Copasir - Relazione sulle politiche e gli strumenti per la protezione cibernetica e la sicurezza informatica, a tutela dei cittadini, delle istituzioni, delle infrastrutture critiche e delle imprese di interesse strategico nazionale.

COMITATO PARLAMENTARE PER LA SICUREZZA DELLA REPUBBLICA

Relazione sulle politiche e gli strumenti per la protezione cibernetica e la sicurezza informatica, a tutela dei cittadini, delle istituzioni, delle infrastrutture critiche e delle imprese di interesse strategico nazionale.

Approvata nella seduta dell’11 dicembre 2019 (Relatore: on. Elio VITO)

Nella seduta dello scorso 11 dicembre 2019 il COPASIR ha approvato all’unanimità la Relazione in titolo, dopo un lungo lavoro iniziato il 18 dicembre 2018.

La Relazione ha ad oggetto il tema del rafforzamento dei livelli di sicurezza dei sistemi e delle reti di telecomunicazioni, unitamente al crescente sviluppo delle infrastrutture di nuova generazione.

Difatti, la fruizione di sempre più veloci ed efficienti modalità di collegamento e di reperimento di informazioni, ha prodotto una esposizione dei dati affidati agli archivi informatici ad attacchi e intrusioni da parte sia di organizzazioni criminali di hackers singoli o più spesso organizzati, sia di gruppi indirettamente riconducibili a entità statuali.

I Paesi dell’Unione europea hanno avviato da tempo una strategia di contrasto di tali rischi, attraverso l’implementazione di strumenti normativi soprattutto in relazione all’imminente avvento delle nuove reti di 5a generazione (5G), che renderà potenzialmente più vulnerabile il sistema.

Necessita segnalare la crescita rilevante delle aziende cinesi (Huawei, ZTE), protagoniste nell’ambito della tecnologia per la realizzazione delle reti 5G. Huawei in particolare ha notevolmente potenziato la sua presenza commerciale nel nostro Paese, ed oggi è uno degli attori fondamentali per la realizzazione della rete 5G.

Deve essere segnalato, altresì, che le aziende cinesi, pur formalmente indipendenti dal potere governativo, sono tuttavia indirettamente collegate alle istituzioni del loro Paese, anche in virtù di alcune norme della legislazione interna.

Nella valutazione del COPASIR è evidenziato il crescente pericolo per le infrastrutture strategiche del nostro Paese, derivante dalla minaccia cyber.

Le statistiche sugli attacchi evidenziano un incremento costante, non solo sul piano quantitativo ma anche sul versante della capacità innovativa di cui gli autori di tali iniziative danno continue dimostrazioni.

Le modalità di dissimulazione degli attacchi sono sempre più efficaci, e fra queste si segnala l’utilizzo di apposite piattaforme tecnologiche, prese temporaneamente in affitto, che rendono ovviamente molto complicata l’individuazione originaria degli attacchi stessi.

Altro strumento fondamentale è rappresentato dalla rete TOR (The Onion Router), che consente di effettuare attività illecite o intrusioni mantenendo l’anonimato, grazie al meccanismo per cui il software offensivo viene scomposto in pacchetti, che per raggiungere l’obiettivo finale seguono percorsi diversi, attraverso una serie di piattaforme, rendendo di fatto quasi impossibile l’individuazione della fonte.

Un esempio significativo è il cosiddetto « Wanna Cry », un virus capace di attaccare criptando le chiavi di accesso del sistema infettato, per poi far seguire la richiesta di un riscatto al fine di poter recuperare il proprio patrimonio di dati.

Nel corso del 2017 il virus, diffuso in numerosi Paesi del mondo, ha colpito oltre centomila postazioni informatiche, molte delle quali operanti presso pubbliche amministrazioni, come ospedali, università, aziende di trasporti e del settore tecnologico.

Un attacco di rilievo, risalente al 2009, ma la cui notizia è stata rilanciata nel 2019 da organi di stampa americani, sarebbe stato portato attraverso l’installazione di backdoor su apparecchi forniti dall’azienda cinese Huawei a Vodafone Italia, in grado di effettuare accessi non autorizzati all’infrastruttura e quindi alle informazioni veicolate.

