Il costante aumento degli attacchi informatici perpetrati da soggetti di matrice statale e non e la loro sempre maggiore sofisticatezza ha portato numerosi attori internazionali ad adottare nuovi strumenti, anche legislativi, per fronteggiarli.
A livello nazionale, in un contesto di incrementata attenzione al tema della cyber security, il decreto-legge del 9 agosto 2022, n. 115 (cosiddetto “Decreto Aiuti”, convertito in legge lo scorso 15 settembre 2022) ha introdotto significative modifiche al nostro ordinamento ammettendo lo svolgimento di operazioni cibernetiche offensive.
Attacchi hacker, aziende obbligate a notifiche entro 72 ore: cosa cambia
Indice degli argomenti
Nuove misure di intelligence in ambito cyber
Nello specifico, l’attuale testo dell’articolo 37, rubricato “Disposizioni in materia di intelligence”, prevede la possibilità per il Presidente del Consiglio dei ministri di emanare disposizioni volte all’adozione di misure di intelligence di contrasto in ambito cibernetico.
Il ricorso a tale strumento è soggetto ad alcune condizioni: innanzitutto, ci si deve trovare in una situazione di crisi o di emergenza derivanti da minacce che coinvolgano aspetti di sicurezza nazionale.
Inoltre, le operazioni cibernetiche offensive potranno essere disposte solo nel caso in cui la situazione avversa non possa essere fronteggiata con azioni di resilienza.
Quando effettuare le operazioni cibernetiche offensive
Dall’analisi della norma emerge, dunque, che eventuali operazioni cibernetiche offensive potranno essere effettuate solo laddove si rendano necessarie a contrastare una minaccia di intensità tale da dar luogo ad una crisi o ad un’emergenza e che abbiano impatto sulla sicurezza nazionale.
Per di più, il ricorso a tale strumento sarà ammissibile solo laddove altri strumenti di intensità minore non siano sufficienti, costituendo, così, esclusivamente un’extrema ratio, nel rispetto del principio di necessità.
Inoltre, l’adozione di misure di intelligence di contrasto in ambito cibernetico potrà avvenire solo previa acquisizione del parere del Comitato interministeriale per la sicurezza della Repubblica, l’organismo di consulenza, proposta e deliberazione sugli indirizzi e le finalità generali della politica dell’informazione per la sicurezza, e sentito il Comitato parlamentare per la sicurezza della Repubblica, che ha il compito di verificare, in modo sistematico e continuativo, che l’attività del Sistema di informazione per la sicurezza si svolga nel rispetto della Costituzione e delle leggi, nell’esclusivo interesse e per la difesa della Repubblica e delle sue istituzioni.
Cyber security, il nuovo quadro normativo: Copasir provvisorio e poteri del Presidente del Consiglio
I nuovi ruoli delle Agenzie di intelligence
Sempre secondo quanto stabilito dall’articolo 37, nel concreto le attività di contrasto potranno essere poste in essere dall’Agenzia informazioni e sicurezza esterna (AISE) e dall’Agenzia informazioni e sicurezza interna (AISI), ciascuna per il proprio ambito di competenza, nel rispetto delle attribuzioni del Ministero della Difesa e del Ministero dell’Interno.
Dunque, ad una prima lettura, la disposizione in analisi sembrerebbe ampliare notevolmente l’ambito di operatività dei nostri servizi segreti nel cyberspazio, conferendo loro un ruolo ben diverso da quello storicamente appartenente a tale struttura.
In realtà, l’introduzione della possibilità di svolgere operazioni cibernetiche offensive potrebbe essere finalizzata a ribadire il ruolo chiave di queste strutture nel contrasto alle attività volte a danneggiare gli interessi nazionali.
Infatti, esaminando l’evoluzione delle competenze attribuite al Sistema di informazione per la sicurezza della Repubblica nel cyberspazio, la norma sembra coerente con quanto già previsto dalla precedente regolamentazione.
Nello specifico, sebbene fino al Decreto Aiuti il nostro ordinamento non prevedesse per nessuna struttura la possibilità di effettuare tale tipologia di operazioni, fin dalla prima regolamentazione della materia nel 2013, con il Decreto del Presidente del Consiglio dei ministri del 24 gennaio 2013 (cosiddetto Decreto Monti), i compiti inerenti la sicurezza cibernetica nazionale sono stati attribuiti prevalentemente al Dipartimento delle Informazioni per la Sicurezza (DIS).
Tale approccio è stato confermato con il successivo Decreto del Presidente del Consiglio dei ministri del 17 febbraio 2017 (Decreto Gentiloni), con il quale i compiti del DIS nel cyberspazio sono stati ulteriormente ampliati, ad esempio, con l’introduzione del Nucleo per la Sicurezza Cibernetica, deputato, tra l’altro, alla prevenzione e alla preparazione ad eventuali situazioni di crisi.
Dunque, la possibilità adottare misure di intelligence di contrasto in ambito cibernetico secondo le modalità e nei limiti suindicati può essere interpretata in continuità con le attribuzioni precedenti, in quanto sempre inerenti alle crisi derivanti da attività cibernetiche.
Cyberspazio: com’è cambiato l’ordinamento militare
A conferma della possibilità di ricorrere alla chiave di lettura fin qui adottata, è opportuno sottolineare come l’introduzione dell’articolo 37 avvenga successivamente alla recente modifica, effettuata a metà luglio di quest’anno, dell’articolo 88 del Codice dell’ordinamento militare, che è stato riformulato introducendo per la prima volta delle competenze dello strumento militare nel cyberspazio.
Nello specifico, a seguito dei cambiamenti apportati, tale mezzo è stato preposto anche alla difesa dello spazio cibernetico in ambito militare, con la conseguente necessità di delimitare con precisione l’ambito di operatività delle due istituzioni al fine di prevenire sovrapposizioni di competenze.
Conclusione
L’introduzione della possibilità di effettuare operazioni cibernetiche offensive oltre che difensive, allinea l’Italia alle strategie già da tempo adottate dai principali player internazionali e potrà essere un elemento utile a sviluppare capacità nazionali di deterrenza coerentemente con la Strategia nazionale di cybersicurezza, che indica l’accrescimento di tale facoltà come uno degli obiettivi da conseguire nel periodo 2022-2026.
