30 minute read
Cyberspazio e atmosfera: due ambienti, stesse minacce
Cyberspazio e atmosfera
Due ambienti, stesse minacce
Advertisement
Gian Carlo Ruggeri
Generale di brigata (AM) in congedo assoluto, ha assolto numerosi incarichi nel Servizio meteorologico dell’Aeronautica Militare, fra i quali capo della Sezione meteorologia marittima nel 3o Reparto piani e operazioni dello SMM. È stato Rappresentante nel Meteorology Advisory Group (METAG) dell’European Air Navigation Planning Group dell’ICAO (Parigi) e nella Commissione di Meteorologia marittima dell’Organizzazione meteorologica mondiale. Collabora con la Rivista Marittima dal 1968.
(egi.eu).
.«A container of ashes might one day be thrown from the sky, which could burn the land and boil the oceans».
(Ko-Yaa-Nis-Qatsi, profezia degli indiani Hopi)
Introduzione
Sebbene l’atmosfera e il cyberspazio (1) siano spazi distinti, essi condividono problemi simili di «iper uso», di difficoltà di messa in opera, delle associate sfide di inerzia collettiva e di azioni effettuate da parte di soggetti non autorizzati e/o opportunismi. Per di più, milioni di attori influenzano l’atmosfera globale, così come accade con internet. Con il cambiare delle strutture meteorologiche, con l’innalzamento del livello del mare e con le temperature volte a superare di 1,5°C la media entro il 2100, il cambiamento climatico è un problema che riguarda il mondo intero, ma, nello stesso tempo, i cui benefici sono molto dispersi ed i pericoli numerosi e spesso concentrati. Similmente, i costi degli attacchi cibernetici sono condensati in un numero relativamente piccolo di nazioni, mentre per le altre stanno diventando dei paradisi per cyber-criminali. Il clima globale e il cyberspazio, quindi, potrebbero apparire mondi a parte, invece essi condividono molte similarità. Pur nella differenza tra le variabili in parola, i rischi associati a essi sono entrambi antropogenici e possono influenzare l’equa distribuzione di risorse e il corretto utilizzo delle stesse, ivi includendo settori chiave come l’acqua, il cibo, le infrastrutture energetiche e la sicurezza dei trasporti. Lo sviluppo di strategie di mitigazione delle minacce, tattiche che riconoscano tali similarità e l’incoraggiamento di una «inseminazione incrociata» fra questi settori chiave, sono, pertanto, i primi passi importanti allo scopo di assicurare un clima e un cyber-futuro sicuri. Si intende, di seguito, analizzare, sebbene non esaustivamente, le interconnessioni fra i cambiamenti climatici globali e lo spazio cibernetico mostrando i collegamenti e le similarità fra i due campi e stabilendo un parallelo fra i punti focali del regime ambientale e il nascente regime di cyber-sicurezza. Come su menzionato, segnatamente in Europa, la comprensione delle interconnessioni in parola rappresenta un aspetto critico nell’attuazione dei relativi strumenti politici.
Spazio condiviso
I cambiamenti climatici e le minacce cibernetiche (Cyber Threats) (2) costituiscono degli elementi di criticità che posseggono collegamenti fra loro e molti aspetti in comune. In un periodo di rischi e sfide che si moltiplicano, nonché di bilanci in diminuzione, riconoscere e comprendere i nessi succitati costituisce un compito fondamentale per stabilire le relative politiche e mettere in atto i relativi strumenti di contrasto e di difesa. Nel novembre 2014, l’ammiraglio Michael Rogers, capo dell’US Cyber Command e direttore della National Security Agency (NSA), considerò come un certo numero di attori (Stati e non) avrebbero potuto abbattere le Infrastrutture
critiche statunitensi mediante mezzi cibernetici. Rogers osservò che sarebbe necessario sviluppare una serie di norme o principi per contrastare le minacce cibernetiche alle Infrastrutture critiche (IC): questa richiesta pone una sfida ai dettami esistenti, ivi compresi quelli internazionali. Tale sfida assume profonda importanza, dal momento che la protezione alle Infrastrutture critiche (PIC) non è del tutto privata di normativa internazionale, in quanto che già esiste — sebbene non adeguata alle attuali necessità — una rete di norme basate su di una regolamentazione internazionale. Tale rete non include solo il lascito di normativa sviluppata prima che la cyber-sicurezza e la PIC fossero un problema prominente, ma comprende anche leggi internazionali redatte avendo in mente la protezione in parola. Il problema, come suggerisce l’Ammiraglio, consiste nel fatto che tale normativa non sia efficiente, per alcune buone ragioni. Purtuttavia, il desiderio di creare nuove norme si confronta con seri problemi. Le prospettive di accordi fra gli Stati sono limitate. Per di più, la richiesta di una nuova normativa deve spiegare perché e in che modo i nuovi principi differiscono da quelli esistenti e possono sopperire all’inefficienza di questi ultimi. Sebbene i policymaker riconoscono che la PIC richiede cooperazione internazionale, la normativa internazionale non è strutturata per la discussione politica. Primo, perché gran parte delle Infrastrutture critiche sono dislocate all’interno del territorio statale (e.g., i sistemi per le acque municipali), e i governi possono proteggerle anche senza le leggi internazionali. Per di più, il danno a un’infrastruttura critica nazionale può non avere effetti oltre confine, disincentivando i governi a preoccuparsi della PIC in altri paesi. Secondo, la diffusione internazionale di internet si è verificata senza l’intervento degli Stati per regolare tale processo, mentre il dispiego di precedenti tecnologie di comunicazione ha avviato la creazione di leggi ed istituzioni internazionali
