Il governo rafforza la capacità di contrattacco cyber in caso di pericoli cibernetici che mettano a rischio la sicurezza nazionale o per aiutare un Paese alleato vittima di un cyber attacco. È il premier ad ordinare all’AISE e l’AISI di premere il tasto rosso.
Rafforzare la normativa italiana che consente agli 007 di rispondere a un attacco cyber, se l’attaccante è ben identificato, quando è a rischio la sicurezza nazionale e le azioni di cyber resilienza non sono sufficienti.
Questa novità è prevista dall’articolo 37 “misure di intelligence di contrasto in ambito cibernetico” del decreto Aiuti bis, approvato il 4 agosto dal Consiglio dei ministri ed in vigore dal 10 agosto 2022.
Quando l’Intelligence può rispondere a un cyber attacco?
Il testo prevede che sia il premier, acquisito il parere del Comitato interministeriale per la sicurezza della Repubblica e sentito il l Copasir, ad ordinare all’Intelligence di premere il “tasto rosso” per avviare il cyber attacco. Ma solo in determinate situazioni:
- “In caso di crisi o di emergenza cibernetica a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale”.
Per questa attività offensiva in ambito cyber, gli 007 devono anche avvalersi della cooperazione del Ministero della Difesa, si legge nel testo del decreto legge, secondo il quale è il DIS (il Dipartimento delle informazioni per la sicurezza) ad assicurare il coordinamento delle operazioni di contrattacco informatico.
Il famoso “tasto rosso” è previsto già dall’articolo 5 della legge del Perimetro, ma il nuovo decreto disciplina operativamente come il premier può ordinare di farlo schiacciare.
A normativa vigente gli 007 possono già rispondere a un cyber attacco, allora qual è la novità?
La normativa italiana che disciplina il contrattacco cyber viene rafforzata: questa la parola chiave per comprendere la novità. Sul tema è già intervenuto, il giorno della presentazione della strategia nazionale di cybersicurezza, Franco Gabrielli. Il sottosegretario con delega alla sicurezza della Repubblica e alla cybersicurezza ha spiegato che la difesa pro-attiva o legittima come risposta a un attacco cibernetico “è già possibile a legislazione vigente ed è l’Intelligence che può svolgere quest’attività di contrattacco cyber”.
L’articolo 37 del decreto Aiuti disciplina il tutto più nel dettaglio, prevedendo meglio:
- “Il procedimento di autorizzazione, le caratteristiche e i contenuti generali delle misure che possono essere autorizzate in rapporto al rischio per gli interessi nazionali coinvolti, secondo criteri di necessità e proporzionalità”.
Concretamente, è e saranno solo l’AISE (Agenzia informazioni e sicurezza esterna e l’AISI (Agenzia informazioni e sicurezza interna) a poter contrattaccare a un attacco cyber, dopo aver ricevuto il parere favorevole dal presidente del Consiglio dei ministri: il premier a sua volta dovrà informare il Copasir che, a due anni dall’entrata in vigore delle nuove norme trasmetterà “alle Camere una relazione sull’efficacia” delle stesse.
In sostanza, il decreto Aiuti recepisce le misure 40 e 45 della strategia nazionale cyber 2022-2026.
Sul contrattacco cyber ecco cosa prevede la misura 40.
Mentre sulla deterrenza in ambito cibernetico, la misura 45 stabilisce di “rafforzarla… in ragione degli scenari in atto”, perché è sempre più concreto essere vittime di una cyberwarfare.
Contrattacco cyber anche per aiutare un Paese alleato
Il decreto legge specifica anche l’attività di contrattacco cyber “in attuazione di obblighi assunti a livello internazionale”. Quindi per aiutare un Paese alleato vittima di un cyber attacco. Qui il riferimento è al nuovo articolo 5 del Trattato NATO, secondo il quale il mutuo soccorso tra i Paesi alleati è ora possibile anche in caso di attacchi informatici. “Questa risposta non sarà automatica, ma la NATO valuterà caso per caso”, ha spiegato David van Weel, Assistant Secretary General for Emerging Security Challenges della NATO al CyberSec2022.