La crociata promessa dalla Commissione europea contro il crimine informatico potrà finalmente avvalersi di un autentico e incisivo arsenale legislativo. Nella fattispecie: una strategia ad hoc, affiancata sin da subito da una direttiva sulla cybersicurezza. Entrambi i testi, attesi (e rimandati) da diversi mesi, sono stati presentati in mattinata a Bruxelles da un “duetto” tutto in rosa di alti dignitari comunitari: il commissario per l’Agenda Digitale Neelie Kroes e l’Alto rappresentante Ue per gli affari esteri Catherine Ashton.
“E’ arrivato il momento di lanciare un’iniziativa coordinata, i costi dell’inerzia sono molto più salati di quelli di un’eventuale azione”, ha avvertito Neelie Kroes in apertura di conferenza stampa. Al suo fianco, Catherine Ashton ha spiegato che l’obiettivo generale è di estendere alla Rete “le stesse norme, principi e valori che l’Ue tutela già offline”.
Tutti d’accordo. O quasi. La direttiva, infatti, allarga a dismisura – e ben oltre il campo degli operatori di rete – la platea di attori su cui incomberà l’obbligo di notificare eventuali incidenti di sicurezza e violazioni patite dai propri network. Nella lista dei soggetti interessati dalla misura, si rivede tutto il gotha delle web company planetarie (motori di ricerca, piattaforme di e-commerce, social network, etc.), con in prima fila titani del calibro Facebook, Google o ancora Microsoft. Che, senza sorprese, non hanno affatto apprezzato la novità legislativa. Troppi gli ostacoli di natura tecnica per ottemperarvi, deplorano. E c’è da scommettere che affileranno le armi per attutire l’impatto dell’indigesto passaggio durante l’iter di approvazione della normativa. Anche perché quest’ultima esige sanzioni “effettive, proporzionate e dissuasive” nel caso d’incidenti di una certa gravità non segnalati alle autorità competenti. Resta fermo che l’onere di notifica, e quello di soddisfare criteri minimi per la gestione dei rischi, verrà anche esteso ad una moltitudine di altri servizi (finanziari, nel campo dei trasporti) che utilizzano infrastrutture critiche, nonché alle amministrazioni pubbliche.
Quanto agli altri aspetti salienti della normativa, la Commissione dispone innanzitutto che ogni stato membro si doti in tempi celeri di una strategia di cybersicurezza nazionale e, contestualmente, designi un’autorità competente incaricata di prevenire e trattare i rischi, classificare gli incidenti segnalati e poter rispondere ad eventuali attacchi appoggiandosi alle competenze dei Cert. A livello comunitario è prevista, inoltre, l’istituzione di un meccanismo di cooperazione tra i paesi Ue e lo stesso esecutivo di Bruxelles per condividere informazioni e rafforzare la vigilanza preventiva (in questo caso con il sostegno dell’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione). La direttiva, del resto, identifica proprio nella frammentazione su linee nazionali degli sforzi di contrasto al cybercrime uno dei punti più vulnerabili del Vecchio Continente. Ma non solo. “Molti stati membri – è il monito lanciato dal commissario europeo agli Affari Interni Cecilia Malmström – sono ancora sprovvisti degli strumenti adeguati per localizzare e combattere il crimine online”.
Certo, se l’Europa può fare un decisivo passo in avanti unendo e riorganizzando le risorse a disposizione, come annota la Ashton, non può esimersi “dal lavorare assieme propri partner mondiali” al cospetto di un fenomeno per natura transnazionale. La creazione di una politica internazionale in materia di protezione del cyberspazio figura pertanto tra le cinque priorità delineate dalla strategia sulla cybersecurity. Al contempo, lo spettro di attacchi su vasta scala (quello all’Estonia del 2007 resta una ferita ancora non del tutto rimarginata) accende un faro sull’urgenza di ritagliare alla cybersicurezza un ruolo di tutto rispetto in seno alla Politica europea di sicurezza e difesa comune (PESD). Il conseguimento di una certa flessibilità nel trattare rischi e incidenti, la “drastica riduzione del crimine informatico” e la necessità “di sviluppare risorse industriali e tecnologiche per la cybersecurity” sono le altre tre linee guida sviluppate dalla strategia. La direttiva, che del resto ne è il primo tassello legislativo, offre una prima ed efficace risposta. Eppure, è evidente che molti sforzi restano ancora da compiere. Basta dare un’occhiata alla vertiginose cifre sul crimine informatico: un giro di affari stimato in 750 miliardi di euro (secondo uno studio McAfee) con un costo per le vittime che si aggira attorno ai 250 miliardi di euro l’anno.