Inter-connettività: una forza e una vulnerabilità
Come su menzionato, sia il cambiamento climatico sia le cyber-minacce costituiscono dei rischi che possono influenzare la tutela e la sicurezza di molte risorse di base, come l’acqua, l’energia e le infrastrutture: questo, in grandissima parte a causa di un fattore comune: l’inter-connettività. Sia il genere umano sia le nazioni sono e saranno connessi al nostro ambiente, poiché esso ci fornisce le risorse necessarie per la sopravvivenza e il benessere. Siamo tutti connessi intimamente e dipendenti dalle nostre tecnologie basate su computer, con il cyberspazio e internet essendo un condotto primario. E proprio come il cambiamento climatico può influenzare sia la nostra fruizione sia la fornitura di energia ed acqua, un cyber-attacco sui computer e su gli equipaggiamenti industriali per il trattamento e la fornitura delle acque, gli impianti elettrici e nucleari, può avere conseguenze molto significative. I cambiamenti climatici globali e le cyber-minacce sono fra le due maggiori future sfide globali in termini di regolamentazione e gestione. Sebbene le variabili che influenzano il clima, il cyberspazio e la cyber-sicurezza siano diverse, esse presentano caratteristiche simili anche in un’ottica di regolamentazione e di gestione, dal momento che — come su accennato — sono associate a rischi di natura antropogenica che comportano azioni critiche. Le potenziali azioni incrociate volte ad ampliare e migliorare l’efficacia e la forza delle leggi esistenti in materia, possono ottimizzare il sistema di comune protezione normativa contro le cyber-minacce rivolte, come esempio, al settore energetico. Tale complesso di leggi e regolamenti dovrebbe avere un aspetto uniforme e omogeneo, non basato su un di una visione unica, bensì su di una concezione pluralistica multi-normativa, dove le sorgenti legislative e di policy interagiscano fra di loro in modo integrato.
«Lo sviluppo di strategie di mitigazione delle minacce, tattiche che riconoscano tali similarità e l’incoraggiamento di una «inseminazione incrociata» fra questi settori chiave sono, pertanto, i primi passi importanti allo scopo di assicurare un clima e un cyber futuro sicuri» (Fonte
immagini: cyware.com- cytelnet.com).
I concetti di «Global Commons» e «Imperfect Global Commons»
Tradotto in italiano (beni comuni globali) ma, come spesso accade più intuitivo in lingua inglese. Il termine Global Commons è un termine generalmente utilizzato per descrivere gli ambiti dei beni internazionali, sovranazionali e globali in cui si trovano le risorse comuni (3). I Global Commons includono le risorse naturali comuni della terra, e.g., gli oceani nella loro parte più alta, l’atmosfera, lo spazio esterno e, in particolare, l’Antartico; ll cyberspazio può anche essere compreso nei Global Commons. A livello internazionale, le aree che non cadono all’interno della giurisdizione di alcun paese, sono definite come Internazionali o Global Commons. Il concetto di Global Commons comporta che esistano dei limiti alla sovranità nazionale in alcune parti del mondo e che tali aree debbano rimanere aperte all’uso della comunità internazionale, ma chiuse alla proprietà esclusiva. Alcuni esempi sono: l’alto mare, l’Antartico, lo spazio esterno, l’atmosfera e il cyberspazio. I Global Commons sono spesso governati da normative a multilivello (internazionale, regionale e nazionale). Non esiste alcun principio legale per gestire e dirigere i Global Commons; storicamente la dottrina usata, più vicina, è il Common Heritage Concept (CHM). Dal momento che il cyberspazio è l’elemento aggiunto più recente nell’ambito dei Global Commons, appare opportuno considerare come il CHM possa essere applicato a esso, allo scopo di incrementare la cyber-sicurezza. Il CHM può essere definito dai seguenti parametri: 1) non vi deve essere appropriazione privata o pubblica; nessuno può legalmente possedere gli spazi del Common Heritage; 2) i rappresentanti di tutte le nazioni devono lavorare assieme per amministrare e governare le risorse e i beni comuni; 3) le nazioni devono condividere attivamente i benefici acquisiti dallo sfruttamento delle risorse della regione del CHM; 4) nelle aree del CHM non devono esservi armamenti o installazioni militari, a meno che essi non debbano essere usati per mantenimento della pace; 5) i Global Commons devono essere preservati per le future generazioni. È necessario notare che risulta, però, difficile delimitare il cyberspazio, come lo è il controllo dell’uso dell’atmosfera al fine di prevenire i cambiamenti del clima. D’altra parte, in assenza di controllo, il perpetuarsi di cyber-minacce, può destabilizzare la sfera della cyber-sicurezza o, infine, la pace del cyberspazio. Per questo, assume un’importanza fondamentale il modo in cui venga concepito il cyberspazio: un Global Common oppure un insieme di infrastrutture fisiche (cavi, hardware, fibre ottiche, internet, ecc.). Deve essere, altresì, considerato il fatto che molte infrastrutture internet siano possedute e gestite da privati e soggette a una governance multilivello: questo fa pensare a un Global Common imperfetto, soggetto a un «mix» di strategie pubbliche e private (Imperfect Global Common).
