19 minute read
La strategia europea per la sicurezza cibernetica
Il cyberspazio, assunto alla dignità di «dominio strategico», si è rivelato un terreno unico nel suo genere. Stati, organizzazioni internazionali, gruppi di interesse transnazionali, attori non-statali, terroristi, hacker e criminali più o meno organizzati si contendono online potere, influenza, risorse o, più prosaicamente, occasioni di profitto. Dinanzi alla sfida posta dalla «decade digitale», l’Unione europea (UE) e i suoi membri si scoprono esposti a rischi, minacce e pericoli del tutto inediti a epoche precedenti. Rischi, minacce e pericoli che, dunque, richiedono altrettanto inedite misure e strategie di contrasto. Muovendo da simili premesse, il presente articolo si propone di analizzare brevemente punti salienti ed elementi chiave della «nuova» strategia europea per la cybersicurezza, cercando di metterli in relazione al quadro generale di policy e iniziative unionali in materia e dando infine conto, quando possibile, di sviluppi recenti, e prospettive future.
(aicom.it).
Advertisement
Gli attacchi subiti tra l’11 e il 12 maggio 2022 da diversi siti web istituzionali italiani e di altri Stati europei, sebbene non del tutto inattesi, hanno rilanciato prepotentemente il dibattito sulla cybersicurezza nazionale (2). Proprio in quei giorni, a Roma, si concludevano i lavori del Cybertech Europe — un appuntamento di altissimo profilo industriale e istituzionale, con ampia partecipazione di autorità civili e militari, dirigenti pubblici, vertici aziendali ed esperti di sicurezza e difesa cibernetica (3). Nel frattempo, il presidente del Consiglio dei Ministri, Mario Draghi, si trovava negli Stati Uniti per un viaggio istituzionale (4). Un tempismo particolarmente eloquente.
Al di là delle prime rivendicazioni, attribuzioni di responsabilità e possibili eziologie geopolitiche dell’at-
tacco, ciò che appare più rilevante ai nostri fini è sottolineare ancora una volta quanto la sicurezza delle infrastrutture cibernetiche ci riguardi da vicino. Un messaggio che l’Unione europea (UE) in realtà ha colto da tempo (5), sebbene con significative differenze e discontinuità tra i vari membri. Un segnale positivo in questo senso è senza dubbio la notizia dell’accordo politico «provvisorio» raggiunto tra Parlamento europeo e Consiglio dell’UE sulla direttiva NIS2 (6). Quest’ultima, qualora adottata, aggiornerà la precedente direttiva NIS del 2016 (7) affinando, tra le altre cose, l’actio finium regundorum relativa alla qualifica di «operatori di servizi essenziali», rilevante ai fini dell’applicabilità del regime di protezione previsto dalla norma.
La rivoluzione digitale ha inciso in profondità sul nostro modo di stare al mondo, è evidente. Generalmente rendendoci le cose più facili: i viaggi sono più brevi, le comunicazioni più veloci, i servizi più accessibili. Tuttavia, è altresì patente come accanto alle pressocché inesauribili potenzialità dischiuse da tali nuovi strumenti si siano aperte altrettante, pericolose faglie per la nostra sicurezza. La pandemia non ha fatto altro che accelerare questo processo, con tutto il suo portato di vulnerabilità e rischi. E la rivoluzione digitale è ancora in corso: dall’intelligenza artificiale all’uso sempre più estensivo di criptovalute, passando per le ancora futuribili possibilità di metaverso, quantum computing, Internet of Things (IoT) e Cloud, gli orizzonti del possibile si estendono, aprendo a scenari tutti ancora da scrivere.
