Intervista a Gianluca Luraschi, project manager dell’Agenzia europea per la sicurezza marittima (EMSA) sulla nuova strategia per la sicurezza marittima dell’UE: “Io credo che oggi in Europa manchi una visione anche nel settore marittimo. Per disegnare una strategia occorrerebbe partire da un’analisi geopolitica. Inoltre, le aziende private in Francia e Grecia, che si occupano di sicurezza, sia perché stanno sviluppando delle tecnologie o hanno elaborato dei servizi, riescono a sfruttare meglio i fondi. In Italia c’è un gap da colmare”.
Fino al 99% dei flussi globali di dati sono trasmessi attraverso cavi sottomarini, che sono oggetto anche di minacce cyber e ibride. E punta a proteggerli maggiormente la nuova strategia per la sicurezza marittima dell’UE adottata, il mese scorso, dalla Commissione europea e l’Alto rappresentante dell’Unione per gli Affari esteri e la Politica di sicurezza insieme al relativo piano d’azione.
Per saperne di più, abbiamo intervistato chi ha contribuito alla revisione della strategia rafforzata per la sicurezza marittima dell’UE: Gianluca Luraschi, project manager dell’Agenzia europea per la sicurezza marittima (EMSA).
Cybersecurity Italia. Quali sono i principali obiettivi della nuova strategia?
Gianluca Luraschi. Per capire gli obiettivi occorre capire il contesto. Una comunicazione congiunta tra Commissione ed European External Action Service è un documento politico che definisce le priorità che l’EU si sta dando sulla sicurezza marittima. Queste priorità verranno usate per stabilire i criteri per finanziare progetti, supportare le operazioni marittime che gli Stati membri dell’Unione intendono realizzare, e se necessario legiferare.
La Commissione e l’Alto rappresentante riconoscono che le minacce e le sfide alla sicurezza si sono moltiplicate dall’adozione della prima versione della strategia per la sicurezza marittima dell’UE nel 2014. Ad attività illecite come la pirateria, il traffico di migranti e il traffico di esseri umani, armi e stupefacenti, pesca illegale nonché il terrorismo, che rimangono sfide critiche, si sono aggiunte nuove minacce come i cambiamenti climatici e il degrado dell’ambiente marino, e gli attacchi ibridi e cyber. Per cercare di affrontare queste minacce l’European Union Maritime Security Strategy (EUMSS) suggerisce che gli Stati membri dell’Unione dovrebbero lavorare nei prossimi anni in diverse direzioni:
- intensificare le attività coordinate in mare e rafforzare le ispezioni di sicurezza nei porti.
- Collaborare con i partner internazionali (in particolare NATO).
- Migliorare la capacità di monitorare le acque territoriali.
- Stabilire un piano per la gestione dei rischi e delle minacce.
- Potenziare la capacità di risposta con mezzi, progetti e tecnologie comuni.
- Formare personale qualificato che possa affrontare le nuove sfide.
Cybersecurity Italia. Fino al 99% dei flussi globali di dati sono trasmessi attraverso cavi sottomarini, che sono oggetto anche di minacce cyber e ibride. La nuova strategia in che modo prevede di mettere i cavi sottomarini maggiormente in sicurezza dal punto di vista cibernetico?
Gianluca Luraschi. Vi invito a fare un esercizio:
- Aprite una mappa che mostri le Exclusive Economic Zone (EEZ) dei vari Stati Membri dell’Unione. Per esempio con il servizio di EMODnet della Commissione.
- Aprite poi il servizio di EMODnet chiamato map viewer ed iniziate a selezionare layers come: pipelines, cables, …
Vi rendete subito conto che è impossibile monitorare le tante infrastrutture dislocate in un’area così vasta ed eterogenea (dall’Artico al Mediterraneo, dall’Atlantico al Mar Nero o Baltico).
L’unico modo con il quale si può svolgere questo delicato compito è attraverso la creazione di servizi intelligenti che possano correlare informazioni per allertare proattivamente centri preposti al monitoraggio dei mari.
Cybersecurity Italia. La nuova strategia è stata adottata anche in seguito all’attacco al gasdotto Nord Stream 2 dello scorso settembre? Se sì, come proteggerà infrastrutture critiche così importanti?
Gianluca Luraschi. Il processo di revisione dell’EUMSS è iniziato prima dell’attacco al Nord Stream 2 e della guerra in Ucraina. Ovviamente questi due eventi ne hanno condizionato la sua elaborazione.