Importanza delle Infrastrutture critiche fra minacce ambientali e cyber-minacce
Le Infrastrutture critiche (IC) (4) e le loro protezioni verso azioni individuali, di gruppi o di nazioni straniere sono strettamente interconnesse con la cyber-sicurezza (e non facilmente separabili fra loro); le IC sono strettamente dipendenti dal cyberspazio (5) e sono altamente digitalizzate, segnatamente nel caso del settore dell’energia (carburanti, elettricità, gas e nucleare), che è il più esposto alle condizioni/minacce correlate al clima ambientale come anche alle cyber-minacce. Queste ultime e le minacce ambientali interagiscono con le IC in modo sinergico negativo e rendono le IC più vulnerabili ai rischi. Le IC relative al settore dell’energia sono particolarmente a rischio di cyber-minacce e cyber-attacchi, segnatamente nell’ambito del centro-nord Europa. Nel sistema energetico, le IC sono correlate ai rischi dei cambiamenti climatici e ambientali, come l’innalzamento del livello marino, che pone anche una minaccia alle popolazioni che vivono nelle aree costiere. Pertanto, i rischi ambientali possono interessare non solo l’ecologia di una certa area, ma anche la sicurezza umana in una dimen-
sione a livelli multipli, come le IC in un contesto speciale, o particolare (Condizioni speciali delle infrastrutture critiche, CSIC). Le regioni artiche sono un esempio (condizioni extra-critiche), a causa delle loro aspre condizioni climatiche e le ampie distanze: in questo caso, numerosi settori si trovano in situazioni cruciali: per esempio il settore dell’energia, completamente dipendente dalla digitalizzazione, il comando e controllo di internet e dei computer. In questo quadro, rientra anche la tutela e la sicurezza umana. È importante, quindi, alla luce di ciò, la creazione di una struttura legale che riguardi le succitate CSIC, non solo in termini di legislazione nazionale, ma anche in vista di un carattere regionale, internazionale e globale. Fino a oggi, per quanto concerne il campo associato della cyber-security/cambiamenti climatici, nessuno ha preso in considerazione quale strumento importante esso sia nello sviluppo economico, ma — nello stesso tempo — quanto esso possa essere il bersaglio delle minacce cibernetiche. Questo è particolarmente importante dove esistano estreme condizioni climatiche e vaste distanze. A causa di questa extra-criticità, le CSIC sono specificamente soggette ai cambiamenti del clima (inondazioni, aumento del livello del mare, interruzioni delle rotte marittime, elettricità e comunicazioni), segnatamente nel settore dell’energia, a causa della sua crescente esposizione alle minacce ambientali e della sua connessione con le maggiori installazioni militari e civili. L’Europa centro-nord e le zone artiche costituiscono un lucido banco di prova nell’ambito delle Infrastrutture critiche che operano in ambienti climatici particolari. L’impatto del cambiamento climatico nell’Artico, per esempio, potrebbe essere più devastante che in altre zone del globo. L’innalzamento del livello del mare, correlato allo scioglimento dei ghiacci, può minacciare, in generale, le infrastrutture e le popolazioni che si trovano in aree remote e ad ampie distanze. Le infrastrutture critiche relative al settore dell’energia, correlate alle maggiori installazioni militari sono le più vulnerabili agli impatti del cambiamento climatico. Il settore energetico, ivi compresa la fornitura di carburanti, comparato con altre infrastrutture, risulta maggiormente vulnerabile: si tratta di un settore cruciale, anche a causa della sua alta interconnessione con altre IC (trasporti, elettricità, comunicazioni, ecc.). Questo significa che se avvenisse un cyber-attacco nel settore energetico, questo si rifletterebbe in altre IC dipendenti, comprese nell’ambito che viene denominato Dipendenze delle Infrastrutture critiche. In relazione a tale estrema vulnerabilità, è opportuno notare che sia il settore dell’energia che quello elettrico, siano gli unici, fra le IC, che posseggano requisiti obbligatori di cyber-sicurezza e, quindi, vengano regolati sia dal settore pubblico che da quello privato. Per esempio, considerando gli impianti di produzione dell’energia, essi sono controllati sia dallo Stato che dalle compagnie private. In questo ambito il concetto di Condizioni eccezionali per le infrastrutture critiche (CEIC) ben si attaglia al fenomeno di innalzamento del livello del mare, accoppiato alle mareggiate: entrambi costituiscono un pericolo e continueranno a incrementare il rischio di maggiori impatti costieri sulle infrastrutture del trasporto, ivi compresi fenomeni alluvionali temporanei e permanenti di porti, strade, linee ferroviarie, tunnel, ponti, rotte marittime interrotte con navi in difficoltà e il rischio che intere popolazioni possano rimanere completamente isolate dal resto del globo. In tale contesto, la connessione tra la suddetta eccezionale vulnerabilità delle IC sotto le sunnominate particolari condizioni climatiche e le cyberthreats, necessita di un’attenzione particolare al fine di essere mitigato, regolato e gestito. Tale cura particolare non deve essere vista solo in un’ottica concreta, gestionale e pratica volta a mitigare i rischi relativi sia alla cyber-insicurezza e le condizioni climatiche, ma come un bisogno urgente di progettare una protezione legale diretta a prevenire situazioni e problemi futuri, in modo da pianificare anticipatamente le azioni opportune, ivi comprendendo una valutazione dei rischi dovuti all’esistenza degli effetti cumulativi, a cascata, verso le IC.
