“La guerra cibernetica non è solo guerra dell’informazione. C’è sicuramente un problema di manipolazione delle coscienze, di propaganda e fake news, ma non c’è solamente il suono della tastiera in sottofondo. Pensare che si tratti di una guerra meno letale rispetto a quelle cui siamo abituati è illusorio” afferma ad Agenda17 Stefano Pietropaoli, docente di Informatica giuridica presso l’Università di Firenze e membro del Cybersecurity National Lab del Consorzio interuniversitario nazionale per l’informatica (Cini).
Il concetto di cyber war fa riferimento a una guerra combattuta nello spazio cibernetico. È tuttavia importante fare alcune distinzioni. Per questo abbiamo chiesto al docente, intervenuto sul tema nel seminario sulla guerra in Ucraina promosso da Unife, di spiegarci le sue caratteristiche e le possibili conseguenze, con uno sguardo anche alla situazione del nostro Paese.
La guerra cibernetica è reale quanto un conflitto armato, ma protagonisti e cause spesso restano ignoti
Secondo Pietropaoli, quella in corso in Ucraina è già una guerra mondiale, pianificata da anni e combattuta in una forma diversa rispetto a quella tradizionale.
“La guerra informatica – afferma – si inserisce in un processo di trasformazione del concetto di guerra che ha inizio con la sottoscrizione del patto di Briand-Kellogg, che, mettendo al bando la guerra come mezzo di risoluzione delle controversie internazionali, ha causato il mancato riconoscimento come guerre dei tanti conflitti (che di fatto sono guerre) dal 1928 a oggi.”
È in questa dinamica che si inserisce la guerra cibernetica: oltre a non essere riconosciuta e definita come vera e propria guerra, spesso non consente nemmeno di individuare aggressori, bersagli, modalità di attacco, obiettivi e motivazioni. A volte non si sa nemmeno quando inizia.
La novità in Ucraina è la “guerra ibrida”. Aerei, treni, dighe ed energia nel mirino
“Il caso dell’attuale conflitto – continua il giurista – ne è una conferma, perché in realtà è iniziato molto tempo fa ed è stato pianificato da almeno un anno. Certi attacchi informatici, infatti, richiedono una preparazione molto lunga e complessa.”
La prima guerra di questo tipo è stata combattuta dalla Russia contro l’Estonia nel 2007-08. Un caso importante fu poi quello di Stuxnet, un virus informatico che, nel 2007 e 2009, ha colpito una centrale nucleare iraniana con lo scopo di rallentare il programma nucleare del Paese. “Da Stuxnet – afferma Pietropaoli – avremmo dovuto imparare molto: il virus è riuscito a creare danni equiparabili a quelli che sarebbero stati prodotti da un bombardamento.
È di questo che dobbiamo parlare, non di una guerra virtuale sganciata dalla realtà. Grazie alle tecnologie informatiche si possono dirottare aerei, bloccare il traffico ferroviario, aprire le chiuse di una diga, tagliare i rifornimenti di gas ed elettricità di un Paese e dietro tali iniziative, rese possibili dalla tecnica, ci sono precise scelte politiche.
In tutto ciò, svanisce la possibilità di limitare la conflittualità bellica. Era infatti molto più facile, per quanto in sé complesso, cercare di limitare la violenza bellica quando c’erano gli eserciti che combattevano, con una netta distinzione tra combattenti e civili, tra guerra e pace.
Oggi, invece, la vera novità è che alla guerra classica si affianca il piano cibernetico, cioè accanto a carri armati e bombardamenti ci sono gli attacchi informatici. Si realizza così quel modello di guerra ibrida da cui si parla da almeno un decennio e nella quale il diritto stesso temo possa fare poco.”
Meno potere al diritto internazionale, ma gli Stati rimangono importanti
La questione principale è capire chi è in grado di governare queste tecnologie.
“Da una parte – continua Pietropaoli – gli attori in campo non sono più soltanto gli Stati. È significativo che l’unica dichiarazione di guerra di cui si è parlato sia quella di Anonymous, che se lo può permettere in quanto associazione non statuale, nei confronti del governo russo.
In realtà non siamo sicuri che Anonymous sia soltanto una comunità di attivisti. Per realizzare certi attacchi non basta infatti un’organizzazione di privati con competenze tecnologiche specialistiche, ma è lecito pensare che dietro vi sia un’entità con una determinata struttura e una maggiore capacità politica.