Scenari ai quali bisogna nondimeno prepararsi, sviluppando e investendo non solo sulle capacità di risposta agli attacchi, ma anche e soprattutto su quelle di previsione dei rischi. E proprio in questa direzione si sono mossi i lavori del Threathunt 2030, organizzato dall’ENISA ad Atene il 6 maggio scorso, dove — per far fronte a quello che è stato definito un «fastevolving cybersecurity threat landscape» — sono state approfondite le potenzialità di applicazione di tecniche di foresighting alla previsione e identificazione delle nuove e future minacce che potrebbero emergere di qui al 2030 (8). E ciò dà soltanto parzialmente conto del livello di attenzione che si sta concentrando sul tema.
Approvata il 16 dicembre 2020, la EU Cybersecurity Strategy marca un importante passo verso la protezione dello spazio cibernetico unionale (9). La «nuova» Strategia europea per la cybersicurezza infatti, acquisita già da tempo quella fondamentale consapevolezza della rilevanza e dell’attualità della minaccia cibernetica, propone più chiari obiettivi, tempi e modalità di realizzazione che, qualora implementati a pieno e periodicamente aggiornati, garantirebbero un avanzato sistema di tutele e responsabilità in grado di difendere cittadini e utenti dai principali pericoli alla propria sicurezza digitale, godendo al tempo stesso dei migliori frutti dello sviluppo tecnologico odierno e a venire.
Già nel 2013, in realtà, la Commissione pubblicava congiuntamente all’Alto rappresentante per gli affari esteri e la politica di sicurezza dell’UE — allora la bri-
tannica Catherine Ashton — una cybersecurity strategy, con lo scopo di raggiungere la «resilienza cibernetica», ridurre «drasticamente» il crimine informatico, sviluppare policy e capacità di «difesa cibernetica» nel quadro della Politica di Sicurezza e Difesa Comune (PSDC) e stabilire una «coerente» policy europea per il cyberspazio, promuovendone i valori fondanti. Sette anni più tardi, con lo sguardo rivolto a quella che viene definita «la decade digitale», il nuovo documento strategico si pone quale ulteriore pietra miliare per marcare e indirizzare il percorso verso una «trasformazione digitale» che si svolgerà in un sempre più complesso «threat environment» (10).
Il testo, suddiviso in quattro capitoli (I. Introduction; II. Thinking Global, Acting European; III. Cybersecurity in the EU Institutions, Bodies and Agencies; IV. Conclusions), affronta il tema della cybersicurezza in una prospettiva globale e olistica, dal contrasto al cybercrime alla cyber defence, passando per sicurezza delle informazioni, delle infrastrutture critiche e dei servizi essenziali fino alle tecnologie cd. «disruptive». Un focus particolare è rivolto all’importanza degli investimenti nella transizione digitale, affinché avvenga in modo sicuro e coordinato, integrando la dimensione della sicurezza cibernetica nei processi di sviluppo di settori chiave quali intelligenza artificiale, crittografia e quantum computing (11).
Da questo punto di vista, è significativo notare il collegamento al Fondo europeo per la difesa (EDF, dalla sigla in inglese) — a sua volta strettamente legato alla Cooperazione strutturata permanente (PESCO, dall’inglese), tra i cui progetti spiccano diverse iniziative rilevanti per la cybersicurezza europea, per esempio la EU Cyber Academia and Innovation Hub, i Cyber Rapid Response Teams and Mutual Assistance in Cyber Security, o ancora la Cyber Threats and Incident Response Information Sharing Platform, cui partecipa anche l’Italia (12) — e agli strumenti finanziari di rilievo esterno, quali quelli relativi alla politica di vicinato, sviluppo e cooperazione internazionale (13). Ma procediamo con ordine.