«Le infrastrutture critiche (IC) e le loro protezioni verso azioni individuali, di gruppi o di nazioni straniere sono strettamente interconnesse con la cyber sicurezza (e non facilmente separabili fra loro)» (Fonte immagine: hcs.ie).
Nel settore dell’energia, un cyber-attacco alle IC, sotto la specie di CEIC, può essere paragonato a un evento climatico estremo, a causa della sua imprevedibilità, della rapidità e della vulnerabilità dell’area colpita, con un profondo black-out, in un ambiente con scarsa resilienza. In tale ambiente, il tempo necessario per tornare alla normalità sarebbe sicuramente molto lungo. Si deve sottolineare che le minacce variano rapidamente, senza la possibilità di prevedere tali cambiamenti, soprattutto in breve tempo: questo comporta un’obiettiva difficoltà di disegnare strategie di mitigazione da un vantaggioso punto di vista politico-legale. Parimenti, i piani di adattamento ai cambiamenti climatici in una prospettiva legale e politica, potrebbero presentare delle difficoltà, segnatamente in un approccio proattivo piuttosto che reattivo. I problemi su accennati, ci portano a ripensare a una nuova idea volta ad ampliare la nozione di adattamento ai cambiamenti del clima, allo scopo di includervi le cyber-minacce e le loro conseguenze sull’ambiente e la sicurezza umana, dal momento che, per esempio, come su accennato, le Infrastrutture critiche dell’energia sono strettamente correlate alle condizioni climatiche/ambientali e non possono essere gestite e regolate una alla volta, negli interessi della sicurezza umana e al fine di evitare i relativi disastri.
Infrastrutture obsolete
Molte delle infrastrutture influenzate dal cambiamento climatico e le infrastrutture che supportano il cyber-spazio e internet, sono state create con scarsa considerazione dei seri rischi presentati dal cambiamento del clima e dalle cyber-minacce. Queste strutture sono state, infatti, costruite quando tali minacce non erano evidenti, poco comprese o ignorate. Numerose «infrastrutture di servizio» sono particolarmente vulnerabili ai cambiamenti climatici. Uno studio dell’Unione europea, per esempio, ha messo in luce, per l’Italia, che per un sollevamento medio del livello del mare (1÷4 m), su circa 7.500 km di coste, il 22,8% di esse diventi soggetto a erosione: le aree più a rischio sono le coste della Toscana, la foce del Tevere (Lazio), la parte sud del Lazio, l’estuario del Volturno e la costa a sud di Salerno (segnatamente il Cilento), Campania e la Sicilia. Il bacino del nord Adriatico è particolarmente a rischio a causa della presenza del delta del Po, e la laguna veneta. In quest’ultima, la linea costiera è raramente più alta di 2 metri e, a causa di fenomeni di subsidenza, varie parti si trovano attualmente al di sotto del livello del mare. Al di là dei fattori puramente geografici, le caratteristiche socio-economiche rendono la fascia costiera italiana del tutto vulnerabile, dal momento che essa è la residenza di molte persone e di siti industriali. La Figura 1 (nella pagina successiva) illustra le regioni costiere italiane più vulnerabili, assieme ai maggiori indicatori socio-economici relativi alle stesse. Secondo uno studio dell’US Department of Energy i cambiamenti climatici possono anche creare un effetto domino, dal momento che la distruzione di infrastrutture può ripercuotersi su altre, a causa di «interdipendenze estese», minacciando la salute e le economie locali, segnatamente nelle aree ove la popolazione e le attività economiche siano concentrate in aree urbane. L’elaborazione di tale effetto domino conduce alla conclusione per cui «le vulnerabilità e gli impatti sono eventi che vanno al di là delle infrastrutture fisiche stesse». La preoccupazione risiede nel valore dei servizi forniti dalle infrastrutture, dove le vere conseguenze degli impatti e dei danni riguardano non solo i costi associati al ripristino, riparazione e/o sostituzione delle infrastrutture interessate, ma anche negli effetti economici, sociali e ambientali correlati alla distruzione delle catene di rifornimento, alla sospensione delle attività economiche e alla minaccia verso il benessere. Il cyberspazio si trova ad affrontare sfide simili.
In un documento del Dialogue Transatlantique Des Consommateurs(DTDC) (6) (febbraio 2007), viene illustrato che negli Stati Uniti, il 69,3% della popolazione è connessa a internet e nell’Unione europea il 51,9%. Nello stesso documento si nota che, nell’ambito OECD (Organizzazione per la cooperazione e lo sviluppo economico, OCSE, Parigi), gli Stati Uniti hanno il numero più ampio di abbonamenti alla banda larga (57 milioni, 31% di tutte le connessioni in banda larga). In breve,
ternet non sono stati progettati con caratteristiche di sicurezza: questo rende la struttura essenziale della rete fondamentalmente insicura». I cambiamenti climatici e le cyber-minacce molto spesso interessano le stesse Infrastrutture critiche, come le reti elettriche. Secondo il generale M. Hayden: «Sono cresciute le cyber threats alla rete elettrica del Nord America, rendendo la cyber-sicurezza un argomento importante a livello nazionale e internazionale (…)».