Per capire come si possano proteggere infrastrutture critiche in mare integro quanto detto nella precedente risposta con un esempio. Supponiamo che un gruppo di terroristi intenda manomettere una piattaforma off-shore. Spesso questi tipi di attacchi sono anticipati da cyber-attacchi ai segnali GPS, GNSS, o spoofing e jamming delle posizioni di navi. Essere capaci di identificare queste situazioni può aiutarci a prevenire ed agire tempestivamente.
Per quanto riguarda la capacità di rispondere ad una minaccia occorre considerare che in mare brevi distanze richiedono tempi lunghi per essere percorse. Le tempistiche con le quali si fanno gli interventi sono cruciali per il loro successo. Quindi è necessario posizionare gli assetti in modo strategico. Coordinare questa attività con gli Stati limitrofi nell’Unione Europea in modo da trovare sinergie è cruciale per controllare aree marittime vaste con mezzi limitati.
Cybersecurity Italia. Sono previste, periodicamente, esercitazioni marittime reali e la cooperazione con i partner per proteggere le infrastrutture marittime critiche e delle navi (comprese le navi passeggeri) dalle minacce anche informatiche?
Gianluca Luraschi. Non solo sono previste, ma un nuovo approccio è in corso di definizione. Fino ad oggi le operazioni marittime sono state gestite settorialmente. Per esempio le marine militari, come le Autorità che si occupano di law enforcement (in Italia la Guardia di Finanza), e quelle che si occupano di contrastare la pesca illegale hanno nel corso degli scorsi anni lavorato per coordinare settorialmente interventi in mare. Veri e propri framework settoriali sono stati creati come SafeSeaNet, MARSUR o EUROSUR. Qualcosa sta cambiando. Ci si sta rendendo sempre più conto che è difficile stabilire dove finisce una responsabilità e ne inizia un’altra. Si pensi per esempio alla tragedia di Cutro, in Calabria, è difficile tirare una linea tra un’operazione contro l’immigrazione illegale o di soccorso (SAR). Grazie a nuove infrastrutture informatiche che consentono l’interoperabilità tra sistemi, come il Common Information Sharing Environment (CISE), si sta affermando l’esigenza di un nuovo approccio in cui la cooperazione tra le diverse Autorità dovrà avvenire non solo tra diversi Stati (cross- border) ma anche tra diversi settori (cross-sector). Marina Militare italiana, Guardia di Finanza ed Armada spagnola possono mettere a sistema le rispettive capacità operative ed informatiche per monitorare, analizzare, e rispondere ad eventi nell’Adriatico occidentale. Questo permetterà da un lato di moltiplicare le fonti di dati che si hanno a disposizione durante un’operazione e dall’altro di far uso di servizi sviluppati dalle varie autorità, ottimizzando le risorse finanziarie.
Cybersecurity Italia. L’autonomia strategica dell’UE è determinata, oltre all’aria, terra, allo spazio extra-atmosferico e al cyberspazio, anche dal dominio subacqueo messo in sicurezza più efficacemente?
Gianluca Luraschi. Quando parliamo di autonomia strategica non dobbiamo dimenticarci che L’Unione Europea (UE) è un’unione politica ed economica di 27 Stati. L’UE opera attraverso un sistema di istituzioni sovranazionali e processi decisionali intergovernativi. Quindi l’autonomia strategica dell’Unione Europea deve tenere conto degli interessi di tutti i Paesi che la compongono. Ci sono situazioni in cui gli interessi di un Paese non coincidono con quelli di un altro, sia perché le priorità sono diverse, sia perché alcuni Paesi potrebbero avere interessi divergenti. In questo senso c’è ancora molto da fare in tutti gli ambiti identificati: terra, mare, aria, spazio, cyber-spazio e dominio subacqueo. In particolare per quanto riguarda il dominio subacqueo, che rappresenta una sorta di far-west parzialmente regolamentato con l’istituzione delle zone economiche esclusive, occorre ricordare che c’è anche un problema tecnologico. Ad oggi non ci sono ancora le tecnologie per esplorare e sfruttare le risorse subacquee. È più facile andare nello spazio che scandagliare gli abissi marini.
Cybersecurity Italia. Qual è la visione e quali sono gli investimenti economici per fare ricerca e sviluppare tecnologie di difesa nel settore marittimo?
