“Sarebbe auspicabile inoltre che l’Agenzia per la Cybersicurezza Nazionale (ACN) potesse disporre di un approccio olistico e multidisciplinare alle questioni della cybersecurity che potrebbe essere garantito da un Think Tank, composto da esperti di geopolitica, economia e diritto internazionale.” Intervista ad Annita Sciacovelli, prof.ssa di Diritto dell’Unione europea dell’Università di Bari e cybersecurity specialist.
Il crimine informatico continua a a far parlare di sé. Dopo l’ultimo eclatante colpo del ransomware REvil alla Kaseya il gruppo di criminal hacker ha alzato un polverone attirando l’attenzione di molti governi e rispettivi apparati di sicurezza. Da martedì la banda REvil sembra scomparsa: siti web, infrastrutture e computer riconducibili a questi cybercriminali sono offline. I motivi sono ignoti ma le ipotesi sono sostanzialmente tre. Abbiamo fatto una chiaccherata con Annita Sciacovelli, prof.ssa di Diritto dell’Unione europea dell’Università degli studi di Bari ‘Aldo Moro’ & cybersecurity specialist, per capire lo stato dell’arte del crimine informatico in Italia e nel mondo.
Cybersecurity Italia. Prof.ssa Sciacovelli, REvil, il gruppo di hacker russi più grande e pericoloso al mondo è sparito dal web. Nessuno, al momento, conosce la genesi del black-out. Secondo lei cosa è successo? A chi dobbiamo attribuire la scomparsa del gruppo ransomware più ricco e famoso al mondo. Biden o Putin?
Annita Sciacovelli. Effettivamente, non è chiaro il motivo della scomparsa dal dark web di tutte le pagine e del portale di REvil. Escluderei un intervento di law enforcement delle autorità russe, che altrimenti sarebbe stato ampiamente pubblicizzato. Possiamo formulare qualche ipotesi, come la scelta della cyber gang di assumere un profilo basso o di apparire successivamente con un altro brand. Raramente, le cyber gang spariscono. Peraltro, all’indomani del duro colpo inferto alla Colonial Pipeline, anche il gruppo DarkSide si è dileguato. Un’altra ipotesi può riguardare una cyber retaliation del Governo americano, minacciata la settimana scorsa durante il confronto tra Putin e Biden che sembra essersi materializzata nel recentissimo attacco cyber al ministero della difesa russo. Infine, non possiamo escludere che Putin abbia chiesto a REvil di uscire di scena temporaneamente, il che giustificherebbe la matrice russa dell’attacco.
Cybersecurity Italia. Dopo i gravi attacchi informatici alle infrastrutture critiche, uno su tutti l’attacco al Colonial Pipeline, qual è l’approccio migliore per affrontare la minaccia ransomware?
Annita Sciacovelli. L’approccio migliore si basa sul motto che la cybersecurity è troppo importante per considerarla appannaggio esclusivo degli …’addetti a lavori’! Bisogna sollecitare il mondo politico e l’opinione pubblica sulle gravi conseguenze derivanti dagli attacchi informatici che, se condotti su ampia scala, sono una minaccia alla pubblica sicurezza dello Stato, pericolosa anche per il comparto economico e sanitario (v. Estonia 2007, Ucraina 2017 e Georgia 2019).
Basti pensare che il ransomware di cui è stato vittima il Sistema sanitario irlandese il mese scorso, che ha messo fuori uso i sistemi informatici di molti ospedali, ha avuto (e avrà) gravi conseguenze anche in termine di vite umane. Si stima che ci vorranno mesi prima che venga ripristinato il suo normale funzionamento, con un costo presunto che si aggira intorno ai 100 milioni di euro. Conviene imparare da questi episodi per investire in prevenzione cyber in ambito pubblico e privato. Sul punto, può essere utile ricordare che la Cyber Agency israeliana ha pubblicato una guida in cui, tra l’altro, consiglia la creazione di un team di gestione delle crisi, al quale spetta il compito organizzare regolarmente esercitazioni per affrontare attacchi cyber.
‘La soluzione contro gli attacchi ransomware? Sanzionare chi paga il riscatto’
In realtà, dovremmo valutare l’ipotesi di sanzionare chi paga il riscatto: mi sembra una delle poche soluzioni per spezzare il circolo vizioso di un reato che favorisce lo sviluppo delle cyber gang, come di recente paventato dal Governo francese. Ricordiamo che per ogni singolo colpo a infrastrutture critiche il riscatto può ammontare anche a una decina di milioni di dollari. In proposito, non trascurerei il fatto che il pagamento del riscatto, da parte di enti pubblici o privati, può essere una condotta capace di integrare una serie di reati tra cui la creazione di una provvista di pagamento che potrebbe configurare il reato di false comunicazioni sociali, ovvero il reato di finanziamento della criminalità organizzata, oltre che la violazione di principi e valori dichiarati nel Codice etico e in materia di responsabilità sociale d’impresa.
Cybersecurity Italia. Dal suo punto di vista, quale approccio consiglia per combattere il crimine informatico?
Annita Sciacovelli. In termini più generali, dalla mia attività di ricerca sulla cybersecurity emerge un duplice schema di risposta al crimine informatico, basato su un approccio che prevede, in primo luogo, l’impegno del legislatore statale a redigere un testo unico di cyber diritto. E’ noto che il nostro ordinamento reca già una serie di disposizioni repressive in materia, si pensi proprio al contrasto al ransomware, sebbene per altri illeciti non è così perché ad essi sono inapplicabili le tradizionali categorie penali.
