L’allestimento di Cert nazionali “ben rodati e provvisti di una base comune in termini di capacità” marca un passaggio imprescindibile per dotare l’Europa di una “batteria contraerea” capace di fronteggiare con efficacia le aggressioni informatiche. La Commissione di Bruxelles lo va predicando sin dal 2009. Ossia sin dalla presentazione della comunicazione “Proteggere le infrastrutture critiche informatizzate”. All’epoca l’Ue aveva appena metabolizzato lo sgomento per il virulento attacco cibernetico patito un anno e mezzo addietro dall’Estonia: “un brusco risveglio” (copyright: il ministro britannico Francis Maude) su una minaccia inedita, in parte ignota. Dopo il quale, l’esecutivo Ue non aveva avuto più scuse per continuare a traccheggiare sul nodo cyber sicurezza. La comunicazione della Commissione poneva il primo mattone di una strategia su vasta scala intesa a temprare una “governance europea” in materia di sicurezza informatica. Traguardo realizzabile a patto che “tutte le parti in causa dispongano di informazioni affidabili in base alle quali intervenire”. Cioè: attraverso il lavoro dei singoli Cert nazionali e, a fortiori, potenziandone il coordinamento. Tant’è vero che nel 2010 questa priorità è entrata tra gli obiettivi dell’Agenda digitale: gli stati membri devono istituire entro il 2012 la propria squadra di risposta alle emergenze informatiche.
Alcuni paesi erano già in regola. Altri, dal Lussemburgo all’Irlanda, hanno provveduto ad uniformarsi nell’arco degli ultimi due anni. Al momento, a voler tracciare un’ipotetica mappa dei Cert nazionali, resterebbero appena tre spazi bianchi. Oltre all’Italia, sulla lista semivuota degli “inadempienti” campeggiano solo Cipro e Malta. Ancora per poco, tuttavia. Come dichiarato al Corriere delle Comunicazioni da Graeme Cooper dell’Enisa – l’Agenzia europea per la sicurezza delle reti e dell’informazione – Valletta e Nicosia sono al disbrigo delle ultime formalità prima di inaugurare i proprio team di risposta. Con la conseguenza che, dopo la fatidica data del 2012, l’Italia farebbe figura di unico e ultimo paese Ue a non essersi dotato di un Cert nazionale. Anche se Cooper ci tiene a precisare che nel nostro paese “sono già attivi diversi Cert settoriali”. Piuttosto, appare evidente che i solleciti pubblici più e più volte levatisi dalla Commissione, pur evitando di fare nomi, erano indirizzati ad un risicatissimo nucleo di stati, tra cui il nostro. Ancora il 12 settembre Neelie Kroes ripeteva in conferenza stampa che “l’Agenda digitale esorta tutti i paesi membri a istituire i propri Cert”. Esortazione inserita anche nella comunicazione sulla cyber-sicurezza su cui l’esecutivo europeo dovrebbe alzare il velo nei prossimi mesi.
Tanta fretta sui Cert ha una sua ratio. L’obiettivo urgente è quello di creare una rete che “sarà la pietra angolare di un sistema europeo di condivisione delle informazioni e di allarme per i cittadini e le Pmi, da costruire con le risorse e le capacità nazionali entro il 2013”. Insomma, dall’anno prossimo la Commissione vuole mettere in piedi un concreto sodalizio tra le varie squadre di risposta nazionali che lavorerà sotto gli auspici del Cert-Eu. Quest’ultimo, dopo una fase di rodaggio, è stato istituito in maniera permanente subito dopo l’estate. E dovrebbe preoccuparsi di presiedere ad una maggiore armonizzazione tra i 27. Anche perché, come spiegano all’Enisa, “ci sono ancora differenze tra i modus operandi dei Cert nazionali. E l’esistenza di approcci nazionali diversi aumenta il rischio di frammentazione e di inefficienza in tutta Europa”.