«Introduction»
L’Introduzione apre il documento chiarendo un punto nodale: la cybersicurezza è «parte integrante» della più generale sicurezza degli europei. Il segnale è chiaro, ci si rivolge in primo luogo agli europei, a quegli utenti che ogni giorno, per i più svariati motivi, utilizzano servizi digitali o si affidano a strutture e apparati interconnessi. I quali, si afferma nel documento, «deserve to do so within the assurance that they will be shielded from cyber threats» (14). Il testo si apre dunque ribadendo la rilevanza strategica della cybersicurezza per l’UE, collegandola subito dopo a doppio filo il più alto obiettivo di costruire un’Europa «resiliente, verde e digitale» (15). La Strategia ricorda infatti come pressocché tutti i settori che investono il quotidiano svolgersi della vita di una comunità politica — «trasporti, energia e salute, telecomunicazioni, finanza, sicurezza, processi democratici, spazio e difesa», per citare soltanto quelli riportati — sono sempre più interconnessi e, pertanto, più esposti ad attacchi. A ciò si aggiunga, prosegue il testo, la considerazione per cui il numero dei di-
spositivi connessi già supera il numero di persone sul pianeta, ed è destinato ad aumentare. Processo a cui la pandemia ha dato un ulteriore slancio. In una parola: gli europei del futuro saranno più connessi, più spesso e avranno a disposizione una quantità e qualità di servizi e apparati in continua crescita. Ciò significa, allo stesso tempo: più rischi, più spesso e con maggiore potenziale di danno.
Ad aggravare e rendere più complesso tale scenario, il documento chiama in causa le molteplici tensioni geopolitiche — attualmente ancor più severe a causa del conflitto in Ucraina, ma non solo. Si consenta su questo punto qualche più generale riflessione: se la geopolitica ha tradizionalmente riguardato relazioni competitive tra
attori in concorrenza per assicurarsi potere, spazi e risorse, lo spazio cibernetico, le risorse necessarie a sviluppare le tecnologie per proteggerlo e il potere che ne deriva non fanno eccezione. Anzi. Come il cambiamento climatico è un moltiplicatore di rischio, così la digitalizzazione è un moltiplicatore di possibilità. Ma è un moltiplicatore «neutrale», ovvero il segno non è determinabile a priori, dipende dall’uso che se ne fa. E la natura di quest’ultimo, per di più, non è sempre evidente. Al contrario, spesso può rivelarsi addirittura ingannevole, nascosta, mascherata. E per questo richiede una complessa opera di sensibilizzazione e formazione a tutti i livelli, una vera e propria «alfabetizzazione». L’utente, la persona fisica, resta infatti il vero «anello debole» della lunga catena che traccia il «perimetro difensivo» di un’infrastruttura informatica (16). E ciò vale anche, e soprattutto, per quelle infrastrutture che vengono comunemente definite «critiche».
Ma andiamo oltre. L’Introduzione prosegue dichiarando che gli attacchi alle infrastrutture critiche sono «a major global risk», affermando come le preoccupazioni per la sicurezza risultano in «a major disincentive to using online services», ribadendo come oramai quasi ogni attività investigativa «has a digital component» e rammentando come, sebbene servizi digitali e finanza siano tra i principali target degli attacchi, la «cyber readiness and awareness»
tra imprese e individui resti bassa, così come le competenze in materia di cybersicurezza tra i lavoratori (17). La conclusione, alla quale la Strategia si propone di porre un primo argine, è che l’UE manca della necessaria «collective situational awareness of cyber threats», ciò per diversi motivi, tra i quali il documento elenca la mancanza di raccoglimento e condivisione sistematica delle informazioni da parte delle autorità nazionali e la troppo limitata assistenza operativa tra membri e l’assenza di meccanismi operativi tra membri e istituzioni europee in caso di «large-scale, cross-border cyber incidents or crisis» (18).
«Thinking Global, Acting European»
Il secondo capitolo, intitolato Thinking Global, Acting European, procede a una sistematica indicazione di proposte concrete per indirizzare l’azione dell’Unione sul tema. Segnatamente, in questa parte la Strategia divide gli interventi in «regolatori», di «investimento» e di «policy», da attuare su altrettante «aree d’azione»: «resilienza, sovranità tecnologica e leadership»; «costruire una capacità operativa di prevenzione, dissuasione e risposta»; «promuovere un cyber spazio globale e aperto» (19). La sistematica del capitolo segue tale suddivisione logico-funzionale, articolandosi in altrettanti paragrafi.
