Rispetto al passato, di cui costituisce evoluzione, il piano europeo per la cybersecurity presenta però novità importanti, precipitato delle recenti evoluzioni, regolatorie e dei mercati: ecco tre esempi.
Oggi la Commissione europea ha annunciato il piano per la costituzione di una Joint Cyber Unit (JCU), che sarà costituita nel 2022 e sarà pienamente operativa nel giugno 2023. Si tratta di un ulteriore passo di una più ampia e completa strategia europea per la cybersecurity, attuata non solo dalle istituzioni UE ma anche dall’apposita agenzia europea per la cybersecurity (ENISA), che alla JCU offrirà supporto. La Joint Cyber Unit sarà piattaforma fisica e virtuale di cooperazione, finanziata dalla Commissione.
La Joint Cyber Unit pienamente operativa nel 2023
L’azione europea sulla cybersecurity è stata tardiva (la strategia complessiva è del 2020 e l’ha adottata l’attuale Commissione, la proposta di una JCU risale al 2019); è tempo di recuperare. Lo fanno gli Stati membri, e l’Italia è un benchmark, con le norme in evoluzione sul perimetro di sicurezza cibernetica e la costituenda Agenzia nazionale. Lo fa la Commissione, con una raccomandazione, atto solo formalmente non vincolante gli Stati membri, che individua forme specifiche di coordinamento. Le quali non seguono i percorsi classici della legislazione europea, direttive (all’epoca) o regolamenti (oggi): i tempi legislativi (18-24 mesi) sono necessari per garantire il contemperamento degli interessi dell’Unione, degli Stati e dei popoli (rappresentati da Commissione, Consiglio UE e Parlamento UE, rispettivamente) ma sono poco compatibili con le necessità operative di intervento rapido. E quindi: ‘circolo regolatorio’. Dai mercati nascono le best practices che le autorità trasformano in benchmark che diventano regole. Da qui nasce l’esigenza dell’agenzia nazionale per la cybersecurity, e si giustifica il coordinamento europeo. Per il quale esistono già le norme e le competenze; esecutive appunto.
Non si tratta di inventare ma di replicare, in parte, modelli esistenti che si sono rivelati efficaci: il sistema di allarme rapido realizzato con l’agenzia europea per la sicurezza alimentare costituita a seguito di un’altra pandemia (‘mucca pazza’) ha evitato molte altre crisi, anche più pericolose. Modello che potrebbe replicarsi anche per la sanità (i poteri, la Commissione li ha). E ancora: esiste un esercito europeo, in nuce, e un coordinamento europeo di quelli nazionali. Esiste e si è sviluppata sul piano legislativo ma anche giurisprudenziale una competenza unionale e un coordinamento nelle materie della giustizia e degli affari interni. Insomma, competenze dell’Unione che vengono esercitate con ‘convinzione progressiva’, e che portano a una ‘regolazione a cooperazione rafforzata’, forma esecutiva di quella prevista dai Trattati europei che ha consentito il superamento del metodo intergovernativo.
Il piano europeo per la cybersecurity: le tre novità
Rispetto al passato, di cui costituisce evoluzione, il piano europeo per la cybersecurity presenta però novità importanti, precipitato delle recenti evoluzioni, regolatorie e dei mercati. Tre esempi, tra tutti. Il primo: la piattaforma di coordinamento delle risposte e di condivisione delle risorse è aperta a polizia anticrimine, agenzie informatiche, strutture diplomatiche, servizi militari, società di sicurezza informatica. E impone, di fatto, un coordinamento analogo anche agli Stati membri: non solo dunque tra strutture pubbliche ma anche private. Regolazione pubblica e privata come vasi comunicanti, dove la prima interviene quando la seconda non è adeguata: sussidiarietà regolatoria, applicata.
Il secondo esempio concerne il sistema di allarme rapido, che non consente solo – come nelle esperienze passate – un intervento di Stati e autorità per limitare il perimetro (del contagio, o dell’attacco) ed evitarne la propagazione, ma prevede un aiuto concreto, immediato e specifico da parte degli Stati (e delle autorità) non destinatarie degli attacchi a sostegno di chi deve combatterli. Quasi un sistema di ‘legittima difesa collettiva’ in reazione all’uso della forza (art. 51, Carta delle nazioni Unite). Il cambio di paradigma è evidente, come chiare sono le conseguenze. Entità e dislocazione delle difese sono essenziali sia per reagire nell’immediato agli attacchi, sia per prevenirli, con rapporti regolari sulle minacce, piani di emergenza, accordi di condivisione delle informazioni tra le autorità, e tra queste e le società private di sicurezza informatica.
E veniamo così al terzo esempio della novità dell’intervento: il piano di azione comune europeo si fonda su cooperazione tra autorità nazionali ed europee, e tra autorità nazionali: cooperazione verticale e orizzontale. La prima, ampiamente sperimentata, e con successo, nella regolazione europea degli ultimi venti anni. La seconda, poco praticata, in Italia, dove i protocolli di coordinamento tra Autorità sono generali (e a volte generici) e privi di strutture e modalità applicative adeguate.
E’ auspicabile ora che la trasversalità del tema (il digitale non è più un ‘silos verticale’ ma il sostegno su cui si fondano tutti i verticali e la cybersecurity è a sua volta uno dei pilastri dell’evoluzione digitale) acceleri questo processo di coordinamento. La ‘matrice regolatoria’ non esiste più e i silos si avvicinano o si separano a seconda dell’evoluzione delle tecnologie, e nei vuoti s’inserisce il mercato, che cresce così non regolato. Progressività (e proporzionalità) degli interventi in materia di cybersicurezza e cooperazione regolatoria rafforzata dovrebbero consentire di superare la retorica del ‘too big to care’. Siamo solo ai primi passi, ma decisi.
L’autore: Fabio Bassan, professore ordinario di Diritto Internazionale all’Università Roma Tre