Decreto Aiuti, l’Italia può contrattaccare sugli attacchi informatici

Cybersecurity, possibile contrattaccare in caso di attacco informatico: che cosa significa, in pratica?

Nella strategia di difesa cibernetica del nostro Paese, resa sempre più urgente dall’incremento esponenziale degli attacchi cyber e dalla guerra in corso, il c.d. decreto Aiuti ha aggiunto un elemento fondamentale.

All’art. 37, il decreto prevede infatti che se il nostro Paese verrà colpito da un attacco cyber, potrà contrattaccare, ovvero adottare misure di intelligence di contrasto in situazioni di emergenza o di crisi a fronte di minacce alla sicurezza nazionale non fronteggiabili con sole misure di resilienza. Non più quindi, solo una strategia difensiva in prevenzione ed in contenimento dei danni, ma anche una strategia di contro attacco. La forza di questa disposizione, se da un lato ci aiuta a comprendere l’importanza della materia, che ormai non può e non deve restare confinata ai soli addetti ai lavori, ma riguarda la vita di chiunque, dall’altro lato si scontra contro quelli che sono e saranno dei limiti oggettivi alla portata della norma stessa. Innanzi tutto sarà necessario, prima di poter contrattaccare, sapere contro chi o che cosa sferrare l’attacco, e non è sempre agevole identificare i responsabili di un’incursione informatica che crea danni ai sistemi del Paese. In secondo luogo, è evidente che si dovrebbe trattare di una ritorsione analoga, dunque informatica, secondo il noto adagio “occhio per occhio”.

Ma la pericolosità degli attacchi informatici non è solamente di carattere economico: attaccare i sistemi informatici di un’azienda pubblica o di un ente serve non solo a mettere fuori uso la struttura cyber, ma può ed anzi nella maggior parte dei casi è proprio ciò che si verifica, creare danni nel mondo reale. Danni anche particolarmente ingenti, che possono tradursi addirittura nella perdita di vite umane. Si pensi, ad esempio, all’attacco ai danni di un grande ospedale, con interruzione del funzionamento delle macchine, che potrebbe tradursi nell’interruzione del servizio, ed anche di servizi vitali, per migliaia di pazienti e malati. Vero è che si tratterebbe di una strategia offensiva “virtuale” e non reale, ma se la norma costituzionale che ripudia la guerra come mezzo di risoluzione delle controversie resta valida e di rango superiore rispetto a qualsiasi decreto o legge inferiore, e così dovrebbe essere trattandosi di un principio fondamentale (art.11), come può raccordarsi con una autorizzazione a porre in essere “atti di guerra”, ancorché informatica, ed atti che possono mettere a repentaglio altrui vite?Un ulteriore problema riguarda la valutazione della gravità dell’evento che può giustificare un attacco ritorsivo.

La norma parla di “minaccia alla sicurezza nazionale”, ma che cosa rappresenti una minaccia di tale portata è difficile da dire, in quanto il concetto stesso di “sicurezza nazionale”, tanto caro agli Stati Uniti d’America, nel nostro Paese è sfuggente e poco giuridico (non risulta, infatti, alcuna definizione giuridica di “minaccia” alla sicurezza nazionale, che finisce per colorarsi di una sfumatura prettamente politica. Sarà dunque discrezionale, ed estremamente dipendente dalle circostanze geopolitiche del momento capire se un determinato attacco rappresenti o meno una minaccia alla sicurezza nazionale: ad esempio, quello che in periodo di pandemia, con gli ospedali sotto stress e le strutture sanitarie al collasso potrebbe essere un vero e proprio attentato allo Stato, potrebbe essere valutato diversamente in situazioni di normale carico ospedaliero. Infine, resta da chiarire che cosa siano le misure di intelligence invocate dalla norma, se si possa parlare di un vero e proprio attacco “alla luce del sole”, ovvero se si debbano intendere le operazioni sotto copertura, perpetrate dagli 007 nostrani, i quali, anche senza l’introduzione dell’articolo in commento, già prima (probabilmente) ponevano in essere le medesime misure di intelligence che sono peraltro intrinsecamente legate alla natura stessa di un attacco cyber, che raramente avviene in maniera pubblica e ancora più raramente è rivendicato da un soggetto specifico, come si diceva poco sopra.

Avv. Luisa Di Giacomo

Scrivi un commento

Accedi per poter inserire un commento