Sulla sicurezza informatica e delle reti l’Europa continua a muoversi in ordine sparso. Secondo l’Eu Cybersecurity Dashboard presentato ieri mattina a Bruxelles da Bsa – The Software Alliance rimangono infatti “considerevoli discrepanze” tra le politiche, le legislazioni e le capacità operative messe in campo dai singoli stati membri dell’Unione europea. Una frammentazione che espone il continente a rischi più elevati. E sulla quale pesano i ritardi di un numero non trascurabile di paesi: solo 19 sui 28 del club europeo si sono dotati di una vera e propria strategia nazionale in materia di cyber security.
Ma anche tra quelli che lo hanno fatto, segnala la ricerca, il quadro è tutt’altro che soddisfacente. La qualità di buona parte delle strategie adottate resta “variabile”, i particolari “vaghi”, e spesso manca all’appello “un piano d’implementazione chiaro”. Si contano sulla punta delle dita gli stati virtuosi che avrebbero già sviluppato strumenti politici e legislativi all’altezza delle sfide odierne, ad esempio la protezione delle infrastrutture critiche.
“Nonostante la maggior parte dei paesi europei abbia issato la sicurezza cibernetica al rango di priorità politica, l’intero mercato unico resta vulnerabile a causa dei pesanti dislivelli tra gli approcci domestici”, riassume Thomas Boue, direttore Emea di Bsa. Non si salvano neppure i Cert nazionali, i gruppi di risposta alle emergenze informatiche sul cui coordinamento la Commissione europea ha insistito molto negli ultimi anni, a quanto pare invano visto che le loro attività e responsabilità “differiscono in maniera sensibile” da paese a paese. Mentre un’altra lacuna rilevata dalla ricerca è il ridotto livello di cooperazione tra settore pubblico e privato.
La Business Software Alliance è un’associazione che riunisce vari attori internazionali dell’industria del software (Adobe, Microsoft, Symantec, Apple) attorno alla causa del contrasto alla pirateria informatica soprattutto nel campo della violazione del copyright sui software. L’Eu Cybersecurity Dashboard passa ai raggi X politiche e legislazioni di ciascun paese Ue sulla base di 25 indicatori. Italia promossa in virtù del varo a gennaio 2014 del Quadro strategico nazionale per la sicurezza dello spazio cibernetico e del Piano nazionale per la protezione cibernetica e la sicurezza informatica, le cui basi erano state già gettate un anno prima da un decreto firmato dall’allora governo Monti.
Il che fa dire a Bsa che il Belpaese possiede oggi, almeno sulla carta, un “framework legale forte in supporto della sicurezza informatica”. Non che questo significhi che nella pratica si sia attrezzato a sufficienza contro le aggressioni informatica. L’ultimissimo Italian Cyber Security Report evidenzia ad esempio come all’interno PA italiana permangano “lacune importanti e radicate sia in termini di cultura della sicurezza che di organizzazione”.
In un rapporto del 2014 McAfee quantifica i costi del cybercrime in Europa in 16 miliardi di dollari (18 miliardi di euro) all’anno. Ma il gigante californiano specializzato in sicurezza informatica avverte che il conto potrebbe essere molto più salato. Nei Paesi Bassi e in Germania si aggirerebbe rispettivamente attorno all’1,5 e all’1,6% del Pil nazionale. Ciò nonostante, solo il 26% delle aziende europee, stando a dati Eurostat, ha formalmente definito una politica di sicurezza informatica, mentre più di un consumatore europeo su 10 dichiara di essere stato vittima di frode informatica.
Con gli attacchi cibernetici in crescita esponenziale, l’Unione europea ha moltiplicato le iniziative. Nel febbraio 2013 l’allora commissario per l’Agenda digitale, Neelie Kroes, ha presentato una proposta di direttiva, parte di una più ampia strategia, che in sintesi estrema delinea criteri più stringenti e standard comuni per enti pubblici e alcune specifiche categorie di operatori di mercato, in particolare per quanto riguarda la gestione del rischio e la notifica degli incidenti.
Particolarmente battagliata è risultata l’inclusione degli Over the top tra i soggetti su cui incombono questi obblighi, una misura che il Parlamento europeo ha poi abrogato. L’iter di adozione del testo, dopo faticosi negoziati, appare ormai alle ultime battute sebbene sia Strasburgo che il Consiglio Ue abbiano scelto di annacquarne diverse norme chiave. Proprio in ragione di ciò, è il timore degli esperti, la normativa potrebbe avere un impatto limitato sulla marcata frammentazione europea in fatto di sicurezza cibernetica su cui getta luce Bsa.