Il primo, dedicato a resilienza, sovranità tecnologia
e leadership, affronta i temi legati alla protezione delle infrastrutture critiche e dei servizi essenziali, alla sicurezza delle comunicazioni, alle nuove tecnologie (5G, IoT, Cloud, ecc.), alla sovranità digitale, investimenti e catene di approvvigionamento, alla ricerca, innovazione, tutela della proprietà intellettuale e formazione dei lavoratori (20). Tra le «iniziative strategiche» proposte, si segnala in particolare quella di elaborare una revisione della direttiva NIS del 2016 — proposito che, come si è detto in apertura, sembrerebbe attualmente molto vicino alla realizzazione.
Il secondo tratta invece gli aspetti più strettamente «operativi», indicando alcune possibili soluzioni per sviluppare una maggiore capacità di prevenzione, deterrenza e risposta alle minacce cibernetiche (21). In questa parte la Strategia si rivolge soprattutto a quelle «comunità» — network, agenzie, istituzioni, autorità, uffici e organismi, sia europei che nazionali — a vario titolo coinvolte nella prevenzione e nel contrasto a cyber criminali e hacker, con particolare riferimento a organi tecnici, magistratura, Forze dell’ordine, diplomazia e Forze armate (22). Anche qui, un rapido sguardo alla sistematica dei sotto-paragrafi consente di trarre uno schizzo ai nostri fini sufficientemente esaustivo del quadro complessivo. Nell’ordine: in prima posizione viene enunciata la proposta di formare una Joint Cyber Unit, la quale
acquisirebbe la funzione di centro di raccordo operativo europeo per la cybersicurezza, incrementando le capacità comuni di reazione agli incidenti e gestione delle crisi cibernetiche, assicurando al contempo maggiore condivisione informativa e coordinamento operativo in stretto raccordo con le autorità nazionali e le istituzioni unionali (23); al secondo posto, viene affrontato il problema del contrasto al crimine informatico. L’assunto di base è semplice e chiarificante: non basta edificare un sistema resiliente (ovvero capace di assorbire il colpo e tornare alla forma iniziale), è necessario identificare e perseguire i responsabili degli attacchi affinché siano assicurate
giustizia e deterrenza, un po’ come avviene per l’ordinaria criminalità (24); segue la «diplomazia cibernetica», declinata attraverso lo strumento della cyber diplomacy toolbox europea, che riguarda principalmente l’applicazione di misure restrittive e sanzionatorie per dissuadere e rispondere ad attacchi cibernetici provenienti da paesi ostili, entità a essi riconducibili o altri attori non statali — oltre alla straordinariamente complessa attività di cyber intelligence necessaria all’attribuzione di responsabilità, all’analisi di contesto e a orientare le relative decisioni politico-diplomatiche (25); infine, ma evidentemente non per importanza, si tocca il tema della difesa cibernetica, rimarcando come quest’ultima debba essere integrata e sviluppata con la parallela dimensione della cybersicurezza. Si ribadisce inoltre, in questo senso, l’interesse a spronare i paesi membri verso un pieno utilizzo degli strumenti finanziari messi a disposizione dall’EDF e dai progetti PESCO per potenziare la ricerca, l’innovazione e le capacità militari nel cyber spazio — oramai pacificamente riconosciuto sia dall’UE che dalla NATO quale dominio strategico a pieno titolo (26).
Il terzo paragrafo, quello relativo alla promozione di uno spazio cibernetico globale e aperto, muove lungo tre direttrici: il ruolo guida dell’Unione europea quale «potenza normativa», ovvero la peculiare capacità dei Ventisette di fissare standard, norme e modelli che si impongono a livello internazionale quale punto di riferimento; l’impegno nella cooperazione con organizzazioni internazionali, regionali e con gli altri stakeholder rilevanti in una prospettiva trasversale e multilivello; il supporto allo sviluppo capacitivo e al contrasto delle minacce cibernetiche a favore di Stati partner per rafforzare le capacità globali di reazione e resilienza (27).
