Una PESC europea per la cybersecurity: tra opportunità e criticità

***Questo articolo fa parte della rubrica bisettimanale “Scenari ciber(n)etici” curata da DEAS S.p.A., azienda leader nel settore della Cybersicurezza, che ospita contributi di esperti qualificati su aspetti strategici, politici, internazionali e tecnologici su questo tema sempre più attuale e delicato.

Nel 1951 il Trattato di Parigi sanciva non solo la nascita della Comunità europea del carbone e dell’acciaio (CECA), ma anche l’inizio del lungo processo di integrazione europea che ha trasformato la concettualizzazione stessa del paradigma stato-nazione nel continente europeo. L’allargamento della Comunità Europea è andato di pari passo sia con l’ingresso di nuovi Stati membri, sia con l’aumento delle competenze dell’Unione. Uno dei passaggi forse più determinanti è stata la ratifica del trattato di Maastricht nel febbraio 1992. Tale documento rileva in termini di innovazione politica poiché rappresenta l’apice di ciò che Ernest Haas negli anni ‘50 definiva con il termine spillover: l’integrazione in un settore particolare implicava la necessità di cooperazione in altri settori. Ai tavoli di Maastrichtla Comunità Europea si è presa carico di politiche sociali, economiche e ambientali. Di grande rilevanza per la promozione di una sicurezza collettiva europea sono la cooperazione nel campo della politica estera e della sicurezza (PESC), nonché il settore giudiziario e della lotta contro il crimine. Oggi, il tema in agenda – e la sfida – è estendere la PESC al cyberspazio europeo.

Istituita la PESC come centro normativo e valoriale di coordinazione delle politiche estere e di sicurezza comune dell’Unione Europea, l’azione legislativa si è orientata secondo quei temi che concretamente interessavano le priorità di politica estera e sicurezza degli Stati membri. Fondamentale in tal senso è la necessità di un sistema di cybersicurezza condiviso. Mediante la PESC, il percorso verso maggiore integrazione nel dominio cyber si è sviluppato quasi automaticamente, a causa anche di eventi di natura essenzialmente storica. L’aumento delle minacce cyber e le loro caratteristiche di (a)simmetria, (a)spazialità e anonimato hanno agito da motore trainante per lo sviluppo di politiche volte a mettere in sicurezza i sistemi informatici di Stati e cittadini europei. In questo contesto generale, non va dimenticata la proliferazione di tecnologie utilizzate generalmente a scopi criminali. Determinante, inoltre, la dimensione geopolitica che il quinto dominio è andato acquisendo nel tempo.

In tal senso, gli attacchi informatici del 2007 ai danni delle istituzioni del Governo estone hanno mostrato come l’IT possa essere usata sia come come strumento di ritorsione che come mezzo dal potenziale indefinito, di imposizione, di coercizione e di influenza geopolitica. In modo particolare, gli eventi a cui il l’Estonia è stata esposta hanno dimostrato come le infrastrutture critiche di uno Stato membro dell’Unione possano essere vulnerabili di fronte ad un attacco di natura informatica, sia questo posto in essere da un attore statale o privato. Tale evento non poteva lasciare indifferenti i meccanismi di solidarietà europea e la giovane Politica Estera di Sicurezza e di Difesa comune (PESC), sostanziando la necessità di adattamento di quest’ultima alle minacce di cyber.

L’istituzione dell’ENISA (European Network and Information Security Agency) nel 2004 rappresenta l’inizio, a livello istituzionale, dell’integrazione europea nel settore cyber. Fin dalla sua creazione l’agenzia contribuisce allo sviluppo di politiche comuni in materia, incentivando la crescente cooperazione tra gli stati membri. L’obiettivo ultimo dell’agenzia è quello di sviluppare le strategie di cybersicurezza dell’Unione e quindi lavorare per aumentare la resilienza delle infrastrutture critiche mantenendo le società europee e i cittadini digitalmente sicuri. In termini operativi l’ENISA si articola in poli di cyber difesa come il Computer Emergency Response Team (CERT) e il Critical Information InfrastructureProtection (CIIP).

Una rinnovata e rafforzata cooperazione nel settore della cybersicurezza presenta conseguenze di rilevanza non secondaria, capaci di influire sull’intero alveo di politiche di sicurezza e difesa, anche nei cd. domini tradizionali. A livello comunitario sono state costituite molteplici agenzie destinate all’implementazione di politiche di sicurezza (EDA, EU External Action Service, Frontex, Europol, ecc.). Tuttavia, la difesa, tradizionalmente considerata il core della sovranità statale, è rimasta la parte minormente esposta allo spillover che ha avuto luogo nel perimetro della PESC. Nel 1954 infatti, naufragava il primo progetto di Comunità Europea di Difesa (CED) e con questo anche la concettualizzazione di un esercito europeo. Sebbene la proposta venga reiterata con cadenza ricorrente, tale progetto non ha mai preso forma concreta, rimanendo un’opzione meramente astratta. In siffatto scenario, la cooperazione nella cybersecurity, sostanziata nel ruolo difensivo del CIRT, del CIIP e veicolata tramite l’ENISA, potrebbe rappresentare nel lungo periodo un primo passo funzionale ad abbattere le diffidenze che caratterizzano l’integrazione nei settori più essenzialmente militari e di difesa nazionale.

