetto è immune da minacce di aggressione digitale, vuoi che si tratti di persona fisica o giuridica, ente pubblico o privato, istituzione amministrativa o politica e indipendentemente dalle dimensioni e dal settore in cui opera.
Un rischio zero purtroppo non esiste. Ciò che si può, anzi si deve fare con tutti gli elementi disponibili della scienza, della tecnologia e della formazione e avvalendosi anche delle best practice, è finalizzare processi che minimizzino il più possibile il rischio. Solo così, passo dopo passo, i livelli di difesa saranno sempre più elevati, supportati da tecnologie ancor più avanzate con l’ausilio dell’Intelligenza Artificiale, per far fronte alle minacce di quanti possano arrivare finanche a minare la sicurezza di un Paese.