La cybersicurezza delle istituzioni europee, oggetto del terzo capitolo, conchiude il viaggio ideale avviato nel secondo, rivolgendo l’attenzione nuovamente verso l’interno dopo aver posato lo sguardo sul vasto mondo. Un capitolo assai più breve degli altri — soltanto una pagina — che si limita a richiamare l’allerta sul fatto che l’UE e le sue articolazioni sono, e verosimilmente continueranno a essere, oggetto di attacchi cibernetici. Soprattutto al fine di spionaggio, precisa il documento in esame (28). Il che non è per nulla un dato secondario, anzi. Proprio tale osservazione porta al punto successivo, laddove si parla di sistemi di sicurezza delle informazioni, classificate e non, al fine di incrementarne l’interoperabilità, la coerenza e la sicurezza. Interessante in proposito la proposta di adottare regolamenti comuni per istituzioni e agenzie UE e di rafforzare il mandato del CERT-EU (Computer Emergency Response Team for the EU institutions, bodies and agencies, istituito nel 2011 e avente sede a Bruxelles) (29).
Conclusioni
L’Unione europea, talvolta accusata di venire «da Venere» (30), talaltra elogiata proprio per questa sua peculiare modalità di esercitare il potere — anche definita, con fortunata espressione, «potenza civile» (31)
— può in verità già intervenire incisivamente su più campi e attraverso differenti meccanismi, dalla politica commerciale alla cooperazione allo sviluppo, passando per partenariati, politica di vicinato, allargamento, condizionalità e regimi sanzionatori. Il che rende l’UE un attore particolarmente capace di elaborare ed esercitare innovative forme di risposta «ibrida», «multidimensionale» (32). Ma tali mezzi non bastano, se non vi è anche la capacità di implementarli efficacemente, difenderli in maniera credibile e indirizzarli verso un fine chiaro e condiviso. Lo stesso vale, a maggior ragione, nel cyberspazio. Il novero delle minacce cibernetiche si è infatti allargato e approfondito di pari passo con la diffusione e il progresso tecnico delle tecnologie digitali. I sempre più numerosi e potenzialmente distruttivi attacchi hacker, complice l’attuale instabilità geopolitica e il generale deterioramento della sicurezza internazionale, hanno reso palese come tali strumenti possano essere piegati a volontà malevole, tanto per contribuire a realizzare le agende politiche di paesi e attori ostili che per perseguire più prosaici interessi economici di gruppi terroristici e criminali.
La quantità e qualità di dati, anche sensibili, a disposizione online è cresciuta esponenzialmente, il che rende impellente la necessità di proteggerli adeguatamente da «fughe» (leaks) che potrebbero mettere in pericolo la sicurezza e la privacy sia dei singoli individui colpiti che di imprese e istituzioni, strutture pubbliche e private, con difficilmente misurabili ripercussioni sulla stessa sicurezza nazionale del paese oggetto degli attacchi (33). In questo senso, è altresì importante acquisire il concetto di «sovranità digitale» che, lungi dall’essere novella manifestazione di autarchismo postmoderno, si presenta piuttosto come vero e proprio argine di protezione dalle minacciose esondazioni cibernetiche che potrebbero altrimenti minare le fondamenta digitali di sistemi strategici, servizi essenziali e infrastrutture critiche, a grave detrimento della sicurezza dell’intero Sistema-Paese e, in definitiva, dello spazio comune europeo. L’individuazione di interessi comuni si presenta pertanto come il vero nodo da sciogliere perché l’auspicata «autonomia strategica» — in questa sede meglio declinata sotto forma di «sovranità tecnologica» — possa traslare dal piano delle intenzioni a quello dei fatti. E, accanto al quadro delineato dalla «nuova» EU Cybersecurity Strategy, una reale e fruttuosa sinergia con gli ambiziosi obiettivi fissati in questo campo dal più recente Strategic Compass sarà in questo senso decisiva (34).