Parallelamente, i documenti contenti le strategie di cybersicurezza dell’Unione Europea a più riprese individuano nell’R&D (Research and Development) l’elemento chiave per rafforzare tutta la struttura cyber dell’Unione. A monte però, l’unità politica, nonché l’impegno congiunto nell’area di ricerca, sviluppo e formazione, giocano un ruolo estremamente fondamentale. L’impegno congiunto su questi fronti avrebbe un duplice effetto. Da un lato rafforzerebbe il know-how tecnico dell’ENISA e delle agenzie di sicurezza con dipartimenti di cybersecurity; dall’altro fornirebbe ai 27 Paesi membri la possibilità di sviluppare strumenti e capacità standardizzate per agire in termini di cyberdeterrence, ovvero disincentivando attori malintenzionati ad agire per il rischio di retaliation.

È evidente come le conseguenze di questa postura rilevino anche da un punto di vista strettamente geopolitico. In un contesto in cui la dimensione cyber è ormai parte integrante della disciplina, molteplici attori statali individuano il cyber spazio come un polo strategico per le proprie azioni nell’arena internazionale. Gli attacchi informatici sono uno dei primi mezzi di espansione e di influenza in politica estera. Esempio fondamentale è costituito dall’importante ruolo che l’information warfare ha acquisito nei contesti di conflitto armato, così come le ricorrenti ingerenze poste in essere da gruppi filo-statali nei processi elettorali, elemento di vulnerabilità per molti Paesi europei. In tal senso, raggiungere un livello tale di expertise sufficiente a rendere l’Europa una potenza cyber, con capacità di deterrenza nella prevenzione attacchi e intromissioni esterne, agirebbe come strumento in grado di rafforzare una maggior autonomia strategica europea.

L’attuale attività legislativa comunitaria sembra dirigersi verso tale direzione. Al di là della Direttiva NIS 2, entrata in vigore lo scorso 17 gennaio 2023, nell’anno in corso la Commissione ha dato alla luce molte proposte che rispondono alla logica di maggior cooperazione nel settore cyber. Tra queste basti menzionare il Cyber Solidarity Act che prevede l’istituzione di un “European Security Shield” e di un meccanismo di “Cyber Emergency”, in linea con gli obiettivi di maggior collaborazione già contenuti nella NIS 2 e nel Cybersecurity Act.

L’incremento dei livelli di cooperazione, tuttavia, non è un passaggio privo di elementi di criticità. Esaminando in prima istanza i fondi destinati all’ENISA, emerge che nel 2019 il budget totale ammontava a 17 milioni di euro, costituiti in gran parte dai fondi previsti dal bilancio UE, mentre la restante parte destinata dal contributo dello Stato ospitante la sede (Grecia) e da contributi volontari di Stati membri. Tralasciando la quantità dei fondi destinati, appare evidente come il contributo volontario degli Stati membri esponga l’Agenzia ai tipici rischi derivanti dal free riding. Gli Stati locati al confine Est dell’Unione, hanno sviluppato ormai da anni alcuni sistemi informatici avanguardistici per la prevenzione delle minacce cyber provenienti dal vicino confine russo. Presumibilmente, questi Stati avrebbero maggior interesse a sviluppare sistemi cooperativi a livello europeo in cui tutti i componenti contribuiscono alla ricerca e alla sicurezza delle infrastrutture cibernetiche dell’Unione. Parallelamente, quei Paesi che vivono meno impellentemente minacce cyber avranno minor incentivo a fornire un contributo sostanzioso. Per un’integrazione efficiente ed efficace sarebbe necessario risolvere il dilemma del free rider attraverso l’introduzione di contributi non più volontari ma obbligatori.

Inoltre, lo sviluppo di sistemi di difesa integrati deve attribuire e risolvere i rischi legati all’institutionaloverlapping. Sia a livello statale che inter-governamentale, esistono varie agenzie che si occupano di cybersicurezza. In tal senso è di primaria importanza riuscire a tessere una fitta rette comunicativa che intersechi tutti gli addetti ai lavori, che includa tanto i settori di lawenformcement nella lotta al cybercrime, quanto gli istituti di difesa che si occupano delle relazioni estere. In tale contesto, è fondamentale una struttura decisionale gerarchica capace di armonizzare e indirizzare le politiche europee verso un destino comune.

È importante inoltre riuscire a sviluppare sistemi di definizione e categorizzazione che determinino specificatamente il comportamento che i membri dell’Unione dovranno adottare nel caso in cui un attacco informatico venga classificato come “attacco armato”. Le clausole di mutua difesa disciplinate dall’art. 42 par. 7 prevedono, in tal caso, la circostanza per cui gli Stati membri siano tenuti a fornire al soggetto attaccato sostegno ai sensi dell’art. 51 della Carta delle Nazioni Unite.

Free-riding, institutionaloverlapping e necessità di definizioni comuni, al di là delle frammentazioni nazionali. Quelle elencate sono solo alcune delle sfide attorno alle quali si articola la costruzione di una cybersecurity pan-europea. Appare chiara la necessità di seguire una opinio juris comune, che funga cioè da quadro dottrinale per lo sviluppo di politiche pubbliche adeguate alla crescente rilevanza del cyber spazio nelle relazioni internazionali. In tal senso il Tallinn Manual 2.0, apparso nel 2017, e le sue future revisioni, saranno determinanti per evolvere un framework teorico comune del diritto internazionale all’interno del dominio cyber. Certamente un lavoro teorico, sul quale però poter costruire concretamente una cyber-PESC europea attraverso la negoziazione degli Stati, e alla luce degli interessi di tutti i 27 Governi che compongono l’Unione europea.