Il COPASIR segnala, inoltre, la crescente presenza sul mercato internazionale di aziende aventi la propria sede principale in Paesi esterni all’Europa e al mondo occidentale. Fra queste, rilevano in particolare alcune aziende cinesi, fornitrici di servizi e apparecchiature nel mercato italiano ed europeo, di cui non è certa la piena autonomia rispetto alle autorità governative del proprio Paese.

I rappresentanti di Huawei Italia hanno dichiarato che non sussisterebbe una normativa interna che autorizzi entità, agenzie o strutture del Governo a indurre i produttori alla installazione di apparati software o hardware.

Su tale aspetto, il Comitato ha tuttavia ricevuto valutazioni di segno diverso da parte dei responsabili delle Agenzie.

In particolare, è stato posto in rilievo che in Cina gli organi dello Stato e le stesse strutture di intelligence possono fare pieno affidamento sulla collaborazione di cittadini e imprese, e ciò sulla base di specifiche disposizioni legislative.

La National Security Law obbliga, in via generale, cittadini e organizzazioni a fornire supporto e assistenza alle autorità di pubblica sicurezza militari e alle agenzie di intelligence. Inoltre, con riferimento alla normativa sulle attività informatiche, la Cyber Security Law prevede che gli operatori di rete debbano fornire supporto agli organi di polizia e alle agenzie di intelligence nella salvaguardia della sicurezza e degli interessi nazionali.

Pertanto, il Comitato non può che ritenere in gran parte fondate le preoccupazioni circa l’ingresso delle aziende cinesi nelle attività di installazione, configurazione e mantenimento delle infrastrutture delle reti 5G.

Oltre a ritenere necessario un innalzamento degli standard di sicurezza idonei per accedere alla implementazione di tali infrastrutture, rileva che si dovrebbe valutare anche l’ipotesi, ove necessario per tutelare la sicurezza nazionale, di escludere le predette aziende dalla attività di fornitura di tecnologia per le reti 5G.

Gli Stati Uniti, nel maggio del 2019, hanno disposto, per motivi di sicurezza nazionale, il divieto per Huawei di acquistare tecnologia statunitense se non previa autorizzazione, nonché di vendere e installare le proprie infrastrutture sul territorio americano.

Ciononostante, né gli organi della UE, né i principali Paesi europei hanno finora adottato provvedimenti di divieto o limitazione alle attività degli operatori cinesi.

Lo stesso Governo italiano ha assunto una posizione sostanzialmente allineata a quella dei principali partner europei. Il Presidente del Consiglio ha in proposito rilevato che le preoccupazioni manifestate soprattutto dagli Stati Uniti – secondo cui l’espansionismo economico cinese sarebbe frutto di iniziative non solo delle aziende, ma di un disegno collettivo nazionale volto a conquistare il primato nel mondo occidentale nel settore high tech – sono certamente meritevoli di essere tenute in considerazione, come pure lo è la rilevanza della legislazione interna cinese in materia di sicurezza nazionale, con i relativi obblighi per le aziende.

Per tali ragioni, il nostro Paese deve porre in essere tutte le misure di sicurezza preventiva che possano limitare i rischi derivanti dalla presenza di tali aziende nel nostro sistema, con particolare riferimento allo sviluppo delle reti 5G.

Il Governo ritiene fondamentale l’attuazione delle misure contenute nel decreto-legge istitutivo del Perimetro di sicurezza nazionale cibernetica e di quelle concernenti il Centro di valutazione e certificazione nazionale (CVCN).

Tuttavia, il Presidente del Consiglio ha sottolineato come decisioni che limitino la presenza di tali aziende dal mercato nazionale non sarebbero coerenti con i principi economici e commerciali praticati nel nostro Paese e nel mondo occidentale.

In proposito, il Comitato ritiene di sottolineare che le pur significative esigenze commerciali e di mercato, che assumono un ruolo fondamentale in una economia aperta, non possono prevalere su quelle che attengono alla sicurezza nazionale, ove queste siano messe in pericolo.

Non si ritiene pertanto di condividere le valutazioni espresse da molti degli operatori ascoltati in audizione, secondo i quali i rapporti e la interconnessione con le aziende cinesi sarebbero ormai tali da non consentire interventi limitativi della presenza di queste ultime nell’assetto delle infrastrutture di rete del nostro Paese, e ciò anche con riferimento alla rete 5G.

