Con gli hacker non c’è più da scherzare. E i nostri 007 potranno (contro)attaccare. Lo prevede il DL Aiuti-bis che, modificando il decreto missioni del 2015, introduce l’articolo 7-ter per consentire al Presidente del consiglio di ordinare attacchi cyber. Tecnicamente si tratta di “misure di intelligence di contrasto in ambito cibernetico”, in pratica in situazioni di crisi o di emergenza non fronteggiabili con azioni di resilienza, i Servizi segreti potranno intraprendere azioni offensive.
L’offensiva cyber
Per situazioni di crisi, si intende quelle in cui l’evento assume dimensioni tali da incidere sulla sicurezza nazionale o non poter essere fronteggiato dalle singole amministrazioni (DPCM 17 febbraio 2017). In tali casi, il Presidente del consiglio – al vertice del Sistema di informazione per la sicurezza della Repubblica – può emanare direttive all’intelligence. Nello specifico, il cyber-attacco sarà condotto da AISE e AISI, le agenzie informazioni e sicurezza esterna e interna, in collaborazione con i Ministeri di difesa e interno. Il coordinamento sarà in capo al Dipartimento per le informazioni e la sicurezza (DIS) della Presidenza del consiglio. Naturalmente, il perimetro d’azione non è illimitato ed è previsto che il contrattacco cibernetico non debba mettere in pericolo la vita altrui, con l’esclusione di quelli che legge definisce “fattori imprevisti e imprevedibili”[1]. Entro 30 giorni, il Presidente è tenuto a informare il Comitato parlamentare per la sicurezza della Repubblica (Copasir). A distanza di due anni, il Copasir trasmette al Parlamento una relazione in merito.
Garanzie funzionali per Servizi e militari
Tali operazioni cibernetiche potrebbero normalmente configurarsi come reato. Per questo, gli operatori saranno protetti grazie al ricorso alle garanzie funzionali. La legge istitutiva dell’intelligence (L. 124/2007) prevede infatti che il personale dei Servizi non sia punibile per la commissione di reati nell’ambito delle operazioni autorizzate (art. 17). Anche il personale militare coinvolto potrà godere della non punibilità garantita dalla L. 145/2016. Dunque, un domani – a seguito di un attacco cibernetico di un Paese ostile – il Presidente del consiglio potrebbe ordinare all’intelligence di colpire le infrastrutture tecnologiche di una centrale elettrica o di un’acciaieria e gli operatori non potrebbero essere perseguiti.
NATO, difesa collettiva e cyberguerra
La legge prevede poi che il Presidente del consiglio possa autorizzare attacchi cyber “anche in attuazione di obblighi assunti a livello internazionale” (art. 1). Cosa vuol dire? L’articolo 5 del Trattato NATO (invocato dagli USA all’indomani dell’11 settembre 2001) prevede che l’attacco ad un paese membro sia considerato un attacco contro tutti gli alleati. Un principio di “difesa collettiva” che – dopo il vertice del Galles del 2014 – viene esteso anche all’ambito cibernetico[2]. Il muto soccorso tra paesi NATO vale ora anche in caso di attacchi informatici.
L’allarme sulla guerra ibrida contro le aziende energetiche
Il primo settembre si è riunito il Comitato interministeriale per la cybersicurezza sotto la presidenza di Mario Draghi, con la partecipazione di Franco Gabrielli (sottosegretario con delega alla cybersicurezza), Roberto Baldoni (direttore dell’Agenzia per la cybersicurezza nazionale) e dei ministri di esteri, interno, giustizia, difesa, transizione ecologica, università, innovazione tecnologica, infrastrutture. Il giorno dopo, il Nucleo per la cybersicurezza ha lanciato l’allarme sugli attacchi degli ultimi giorni evidenziando come “sempre più̀ spesso gli obbiettivi di tali azioni siano non solo le principali aziende del settore energetico ma anche tutta la catena di approvvigionamento e di distribuzione dei prodotti o servizi ad esse connesse”. Nel giro di una sola settimana, infatti, tre società energetiche sono state colpiti da attacchi. Prima il GSE (100% MEF) – anello fondamentale della sicurezza energetica del Paese – il cui sito è tornato online dopo oltre una settimana, poi ENI e infine il gruppo Canarbino (import-export gas). Sono queste le prime avvisaglie della futura guerra ibrida , “un’altra guerra – nelle parole di Franco Gabrielli – non meno pericolosa e preoccupante” alla quale l’intelligence vorrà farsi trovare pronta.
[1] In particolare l’autorizzazione del Presidente del consiglio deve escludere che venga messo in pericolo la vita, l‘integrità fisica, la personalità individuale, la libertà personale, la libertà morale, la salute o l’incolumità di una o più persone, come previsto dal comma 2 dell’art. 17 della L. 124/2007
[2] “We affirm therefore that cyber defence is part of NATO’s core task of collective defence. A decision as to when a cyber attack would lead to the invocation of Article 5 would be taken by the North Atlantic Council on a case-by-case basis”, Dichiarazione del vertiche del Galles, 5 settembre 2014.