A distanza di circa sei mesi dalla riunione istitutiva del 16 maggio scorso, il G7 cybersecurity riunitosi il 3 dicembre nella sede romana dell’ACN ha segnato un primo punto fermo dei lavori: per contrastare le moderne minacce cyber è necessaria una risposta globale comune che superi le diversità operative e organizzative dei singoli Paesi.
E i primi risultati sono tangibili, come ha sottolineato il direttore dell’ACN Bruno Frattasi, nella sua veste di presidente del G7 Cybersecurity Working Group: “grazie alla determinazione e allo spirito di collaborazione dei membri del gruppo di lavoro G7 siamo riusciti a creare uno spazio nuovo e continuo di cooperazione. Abbiamo attuato un metodo di lavoro comune, collegiale e inclusivo che ha notevolmente avvicinato le nostre istituzioni, raggiungendo un livello di interazione mai sperimentato prima”.
Indice degli argomenti
Obiettivi condivisi di collaborazione per la cyber security
Dunque, il gruppo di lavoro ad hoc sulla cyber security ha dato seguito al mandato ricevuto dai leader G7 riunitisi a giugno in Puglia e indicato nel documento finale del summit al paragrafo dedicato alla cyber security: tra gli obiettivi condivisi di collaborazione, infatti, era espressamente dichiarato l’impegno “ad adottare misure concrete per migliorare la nostra resilienza collettiva attraverso il neoistituito G7 Cybersecurity Working Group sfruttando le sinergie con l’Ise-Shima Cyber Group (ISCG)” (gruppo di lavoro del G7 sulla sicurezza informatica che i leader del G7 hanno deciso di istituire al vertice di Ise-Shima a maggio di quest’anno n.d.r.).
Sempre nello stesso documento finale del G7 in Puglia venivano chiarite anche le quattro linee di collaborazione dei 7 leader per un “approccio quadruplo per contrastare le attività informatiche malevole: i) promuovere un comportamento responsabile dello Stato nel cyberspazio, ii) migliorare la sicurezza informatica, anche nel settore privato; iii) sviluppare e utilizzare strumenti per scoraggiare e rispondere a comportamenti malevoli (dello Stato) e ai criminali informatici, e interrompere l’infrastruttura che utilizzano, anche migliorando il coordinamento sui processi di attribuzione; e iv) rafforzare la capacità di sicurezza informatica dei nostri partner”.
Strumenti diversi, obiettivo comune: la resilienza
Seguendo il mandato a lavorare insieme, per rafforzare la resilienza dei paesi G7, il gruppo di lavoro per la cyber sicurezza dei 7 paesi ha operato, da maggio a novembre, tracciando una modalità di cooperazione e un metodo di lavoro comune, collegiale e inclusivo che ha avvicinato le diverse istituzioni e permesso una interazione efficace pur nelle differenze che inevitabilmente caratterizzano i diversi paesi in termini di sistemi giuridici e normative, tecnologie e approcci.
Infatti, se si guarda al mandato di rafforzare la resilienza dei G7 e alla regolamentazione UE che punta alla resilienza dell’Unione sulla base dei dettami della direttiva NIS2 si vede che l’obiettivo è comune, ma giuridicamente sono solo tre i paesi G7 che rientrano (Italia, Francia e Germania) nella normativa NIS2. Perché gli altri paesi G7 sono extra UE.
Quindi, con questi ultimi è necessario collaborare in modo complementare all’approccio dell’Unione europea, perché questi paesi potrebbero avere “altre ricette” per raggiungere la resilienza, (ovvero la capacità di restare operativi pur se sotto attacco n.d.r.).
Interpellato su questo tema, Bruno Frattasi ha spiegato che: “fermo restando il fatto che l’Italia ha già recepito la NIS2 con il decreto NIS n. 138 del 4 settembre 2024 e ha già avviato una roadmap operativa gestita da ACN e considerando che gli altri due paesi europei sono chiamati a recepirla al più presto e ad adeguarsi, è proprio durante il G7 Cybersecurity Working Group che si è lavorato per avvicinare, armonizzare e trovare punti di contatto e di convergenza fra i quadri regolatori dei diversi paesi G7 che, presi singolarmente hanno sistemi giuridici e normative più blandi, di soft law (ovvero strumenti quasi legali tipo raccomandazioni o linee guida che non hanno alcuna forza giuridicamente vincolante o la cui forza vincolante è leggermente più debole di quella del diritto tradizionale n.d.r.), diversi quindi, rispetto ai sistemi cogenti e vincolativi che circolano in Italia”.
“Nonostante le differenze”, continua ancora Frattasi, “abbiamo trovato linguaggi comuni al di là delle barriere costituite da diversità di sistemi giuridici, ma i problemi sono comuni. La minaccia è la stessa per tutti e fare fronte comune significa e richiede uno sforzo di avvicinamento per trovare punti di convergenza e valorizzare quelli. Si è lavorato in questi mesi e continua per trovare intese, una forma comune di framework o una piattaforma di intesa su cui si può anche arrivare progressivamente ad accordi”.
Ransomware e AI, temi protagonisti del G7 cybersecurity
I temi tecnici in discussione sui vari tavoli tematici hanno riguardato il contrasto al ransomware, l’uso e non abuso dell’intelligenza artificiale come efficace mezzo di difesa, ma anche come sistema da dover difendere essendo esso stesso un prodotto digitale, la protezione delle rispettive infrastrutture critiche, cominciando dalla protezione delle catene di approvvigionamento nel settore energetico, la protezione dei rispettivi ecosistemi digitali basati su la supply chain di beni e servizi ICT.
Lo scambio di informazioni è avvenuto anche su elementi di vulnerabilità che possono favorire gli attacchi e sulle modalità per innalzare i livelli di sicurezza sia a livello fisico logico che digitale.
Un ulteriore tema di preoccupazione per tutti i paesi delegati è la mancanza di competenze digitali che affligge tutti i paesi.
Non vi sono limitazioni o ambiti “off limit” entro cui non si possa agire anche se, naturalmente, vi sono orientamenti politico-economico-industriali da bilanciare e far quadrare, ma non vi sono muri o limiti invalicabili.
La prossima riunione del G7 cybersecurity è fissata per gennaio o febbraio e proseguirà con la prossima Presidenza G7 del Canada, come guida del Gruppo di lavoro cyber per buona parte del 2025.
