Da novembre gli esperti internazionali attendevano la pubblicazione della nuova strategia Ue sulla Cyber Security, con la bozza di direttiva: il 7 febbraio il commissario Kroes ha finalmente presentato entrambe le proposte generando nella comunità degli esperti reazioni controverse. C’è chi accusa la direttiva di essere troppo ampia e chi ritiene che la direttiva sia vaga e che non copra aree chiave come il cloud e la tutela delle identità digitali. Innanzi tutto va fatta una distinzione importante tra i due documenti. La strategia Ue è una comunicazione congiunta della Commissione europea e dell’Alta Rappresentanza dell’Unione Europea per gli Affari Esteri e le Politiche di Sicurezza destinata al Parlamento e al Consiglio: il suo obiettivo è di definire il contesto e fornire ai vari organi dell’Unione i principi per il corretto sviluppo delle leggi e delle iniziative. La direttiva è invece uno strumento per allineare le norme nei paesi membri; la bozza di direttiva sulla Cyber Security inizia ora il suo iter di discussione e potrà subire sostanziali modifiche a seguito dei lavori del Parlamento e del Consiglio.
Un aspetto rilevante di entrambi i documenti è lo spettro di applicazione: le azioni della strategia e le norme nazionali che deriveranno dalla direttiva potrebbero impattare la quasi totalità degli operatori del cyber space, inclusi quegli operatori cosiddetti Over the top (Ott), come Google, Amazon, ecc. Questa ampiezza di applicazione è stata oggetto di pesanti critiche mosse in particolare dalle associazioni di operatori, le quali non ritengono gli Ott operatori di servizi critici, suggerendo di adottare un approccio analogo a quello della direttiva sulle infrastrutture critiche (direttiva 2008/114/EC), dove venivano individuate categorie specifiche, come gli operatori elettrici e le reti di trasporti.
Approccio da non seguire, visto che la direttiva dopo 5 anni di vita non ha avuto alcun reale impatto sul livello di sicurezza degli operatori.
Nell’ambito cyber, un intervento solo sui grandi operatori di infrastrutture critiche non avrebbe alcun senso. L’infrastruttura ed i servizi sono così interdipendenti e stratificati che o si interviene per innalzare la resilienza di tutte le componenti, oppure l’intervento è inutile.
Come si può sostenere che un Google non sia oramai un servizio critico? La sua non disponibilità potrebbe causare evidenti disagi alla vita di tutti i giorni, ma non solo: come possiamo escludere che molti servizi critici non abbiano delle dipendenze da alcuni servizi di Google?
Cosa accadrebbe se le password di servizi estremamente popolari come ad esempio Gmail o Amazon diventassero di dominio pubblico? O i dati finanziari in loro possesso? O tutto l’insieme di informazioni che collezionano sui comportamenti ed abitudini dei loro clienti? Gli interessi in gioco sono estremamente alti ed è per questo che l’unica via che i Paesi membri della Ue hanno è proprio attraverso l’“unione”.
Altro aspetto non meno importante è la profondità con cui sono descritti gli interventi richiesti. A fianco dei Cert nazionali, la Commissione propone la creazione di una Autorità nazionale per la “Network and Information Security (Nis)”. Si tratta di un aspetto da non trascurare: già nell’ambito dei Cert troviamo enormi differenze nella loro missione ed implementazione. Alcuni sono più orientati a servire il Governo, svolgendo una vera e propria funzione operativa di gestione degli incidenti. Altri sono più orientati a fornire servizi di Early Warning per i cittadini e le imprese (e a mio avviso è improprio chiamarli Cert). Su un tema importante come lo scambio di informazioni tra Cert oggi di fatto non c’è nulla. Il Cert-Eu, che avrebbe potuto svolgere una funzione di facilitatore, si occupa esclusivamente della gestione degli incidenti nel perimetro delle istituzioni europee, com’è stato ben spiegato dallo stesso direttore del Cert-Eu durante l’incontro del 5 dicembre 2012 al Mise sul tema dei Cert e dell’Information Sharing.
L’Italia deve far sentire la propria voce a Bruxelles, contribuendo attivamente alla definizione della direttiva. Ora che abbiamo una agenzia per lo sviluppo del Digitale, potrebbe essere l’occasione giusta per presentarci alle istituzioni europee con una posizione unica e chiara; sarebbe anche l’opportunità per avviare dialoghi bilaterali con altri paesi europei ed extraeuropei in sintonia con l’Italia.