Cooperazione; inquinamento ambientale e cyber-inquinamento; aspetti normativi
nel succitato documento, viene sottolineato che: «(…) internet è diventata parte un mezzo importante, oggigiorno, per molte società (…)» e nelle nostre vite: esercizi commerciali, banche, compagnie di assicurazioni ed enti governativi sono contattati da cittadini e consumatori per l’esercizio online di servizi, consigli, informazioni, pagamenti e online banking. Più recentemente, secondo Hootsuite(gennaio 2021), i Social active media users in rapporto alla popolazione sono nel Nord America il 79%, in America centrale il 71%, in Nord Europa il 79%, nel Sud Europa il 71%, nell’Europa dell’Est il 72%, nell’Asia occidentale il 60%, in Asia orientale il 66%, nell’Asia meridionale il 69%, in Sud America il 72%. Secondo VPNMentor (2021), in una popolazione mondiale di 7,8 miliardi, gli utenti di internet sono 4,804 miliardi. Nel citato documento del DTDC viene esplicitamente evidenziato che «(…) i primi protocolli di rete che a tutt’oggi sono parte di in-
La cooperazione sulla cyber-sicurezza e la protezione ambientale richiede differenti forme di relazioni, e.g., fra i governi, le loro agenzie specializzate o i portatori d’interesse. Il cambiamento climatico e la cyber-sicurezza possono essere entrambi affronFigura 1 - Sono illustrati alcuni indicatori socio-economici nella linea costiera italiana: nella 4a riga viene esposta la percentuale di costa — profonda 10 km — al di sotto di 5 m rispetto al l.d.m.; nella 6a riga, per una profondità di 50 km di costa, il PIL in mil. di euro; nell’ultima riga, la popolazione, nella stessa profondità di zona (Unione europea). tati in un sistema multi-normativo di governance: in questo quadro, a livello nazionale, per risolvere i problemi correlati all’efficacia del sistema e al suo potenziamento, hanno molta importanza le azioni dal basso verso l’alto e le attività della società civile. Alla luce di ciò, un approccio verticale e orizzontale alla struttura legislativa nel settore, può risultare determinante: il primo potrebbe realizzarsi attraverso l’implementazione di leggi internazionali in ambito regionale (i.e. leggi EU), incrementando la comunicazione dell’informazione e dei dettagli concernenti sia l’informazione sia la realizzazione di politiche-chiave e degli obiettivi; il secondo, fornendo informazioni sui piani di attività e sulle strategie da realizzarsi a livello nazionale in entrambi i settori (cyber/ambiente). Nel caso della cooperazione regionale sulla cyber-sicurezza delle IC nel settore dell’energia, lo scopo può essere il controllo e la messa in sicurezza delle vulnerabilità e degli incidenti che potrebbero interessare il settore in parola. Le maggiori difficoltà giacciono
nello stabilire un accettabile e comune livello di protezione e cooperazione. Nel regime di protezione degli ambiti cyber/ambiente, può applicarsi un principio generale di leggi ambientali internazionali, specialmente trattando argomenti relativi ai Global Commons. Un esempio pratico di Multilateral Agreement è la United Nations Convention on the Law of the Sea (UNCLOS), nella quale il dovere di cooperare è citato nella Sez. 2, Global and Regional Cooperation, art. 197 (Cooperation on a global or regional basis) (7). Come su accennato, pertanto, la governance della cyber-sicurezza e i problemi del cambiamento climatico, non possono essere disposti su un solo livello normativo o in una sola dimensione (i.e., solo realizzazione verticale), ma necessitano di una combinazione bi-dimensionale (verticale e orizzontale), con un forte accento sul ruolo della società civile, il cui ruolo può essere particolarmente rilevante, per esempio, per la realizzazione dell’Accordo di Parigi (8) volto, fra l’altro, a minimizzare il problema degli opportunismi e, pertanto, contribuire a incrementare la cooperazione internazionale per combattere i cambiamenti del clima. Mentre il Protocollo di Kyoto (9) fu un successo in termini di ratificazione e per l’impostazione di obiettivi di limitazione alle emissioni, esso non mise in atto un sistema di sviluppo sostenibile, almeno non fino a quando le nazioni sviluppate furono obbligate a ciò dagli obiettivi succitati, nonostante il fatto che le maggiori quantità di emissioni provenissero dalle nazioni in via di sviluppo. Fu necessario un lungo periodo di tempo affinché il protocollo di Kyoto entrasse in vigore e, quindi, avesse un impatto sulla politica climatica. Il Protocollo di Montreal (Montréal Protocol) (10), invece, viene considerato un esempio di modello vincente di cooperazione per l’indirizzo di problemi globali: in questo caso ai fini del problema concernente la deplezione dello strato di ozono. Il Protocollo può servire come modello specialistico per la pianificazione e la realizzazione di progetti nel settore della cyber-sicurezza. Immaginare e disegnare un parallelo fra il regime normativo ambientale e il cyber-regime, potrebbe risultare altresì utile per comprendere e mettere in luce le parti oscure esistenti all’interno della cyber-sicurezza: molti aspetti di tali ambienti, infatti, sono ancora sconosciuti e altamente frammentati del cyberspazio. Il problema dell’«iper uso», anche dal punto di vista normativo-legale, concerne sia la sfera ambientale sia quella del cyberspazio: entrambi i regimi sono