Dall’altra parte, però, gli Stati mantengono un ruolo fondamentale. Lo vediamo nella politica russa degli ultimi giorni: l’idea di chiudere l’accesso al web per come lo abbiamo conosciuto, creando una Intranet che rende difficoltosi gli attacchi dall’esterno e consente di gestire l’informazione internamente, testimonia la presenza di un ruolo importante dello Stato.
Non dobbiamo dimenticare che tutti i dati sono ubicati nei server e, di fatto, chi controlla fisicamente quei server ha un potere enorme. È certamente possibile tagliare fuori da Internet una serie di soggetti, ma il peso degli Stati rimane forte e quello che sta accadendo in Russia risolleva la questione attorno al ruolo del diritto.
In una situazione in cui non si sa chi fa cosa, infatti, il diritto spunta le sue poche armi. Credo si debba recuperare un’idea della rete come strumento per tutelare ed esercitare i diritti umani. È un’idea difficile da perseguire, ma si potrebbe agire pensando ad esempio a una sezione specializzata delle Nazioni unite che si occupi di queste tematiche, che riguardano problemi planetari.
Per ora le Nazioni unite non hanno imboccato questa strada, anzi mi sembra che la guerra in Ucraina sia l’ultima testimonianza di una loro sostanziale impoliticità. Dobbiamo prendere atto di questa crisi, che inevitabilmente è anche crisi del diritto.”
L’Italia sta investendo per proteggersi da attacchi hacker. Più esposti i privati
Il Computer Security Incident Response Team Italia (Csirt-Ita) ha recentemente evidenziato un significativo rischio cyber a carico di infrastrutture connesse con il cyberspazio ucraino, soprattutto enti, organizzazioni e aziende che intrattengono rapporti con soggetti ucraini.
“Nonostante l’Italia – continua il docente – non sia attrezzata a reggere un attacco cibernetico su larga scala, da alcuni anni stiamo lavorando per proteggere i centri nevralgici dello Stato da attacchi informatici.
Nell’insieme credo che il nostro Paese non sia impreparato. Sarebbe poco generoso negare che non si stia facendo un grosso lavoro: sono state impegnate delle risorse in tal senso e, per fortuna, è un pericolo che non scopriamo oggi, perché sarebbe davvero troppo tardi.”
La sicurezza cibernetica è uno dei temi inseriti nel Piano nazionale di ripresa e resilienza (Pnrr). Nel 2018 il nostro ordinamento ha recepito la direttiva europea Network and Information Security (NIS), che stabilisce misure comuni per la sicurezza informatica all’interno dell’Unione. Nel 2019 è stato poi adottato un decreto legge che istituisce un perimetro di sicurezza nazionale cibernetica e misure per garantire i necessari standard di sicurezza.
Sarà l’Agenzia per la cybersicurezza nazionale (Acn), istituita nel 2021, ad attuare l’investimento previsto dal Pnrr su tre piani: sviluppare le capacità di cyber resilience in tutto il Paese, rafforzare le capacità nazionali di certificazione tecnologica e potenziare le capacità cyber della Pubblica amministrazione.
“Rimane molto da fare – conclude Pietropaoli –. I centri nevralgici devono ancora essere protetti in maniera efficace, ma da questo punto di vista la pandemia ha addestrato molte competenze. Durante il Covid-19, infatti, abbiamo assistito a una serie di attacchi di natura soprattutto economica (ad esempio il blocco di interi sistemi informatici per ottenere un riscatto), le cui tecniche sono usate oggi contro i server russi, bielorussi, ucraini e via dicendo.
Nonostante le attuali minacce siano di natura soprattutto politica, infatti, la strategia di attacco è frutto di anni di addestramento e la pandemia ha ulteriormente preparato sia gli attaccanti sia i difensori.
Il problema principale, però, rimane nel privato. Oggi è meglio avere una buona password per i propri dati che una buona serratura alla porta di casa e si tratta soprattutto di un lavoro culturale, di educazione e consapevolezza. Viviamo nell’epoca della privacy ma i primi a violarla siamo noi stessi, ad esempio installando applicazioni per divertimento senza capire che così stiamo aprendo le porte di accesso alle nostre foto, ai nostri dati, alla corrispondenza e ai contatti, che poi magari vengono trasmessi in porti non sicuri dislocati in tutto il Mondo.”