In secondo luogo, a livello internazionale è necessaria l’elaborazione di una disciplina sulla attribution che sia ritagliata a seconda delle diverse tipologie di reati e attacchi cyber in cui possono essere coinvolti, a vario titolo e modo, attori non statali e Stati. Infatti, il problema della repressione degli illeciti informatici non riguarda la loro criminalizzazione, sancita dalla Convenzione di Budapest sulla criminalità informatica del 2001 e firmata dall’Italia, bensì l’assenza di un protocollo internazionale sulla digital forensic e sulla cooperazione internazionale nell’attività investigativa digitali, atteso che si tratta di illeciti transnazionali.
In questo solco, si inserisce il Joint Statement firmato tra i 27 Paesi dell’UE e il Segretario americano della Homeland Security, Alejandro Mayorkas, a Lisbona il 22 giugno scorso, che prevede l’adozione di una strategia di contrasto al malware; la cooperazione anche in materia di disclosure e l’impegno degli Stati di attivarsi per arrestare, perseguire o estradare i presunti criminali che compiono reati informatici sul loro territorio, nel rispetto del principio di due diligence.
Cybersecurity: incremento di sinergie tra cyber intelligence pubblica e privata
Cybersecurity Italia. Parliamo di cybercrime nel nostro Paese. L’Italia, secondo le ultime analisi delle maggiori società di sicurezza informatica, vanta un triste primato. E’ il terzo paese al mondo più colpito da malware. Perché secondo lei? Un problema di controllo dell’intero comparto IT o una mancanza di cultura cyber all’interno di istituzioni e aziende?
Annita Sciacovelli. Concordo sulla mancanza di una cultura e di una educazione al digitale, a differenza di quanto accade in altri Paesi, e sulla necessità di un controllo del comparto IT, seppur nelle diverse scale dimensionali.
In proposito, il superamento di una strisciante cyber insecurity deriva prima di tutto dalla mancanza di consapevolezza del problema da parte del top management. A tal fine, è necessario implementare una strategia della resilienza basata sull’incremento di sinergie tra cyber intelligence pubblica e privata (sul modello israeliano); sulla sicurezza delle supply chain (proposta dal progetto di direttiva NIS 2 dell’UE) e sull’impiego di cloud nazionali. Non si tratta di un discorso legato al ‘made in Italy’, quanto piuttosto della tutela di dati sensibili e strategici delle aziende (a rischio di cyber spionaggio industriale) e della P.A., con particolare riguardo ai sistemi informatici impiegati dall’autorità giudiziaria.
Occorre anche dire che, per quanto grave e dannoso, non è possibile paragonare la pericolosità del pishing rispetto alla pericolosità degli attacchi contro infrastrutture critiche e strategiche del Paese, come acquedotti, aeroporti, centrali elettriche o ospedali. E’ da tempo che affermo del rischio che il prossimo ’11 settembre’ possa essere opera di cyber terroristi. Non a caso il Presidente Joe Biden, dopo i ripetuti attacchi cyber, ha invocato l’impiego di poteri emergenziali.
Cybersecurity Italia. Ultima domanda sull’Agenzia Nazionale per la Cybersicurezza (ACN), voluta fortemente dal sottosegretario alla Presidenza del Consiglio Franco Gabrielli. Cosa ne pensa? Risolverà i problemi di cybersecurity (anche legislativi) del nostro Paese?
Annita Sciacovelli. L’Agenzia Nazionale per la Cybersicurezza è indispensabile perché rappresenta in Italia il punto di contatto operativo della Strategia sulla cibersicurezza dell’UE elaborata dall’Agenzia europea per la cybersicurezza (ENISA) e dal nuovo Centro di competenza per la cibersicurezza, con sede a Bucarest. In questo contesto, risulta fondamentale la visione del Sottosegretario Gabrielli, il quale ha scelto l’ACN quale strumento di protezione del Perimetro di sicurezza nazionale cibernetica.
Ritengo che, ad oggi, la cornice legislativa sulla cybersicurezza risponda agli obiettivi della Strategia nazionale di sicurezza cibernetica volta a garantire un elevato livello di sicurezza, come disegnato dalla Commissione europea per le reti, i sistemi informativi e i servizi informatici delle amministrazioni pubbliche, e degli operatori nazionali, pubblici e privati.
L’auspicio è che si proceda quanto prima a una mappatura delle attività della ACN e a una razionalizzazione di tutte le competenze che ad oggi spettano a comitati ed enti che, a vario titolo, sono coinvolti nella gestione del suddetto Perimetro. Il ruolo che spetta al ACN è molto complesso anche alla luce della profonda interconnessione e integrazione che caratterizza l’attuale scenario informatico riguardo alle attività di cyber defence svolte dall’Europol, dall’Agenzia europea per la difesa e dal NATO Cyberspace Operations Centre e dai NATO Cyber Rapid Reaction Teams.
Infine, sarebbe auspicabile che l’ACN potesse disporre di un approccio olistico e multidisciplinare alle questioni della cybersecurity che potrebbe essere garantito da un Think Tank, composto da esperti di geopolitica, economia e diritto internazionale.