Dichiarare l’obiettivo, naturalmente, non vuol dire raggiungerlo. L’Europa resta ancora geopoliticamente disomogenea e le spesso inconciliabili percezioni dei propri interessi nazionali rendono difficili, quando non addirittura impossibili, compromessi ottimali. Soprattutto quando si affrontato temi politicamente sensibili, quali quelli legati alle politiche di sicurezza e difesa. E il cyberspazio sembra non fare eccezione, al contrario. Difficoltà invero già note, alle quali l’Unione europea ha in questi anni tentato di rispondere agendo, nello specifico settore, su più piani e a diverse «velocità». Accettando, per esempio, sempre maggiori quote di differenziazione tra i propri membri — talvolta anche al di fuori della cornice giuridica dei Trattati e del quadro istituzionale da questi definito. Il che, se da un lato
consente più ambiziosi avanzamenti verso l’integrazione, dall’altro accentua e consolida pericolose discontinuità all’interno dell’ancora fragile costruzione unionale (35).
Come lo spazio fisico, quello cibernetico è al contempo teatro e oggetto di competizione internazionale, rendendone sicurezza, difesa e controllo problemi di natura eminentemente geopolitica. E di geopolitica anche l’Unione europea ha ripreso a parlare negli ultimi anni. Torna dunque la geopolitica in Europa? Senza dubbio nel vocabolario, ma nei fatti? E infine, sarà davvero realizzabile a Bruxelles quell’uniformità di interessi, bisogni e valori necessaria per agire geopoliticamente? Un’ultima considerazione sia concessa sul punto: la geopolitica, che pur si fonda sull’analisi realistica degli interessi in gioco e dei rapporti di potere, se da una parte consente di perseguire con maggiore efficacia obiettivi concreti e di leggere il mondo per quello che è, dall’altra — se non ricondotta nella cornice di una chiara progettualità politica, di una superiore strategia comune — espone al rischio di trascurare come questo dovrebbe/potrebbe essere. Rischio che l’Unione europea, in quanto realizzazione ancora in larga parte appartenente al domani, dovrà sempre più tenere presente. Colmare lo iato tra progettualità politica, strategia e realtà dei fatti appare altresì compito più arduo che mai, e la risposta a queste domande potrebbe svelare, alla fine, il futuro stesso del progetto europeo. 8
NOTE
(1) Le opinioni espresse dall’autore non sono in alcun modo riconducibili all’Amministrazione di appartenenza e non ne rappresentano necessariamente il pensiero. Ogni posizione è da considerarsi solo ed esclusivamente personale. (2) V., per es., D. Fadda, A. Longo, «Attacco cyber dalla Russia all’Italia: down siti Senato, Difesa, perché è evento grave», Cybersecurity360 (https://www.cybersecurity 360.it/cybersecurity-nazionale/attacco-cyber-dalla-russia-allitalia-down-siti-istituzionali/). (3) CyberTech Europe 2022, Roma, 10-11 maggio 2022 (https://italy.cybertechconference.com). (4) Goverrno Italiano - Presidenza del Consiglio dei Ministri, PM Draghi in the United States, sito istituzionale, 11 maggio 2022 (www.governo.it/it/node/19810). (5) Per una breve panoramica sull’argomento, l’autore si permette di rimandare a J. Colamedici, Moving Towards a More Cybersecure EU. A brief Overview, The CoESPU Magazine, 1-2022 (www.coespu.org/magazine/coespu-magazine-1-2022). (6) D. Aliperto, Cybersecurity, l’Ue stringe sulla Nis2: focus