vittime della «Tragedia dei beni comuni» (11). Nel cyberspazio, per esempio, l’«Inquinamento da informazioni» può derivare, fra l’altro, da una quantità massiva di messaggi pubblicitari non richiesti, inviati a un numero molto elevato di utenti di internet tramite posta elettronica, il che riduce lo spazio d’ampiezza di banda. Allo stesso modo, la distruzione dell’atmosfera è il risultato di molti soggetti individuali (società, industrie, ecc.) che massimizzano i loro utili senza riguardo alle relative conseguenze. In cyber-sicurezza, l’inquinamento informativo può anche essere indotto da attacchi diffusi di negazione del servizio, i quali potrebbero condurre a veri e propri «crash», dovuti a un’enorme quantità di richieste di accesso ai siti web. Questo può anche accadere in relazione a una carenza di «proprietà definita» o della relativa normativa, dando luogo, da parte di molti soggetti, a un super uso del «proprio spazio». Similmente, l’atmosfera è altamente soggetta all’inquinamento e non possiede un’illimitata capacità di immagazzinamento. Questo, a sua volta, richiede una solida e ben definita governance, particolarmente per le risposte che limitano l’accesso aperto a un sovrasfruttamento delle risorse naturali e mirino a mitigare il comportamento umano e le sue conseguenze antropogeniche. Tali limiti potrebbero essere materializzati attraverso, per esempio, misure che abbiano lo scopo di stabilire diritti di proprietà ben definiti, oppure attraverso il settore pubblico, e.g. mediante l’implementazione di strumenti di policy (come, per esempio, il sistema cap - and - trade, nel quadro del Protocollo di Kyoto) (12) che abbiano la capacità di prevenire opportunismi, o anche mediante tasse o quote.
Il ruolo dell’Europa. L’interesse nazionale
Le minacce di guerre tradizionali, combattute da truppe e cannoni, sono un fatto potenziale. Il confronto digitale, invece, avviene giornalmente e su questo fronte è necessario rispondere rapidamente, senza ritardi: uno scenario minaccioso, che non proviene solo da Russia e Cina, ma anche da gruppi terroristici. Il 16 dicembre
2020, la Commissione europea, l’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza hanno presentato una nuova strategia dell’UE in materia di cyber-sicurezza, adottata il 24 luglio 2020. L’obiettivo di questa strategia è rafforzare la resilienza collettiva dell’Europa contro le minacce informatiche e garantire che tutti i cittadini e le imprese possano beneficiare pienamente di servizi e strumenti digitali affidabili. La transizione digitale nella società, resasi più impellente dalla crisi Covid-19, ha ampliato la gamma delle minacce e sta porgendo nuove sfide, verso cui sono necessarie risposte nuove, adeguate e innovative. La quantità di attacchi informatici, provenienti da numerose fonti sia all’interno sia all’esterno dell’UE, è in aumento. L’UE dispone di strumenti militari, politici, economici e di una solida struttura di intelligence che gli consente di affrontare radicalmente il problema. L’Unione, quindi, possiede una capacity building in grado di trattare congiuntamente i due campi (cyberspazio/ambiente). Come su menzionato, dovrebbe condurre la creazione non solo di unità di risposta rapida, ma anche la formazione di norme comuni per soluzioni di livello mondiale e standard di sicurezza informatica per i servizi di base e per le Infrastrutture critiche, in armonia con i principi democratici. Il 9 dicembre 2020, la Commissione europea ha presentato una prima relazione sui progressi compiuti nell’attuazione della strategia (Communication from the Commission to the European Parliament and the Council - First Progress Report on the EU Security Union Strategy) (13).
È necessario che la succitata capacità si traduca in una collegialità di azioni fra gli enti che si occupano del mercato interno, dell’applicazione della legge, della diplomazia e della difesa, in modo tale che essi possano rispondere collettivamente in occasione di un attacco, realizzando una difesa strategica totale.
La strategia riguarda la sicurezza dei servizi essenziali come ospedali, reti energetiche, ferrovie e il numero sempre crescente di oggetti collegati nelle nostre case, uffici e fabbriche. La strategia mira a costruire capacità collettive per rispondere ai principali attacchi informatici. Essa delinea inoltre piani di collaborazione con i partner di tutto il mondo per garantire la sicurezza internazionale e la stabilità nel cyberspazio. Inoltre, essa illustra in che modo un’unità informatica congiunta possa garantire la risposta più efficace alle minacce informatiche utilizzando le risorse e le competenze collettive di cui dispongono gli Stati membri e l’UE (14).
Obiettivo della strategia
La nuova strategia ha lo scopo di garantire un uso delle reti informatiche aperto e globale con solide protezioni laddove vi siano rischi per la sicurezza e i diritti fondamentali delle persone in Europa. Il progetto contiene proposte concrete per l’impiego di tre strumenti principali. Tali strumenti consistono in iniziative di regolamentazione, investimenti e politiche. Essi tratteranno tre settori d’azione dell’UE: 1. resilienza, sovranità tecnologica e comando-controllo; 2. capacità operativa di prevenire, dissuadere e reagire (15); 3. cooperazione per promuovere un cyberspazio globale e aperto.