A parere del Comitato, il Governo e gli organi competenti in materia dovrebbero considerare molto seriamente, anche sulla base di quanto prevede la recente disciplina dettata dal decreto-legge n. 105/ 2019, la possibilità di limitare i rischi per le nostre infrastrutture di rete, anche attraverso provvedimenti nei confronti di operatori i cui legami, più o meno indiretti, con gli organi di governo del loro Paese appaiono evidenti.

Il Comitato ritiene necessario che sia in sede europea sia a livello nazionale vengano assunte iniziative idonee a garantire il rispetto e la tutela dei dati personali, disciplinando con rigore le attività consentite alle piattaforme e ai social network nei riguardi degli account degli utenti.

Fra le esigenze rilevate nel corso delle audizioni, condivise dal Comitato, va segnalata quella relativa alla opportunità di innalzare il livello di sicurezza cibernetica già al momento della definizione dei contratti di acquisto dei prodotti e dei servizi, destinati alla pubblica amministrazione, attraverso la Consip.

Non possono inoltre essere sottovalutati gli obiettivi di tipo economico-commerciale spesso perseguiti dalle predette iniziative, che nascondono in certi casi intenti predatori nei confronti di aziende o asset nazionali da parte di soggetti statuali.

Anche sotto questo profilo, l’implementazione delle reti 5G non può che destare preoccupazione e imporre l’adozione di misure di prevenzione efficaci e tempestive nei confronti delle possibili minacce derivanti da tale sviluppo delle strutture informatiche nazionali.

Il Comitato valuta positivamente la disciplina introdotta con il decreto-legge n. 21 del 2019, in primo luogo per la definizione del Perimetro di sicurezza nazionale cibernetica, con l’articolazione delle finalità e delle modalità di individuazione dei soggetti pubblici e privati che ne fanno parte e, in secondo luogo, con riguardo al rafforzamento dei poteri speciali in capo al Governo, attivabili nei confronti dei soggetti che possono operare nel nostro Paese nell’ambito delle attività di infrastrutturazione e supporto alle reti in questione.

Con riferimento alla recente Relazione dell’Unione europea del 9 ottobre 2019 (cui si è accennato nel capitolo sul quadro normativo), la quale prevede che entro il 31 dicembre 2019 vengano emanate ulteriori misure volte all’attenuazione dei rischi per la cybersicurezza, individuati a livello nazionale e dell’Unione, e che entro il 1 ottobre 2020 gli Stati valutino se vi sia necessità di apportare nuovi interventi in tale ambito, il Comitato auspica che il nostro Paese partecipi attivamente a questa fase di verifica, anche in relazione al presumibile impatto, sugli attuali standard di sicurezza, della implementazione della tecnologia 5G.

In relazione al tema dei possibili interventi sulla normativa nazionale, il Comitato ritiene di segnalare, in primo luogo, l’esigenza messa in rilievo dal CNAIPIC circa la individuazione di figure di reato adeguate a fronteggiare il crescente fenomeno degli attacchi a infrastrutture critiche economiche del Paese.

In secondo luogo, si ritiene opportuna una attenta riflessione circa il tema della cosiddetta ‘guerra ibrida’. Le iniziative ostili da parte di attori esterni contro infrastrutture nazionali si sono notevolmente sviluppate. Allo stato attuale, le uniche risposte ad attacchi di tipo cibernetico portati su obiettivi di rilevanza strategica nazionale sono quelle di tipo reattivo/difensivo, volte cioè a contrastare e ridurre gli effetti dell’offensiva, mettendo in sicurezza le strutture colpite.

Il tema va pertanto considerato in continua evoluzione, ma proprio per la crescente pericolosità di questo tipo di minaccia, sembra opportuno che il legislatore possa quantomeno avviare una riflessione sulla ipotesi di introdurre nel nostro ordinamento strumenti normativi, anche sotto il profilo autorizzatorio, che possano sostenere e supportare l’azione degli organismi che presiedono alla tutela della sicurezza informatica e cibernetica del nostro Paese.

A cura del Dottor Rocco Orefice


Allegati