sulla cooperazione, CorCom, 13/05/2022 (https://www.corrierecomunicazioni.it/cyber-security/cybersecurity-lue-stringe-sulla-nis2-focus-sulla-cooperazione). (7) Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union (https://eur-lex.europa.eu/eli/dir/2016/1148/oj). (8) ENISA, Threathunt 2030: How to Hunt Down Emerging & Future Cyber Threats, sito istituzionale, 12 maggio 2022 (www.enisa.europa.eu/news/enisa-news/threathunt-2030-how-to-hunt-down-emerging-future-cyber-threats). (9) European Commission (EC) & High Representative of the Union for Foreign Affairs and Security Policy (HR), The EU’s Cybersecurity Strategy for the Digital Decade, 16/12/2020 (https://digital-strategy.ec.europa.eu/en/library/eus-cybersecurity-strategy-digital-decade-0). (10) EC & HR, The EU’s Cybersecurity Strategy for the Digital Decade, cit., p. 1. (11) Ibid., pp. 4-5. (12) EU Council & European Council, Permanent Structured Cooperation (PESCO)’s projects - Overview, sito istituzionale, aggiornato a novembre 2021 (www.consilium.europa.eu/media/53013/20211115-pesco-projects-with-description.pdf). (13) EC & HR, The EU’s Cybersecurity Strategy for the Digital Decade, cit., p. 5. (14) Ibid., p. 1. (15) Ibid. (16) G. Giacomello, Rischi e minacce nel cyberspazio, in P. Foradori, G. Giacomello (a cura di), Sicurezza globale. Le nuove minacce, il Mulino, Bologna, 2014, p. 239, dove l’Autore fa riferimento a B. Schneier, Beyond Fear: Thinking Sensibly about Security in an Uncertain World, New York, Copernicus Book, 2003. (17) EC & HR, The EU’s Cybersecurity Strategy for the Digital Decade, cit., pp. 2-3. (18) Ibid., p. 4. (19) Ibid. (20) Ibid., pp. 5-12. (21) Ibid., pp. 13-19. (22) Ibid., p. 13. (23) Ibid., p. 14. (24) Ibid., p. 15. (25) Ibid., pp. 16-17. (26) Ibid., pp. 18-19. (27) Ibid., pp. 19-23. (28) V. G. Giacomello, Rischi e minacce nel cyberspazio, cit., pp. 247-249, dove l’autore definisce lo spionaggio online come «uno dei maggiori rischi nel cyberspazio». (29) EC & HR, The EU’s Cybersecurity Strategy for the Digital Decade, cit., p. 24. (30) Cfr. R. Kagan, Of Paradise and Power: America and Europe in the New World Order, Alfred A. Knopf, New York, 2003. (31) Cfr. M. Dassù, A. Missiroli, Europa potenza civile, European Union Institute for Strategic Studies (ISS), 28/03/2002 (www.iss.europa.eu/content/europa-potenzacivile). (32) Cfr. L. Cinciripini, The hybrid response of the EU and NATO to the Russia-Ukraine conflict, Sicurezza, Terrorismo e Società, 15 (2022), pp. 69 e ss. (33) V., su Big Data e diritto alla privacy, J. Colamedici, La privacy nell’era dell’homo digitalis, in N. Rumine, J. Colamedici, Téchne e Privacy. Le sfide della tecnologia alla prova del legislatore, Rassegna dell’Arma dei Carabinieri, 2019-4, pp. 56-62. (34) V. EU Council, A Strategic Compass for Security and Defence - For a European Union that protects its citizens, values and interests and contributes to international peace and security, Bruxelles, 21/03/2022, p. 3 (https://data.consilium.europa.eu/doc/document/ST-7371-2022-INIT/en/pdf). (35) Cfr. N. Pirozzi, M. Bonomi, The Impact of Differentiation on EU Governance: Effectiveness, Sustainability and Accountability, EU IDEA Research Papers, n. 12, EU IDEA, novembre 2021 (https://euidea.eu/2021/11/30/the-impact-of-differentiation-on-eu-governance-effectiveness-sustainability-and-accountability).