Gianluca Luraschi. Il settore marittimo è abbastanza vasto, e gli ambiti di ricerca enormi. L’Italia è in prima linea con diversi progetti. Per quello che concerne il tema di cui mi occupo, monitoraggio dei mari, come dicevamo è tempo di costruire sistemi che sappiano in modo intelligente correlare tutte le informazioni che vengono acquisite (posizioni delle navi, immagini satellitari, video, dati oceanografico e meteorologici) e in real time identificare possibili minacce. L’intelligenza artificiale può essere messa al servizio degli ufficiali marittimi che nei vari centri operativi dislocati in tutta Europa devono continuamente prendere decisioni importanti, e che spesso determinano la vita o morte di persone.
Cybersecurity Italia. Infine, gli Stati membri entro quanto tempo e in che modo possono approvare la nuova strategia europea per la sicurezza marittima?
Gianluca Luraschi. All’EUMSS è associato un fondo Europeo gestito dal Direttorato del MARE (DG-MARE), European Maritime Fisheries Aquaculture Fund (EMFAF). C’è una azione all’interno del fondo (azione 4) che finanzia attività relative alla sicurezza marittima.
Lo scorso novembre ogni Stato interessato ad usufruire di questo fondo ha definito le proprie priorità (EMFAF programmes 2021 – 2027 (europa.eu)).
Le aziende private che si occupano di sicurezza, sia perché stanno sviluppando delle tecnologie o hanno elaborato dei servizi, dovrebbero contattare le Autorità pubbliche per fare partnership. In questo senso c’è un gap da colmare, la capacità di elaborare proposte da parte dell’Italia. Altri Paesi come la Francia o la Grecia sono molto più avanti di noi e riescono a sfruttare meglio i fondi europei.
Ovviamente i finanziamenti Europei sulla sicurezza marittima non si limitano all’EMFAF, anzi questo fondo copre una piccola percentuale, ma la struttura di questo fondo mi permette di affrontare un altro punto.
Questo fondo legato alla sicurezza marittima è inquadrato all’interno degli obiettivi della pesca. La logica con la quale era stato attribuito ad un direttorato (DGMARE) che si occupa di aspetti orizzontali dei mari non è sbagliata, la sicurezza è un tema trasversale non può essere circoscritto ad un settore come difesa, law enforcement, ambiente o quant’altro, però per come è stato disegnato è difficile da sfruttare. In molti Paesi, compresa l’Italia, questo fondo legato alla pesca è gestito dal ministero dell’Agricoltura. Capite bene le difficoltà che Autorità come le Marine Militari, Guardia di Finanza possono avere per accedere a questo fondo.
In sostanza, questo dimostra quanto lavoro ci sia ancora da fare per riconoscere e gestire una sfida enorme come quello della sicurezza marittima.
Cybersecurity Italia. Cos’altro vuole aggiungere?
Gianluca Luraschi. In ambito della sicurezza marittima ci sono due importanti documenti che sono stati recentemente pubblicati uno è l’European Union Maritime Security Strategy (della Commissione) e il secondo è “a strategic compass for security and defence” (European External Action Services) per chi fosse interessato ad approfondire l’argomento invito a leggerli entrambi.
A mio modo di vedere questi documenti descrivono più le minacce a cui siamo sottoposti piuttosto che definire una strategia. Io credo che oggi in Europa manchi anche nel settore marittimo, di una visione. Per disegnare una strategia occorrerebbe partire da un’analisi geopolitica. Per esempio, le minacce da affrontare nel Mediterraneo occidentale, centrale, orientale, e Adriatico non sono uguali e non hanno la stessa urgenza o impatto. In aggiunta, la gestione delle competenze tra le Autorità che si occupano di questioni marittime è diversa da Stato a Stato. In Francia, per esempio, la Marina Militare è incaricata di tutte le competenze mentre in Italia queste competenze sono divise tra Marina Militare, Guardia di Finanza e Guardia Costiera.
Il mondo sta cambiando, la globalizzazione degli anni 90’ o di inizio secolo non c’è più, è necessario fare i conti con un nuovo ordine mondiale basato sulla regionalizzazione della globalizzazione. In questo contesto il progetto dell’Unione Europea risulta troppo complesso se si limita ad essere un accordo tra Stati e troppo modesto se si vogliono affrontare le sfide, che abbiamo accennato in questa intervista, da protagonisti.
Per approfondire:
Clicca qui per vedere l’intervento di Gianluca Luraschi al nostro CyberSec2023.