L’UE prevede di sostenere questa strategia mediante un ampio livello di investimenti, nell’arco di tempo dei prossimi sette anni.
Conclusioni
Da quanto su esposto, si ritiene che sfide portate all’ambiente, recepito nella sua interezza Terra-Atmosfera-Spazio e al cyberspazio, pur nella diversità delle variabili relative ai due sistemi, siano di natura antropogenica, rapidamente crescenti e strettamente correlate fra di loro. La velocità, senza precedenti, con cui si manifestano i cambiamenti del clima (e.g., frequenza delle onde di calore, innalzamento del livello dei mari, sperequazione nei regimi pluviali, ecc.) e il dinamismo della specializzazione degli hacker, che solidarizzano rapidamente, pongono serie minacce verso i governi nazionali, i quali hanno tempi diversi e necessariamente più lunghi per armonizzare decisioni complesse e articolate. Allorché forze massive come quelle summenzionate, associate fra di loro, minacciano aree geografiche di dimensioni continentali, gli impatti possono essere enormi. In questo quadro, ben si configurano le azioni intraprese dalla Comunità europea, volte a stimolare l’attenzione e la prontezza di
intervento delle nazioni. Un accento particolare deve essere portato sulla dinamicità/efficienza della presa decisionale che deriva dall’associazione fra la previsione di resilienza, le previsioni meteo-climatiche, la sorveglianza cibernetica e le dimensioni ambientali e socio-economiche dei territori. Questa visione strategica nella guida-controllo della difesa nazionale si pro-
Riquadro
Area Tempeste di vento Inondazioni da fiumi Cicloni tropicali
OECD - A 147,5 84,05 10,94 OECD - E 157,39 89,82 0 OECD - P 90,64 51,91 25,35 CEE & fSU 82,4 46,97 9,06 fila come il «quinto amME 0 6,61 0 bito di sicurezza della Costi dei danni (106 euro) per fenomeni meteorologici in alcune aree del globo (OECD-A = OECD nazione», nel quale gli Asia; OECD - E = OECD Europa; OECD - P = OECD Pacifico; CEE & fSU = Central East Europe attori non sono solo gli & Russia; ME = Middle East) - (J.S. Tol). enti istituzionali, ma anche i cittadini con la loro preparazione culturale. Di fronte alle minacce succitate, di differente natura e in differenti condizioni, un discorso a parte, di pari importanza e urgenza, merita il ruolo della legislazione internazionale nel settore, soprattutto in relazione all’uso della forza sia in tempo di guerra (jus ad bellum) sia in tempo di pace (jus in bellum). 8
NOTE
(1) Il termine cyberspazio(Cyberspace) si riferisce alla sfera virtuale (anche denominata Cyber-Realm), creata quale risultato dell’uso della Information Technology. Attualmente, il termine Cyberspace è caratterizzato dal «Quinto ambito di guerra» da parte di alcuni enti accademici, Stati e dalla North Atlantic Treaty Organization (NATO). (2) I termini cyber-attacco, cyber-minaccia e cyber-rischio sono differenti, anche se usati, in generale, in questo contesto. Un cyber-attacco è un’azione offensiva, un atto non autorizzato che altera, cancella, danneggia, sopprime o distrugge dati all’interno di sistemi o reti computerizzati, mentre una cyber-minaccia è la possibilità che possa verificarsi un determinato attacco e il cyber-rischio associato alla minaccia suddetta, stima le probabilità di perdite potenziali che potrebbero avere luogo. (3) La risorsa comune (CPR ) è un tipo di bene formato da un sistema di risorse naturali o create dall’uomo (per esempio una struttura di irrigazione o aree di pesca). Normalmente, le dimensioni e/o le caratteristiche del sistema rendono costoso (non impossibile) escludere potenziali beneficiari dall’ottenere vantaggi dal suo utilizzo. (4) Non vi è una definizione precisa e concordata delle IC, esistendo enunciazioni che variano fra le nazioni. La Commissione europea (2004) ha definito le IC come: «Le installazioni sia fisiche e per la tecnologia informatica, le reti, i servizi, e i beni che, se danneggiati o distrutti, potrebbero avere seri impatti sulla salute, sulla sicurezza o sul benessere economico dei cittadini o sul regolare funzionamento dei governi» (Critical Infrastructure Protection in the fight against terrorism. COM(2004) 702, Brussels, 20 October 2004). (5) La relazione fra le Infrastrutture critiche e la cyber-sicurezza appare appropriata poiché i cyber-attacchi verso di esse consentono di valutare la valutazione del rischio relativo alle capacità di danneggiamento dei primi. È opportuno notare che non esiste una definizione precisa di Infrastrutture critiche nelle varie nazioni. L’Unione europea le definisce come: «Le strutture fisiche e dell’Information Technology, reti, servizi e risorse che, se distrutti o danneggiati, potrebbero avere seri impatti sulla salute, sulla sicurezza, sul benessere economico dei cittadini o sull’efficace funzionamento dei governi». Le Infrastrutture critiche più comunemente associate sono: energia, finanze, trasporti, comunicazioni, fornitura di acqua, agricoltura e produzione di alimenti, salute pubblica e servizi di sicurezza (polizia/militari). (6) Il Dialogue Transatlantic des Consommateurs [DTDC, o Transatlantic Consumer Dialogue (TACD)] è un forum fra le organizzazioni dei consumatori statunitensi e dell’Unione europea, il quale sviluppa e armonizza le raccomandazioni ai governi degli Stati Uniti e dell’UE al fine di promuovere gli interessi del consumatore e le relative politiche in comune. (7) Si riporta il testo integrale: «States shall cooperate on a global basis and, as appropriate, on a regional basis, directly or through competent international organizations, in formulating and elaborating international rules, standards and recommended practices and procedures consistent with this Convention, for the protection and preservation of the marine environment, taking into account characteristic regional features». (8) L’Accordo di Parigi, siglato il 12 dicembre 2015 nel quadro della United Nations Framework Convention on Climate Change (UNFCCC), dai rappresentanti di 196 Stati, concerne la mitigazione, l’adattamento e gli aspetti finanziari del cambiamento climatico. Esso si prefigge di mantenere l’aumento medio della temperatura globale al di sotto di 2°C rispetto ai livelli pre-industriali e di perseguire gli sforzi per limitare tale incremento a 1,5°C. (9) Il Protocollo di Kyoto è un trattato internazionale riguardante il surriscaldamento globale. Pubblicato l’11 dicembre 1997 da più di 180 paesi durante la Conferenza delle Parti «COP3» della Convenzione quadro delle Nazioni unite sui cambiamenti climatici (UNFCCC),il trattato è entrato in vigore il 16 febbraio 2005 dopo la ratifica da parte della Russia. A maggio 2013 gli Stati che hanno aderito e ratificato il protocollo sono 192. Con l’Accordo di Doha, l’estensione del Protocollo è stata prolungata dal 2012 al 2020, con ulteriori obiettivi di taglio delle emissioni serra. (10) Il Protocollo di Montréal è un trattato internazionale il cui scopo consiste nel ridurre la produzione e l’utilizzo delle sostanze che minacciano lo strato di ozono. Firmato il 16 settembre 1987, è entrato in vigore il 1º gennaio 1989 e revisionato nel 1990 (Londra), 1992 (Copenaghen), 1995 (Vienna), 1997 (Montréal) e 1999 (Pechino). (11) Nel campo dell’economia, la «Tragedia dei beni comuni», indica una situazione nella quale un certo numero di individui usano un bene comune per interessi personali, senza che, in tale situazione, siano chiari i diritti di proprietà, talché non si ha sicurezza che chi beneficia della risorsa usata ne sostenga i relativi costi. Il termine fu coniato da Garrett James Hardin (Science, 1968). (12) Il sistema Cap-and-Trade (C&T) è una politica di assegnazione di autorizzazioni a inquinare da parte dello Stato. Il numero di autorizzazioni viene stabilito in base al livello desiderato di inquinamento e ai soggetti inquinanti viene consentito di scambiarle tra di essi. Nel C&T viene stabilita una quantità massima commerciabile, lasciando al mercato la definizione del prezzo. (13) Il 23 giugno 2021 il Segretariato generale della Commissione europea ha presentato la Communication on the Second Progress Report on the implementation of the EU Security Union Strategy. Questo ultimo rapporto copre il periodo dal precedente e traccia l’avanzamento nei quattro pilastri della strategia europea: un ambiente futuro a prova di sicurezza, affrontando l’evolversi delle minacce, proteggendo l’Europa dal terrorismo e dal crimine organizzato e un forte ecosistema europeo di sicurezza. Il documento mette in evidenza come si sta portando avanti tale lavoro, con il contributo specifico delle agenzie UE. (14) La 14a Commissione permanente del Senato della Repubblica, nella seduta del 21 aprile 2020, ha esaminato la Proposta di direttiva del Parlamento europeo e del Consiglio sulla resilienza dei soggetti critici(n. COM(2020) 829 definitivo). (15) Il 23 giugno 2021, la Commissione europea ha esposto un’iniziativa tesa alla creazione di una nuova Joint Cyber Unit (unità congiunta cyber), volta ad affrontare il numero crescente di importanti incidenti cibernetici che influenzano sia i servizi pubblici sia la vita economica e dei cittadini in ambito europeo. Innuce all’iniziativa, fra l’altro, c’è la crescente necessità di risposte avanzate e coordinate mentre gli attacchi cibernetici crescono in numero, in scala e nelle conseguenze, influendo profondamente sulla nostra sicurezza. Tutti gli attori idonei, nell’Unione europea, devono essere preparati a rispondere collettivamente e a scambiare le opportune informazioni secondo il principio di «necessità di condivisione», invece di una «necessità di conoscere». La raccomandazione relativa alla creazione dell’unità in parola costituisce un importante passo avanti nel completare la struttura gestionale europea della crisi cibernetica.
BIBLIOGRAFIA
Changes in Impactsof Climate Extremes: HumanSystems and Ecosystems (IPCC, 2012). On Climate Change and Cyber Attacks, Vanderbilt Journal of Entertainment & Technology Law, 2016.
