Il nuovo Decreto Aiuti Bis (DL 115 del 9 agosto 2022) va a rafforzare la cyber security italiana. In particolare, l’aggiunta dell’art.37 dà la possibilità alla nostra Intelligence di contrattaccare in caso di minacce al nostro sistema. Vediamo di capire un po’ meglio cosa significa e perché è importante.

La situazione della cybersecurity in Italia

Secondo il report dell’Osservatorio Exprivia, nei primi sei mesi del 2022 in Italia si sono registrati 1572 attacchi informatici. Nel 2021 erano stati 1356.

La tipologia di attacchi più frequente è il malware, seguita da phishing e social engineering. Questi attacchi, eseguiti tramite email o social network, hanno generalmente come obiettivo il singolo utente e i suoi dati sensibili (es: informazioni bancarie). Tuttavia, anche la cyber sicurezza di aziende e istituzioni in pericolo. In questi casi, la tecnica più frequente sono gli attacchi DDoS, ovvero l’invio a un determinato sistema di un altissimo numero di richieste in un unico momento. Lo scopo è bloccare il sistema, mandarlo offline e creare disservizi e disagi. È una tecnica ben nota ai cyber criminali filorussi di Killnet, che l’hanno utilizzata contro Italia e altri paesi a seguito della guerra in Ucraina. Ad essere colpiti sono stati aeroporti, Ferrovie dello Stato, e siti istituzionali.

Ed è proprio l’aumento dei rischi informatici legati al conflitto Russo-ucraino ad aver favorito la modifica del Decreto Aiuti.

Le modifiche al Decreto Aiuti bis

La novità principale del nuovo Decreto Aiuti è l’art.37 che indica le “Disposizioni in materia di intelligence in ambito cibernetico”, ovvero:

CIT.

disposizioni per l’adozione di misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con azioni di resilienza, anche in attuazione di obblighi assunti a livello internazionale.

Cosa significa? Si tratta di misure volte a contrastare eventuali minacce informatiche alla sicurezza nazionale che non possono essere affrontate con un solo approccio difensivo e preventivo. In altre parole, se fino a questo momento l’Italia si “limitava” a prepararsi e gestire al meglio un eventuale cyber attacco, ora può contrattaccare per neutralizzare la fonte della minaccia.

Come funziona il contrattacco italiano

La risposta italiana a un eventuale attacco hacker dovrà seguire un iter che prevede un’autorizzazione del Presidente del Consiglio e che coinvolge AISE (Agenzia informazioni e sicurezza esterna) e AISI (Agenzia informazioni e sicurezza interna), in coordinamento con il DIS (Dipartimento dell’Informazione per la sicurezza). Se dovesse essere necessario, potrebbe essere chiamato in causa anche il Ministero della Difesa.

La risposta può assumere forme diverse, per esempio, colpendo i server da cui è partito l’attacco hacker. In ogni caso, come indicato nel nuovo Decreto Aiuti, le contro misure sono decise “in rapporto al rischio per gli interessi nazionali coinvolti”. Inoltre, devono rispettare i criteri di “necessità e proporzionalità»” rispetto all’attacco ricevuto. Infine, l’autorizzazione a procedere include anche la valutazione dell’impatto sulle garanzie funzionali previste dall’art. 17, comma 2, della legge 3 agosto 2007, n. 124,  relativa alle condotte normalmente considerate reato ma autorizzate se necessarie a tutelare l’interesse nazionale. L’obiettivo è quello di non ledere interessi fondamentali, prima fra tutti l’incolumità dei cittadini.

A ben vedere, l’art.37 non scende dunque in particolari pratici e lascia campo aperto all’interpretazione dello scenario che si potrebbe concretizzare di volta in volta. Infatti, non vi sono indicazioni su cosa si intenda per “sicurezza nazionale” o “misure di intelligence”, né si dà risposta a dubbi che sorgono spontanei. Per esempio, cosa succederebbe se la contro risposta italiana fosse un’azione considerata reato nel paese di destinazione? E se questa rappresentasse una minaccia per i suoi abitanti? E come si potrebbe gestire da un punto di vista diplomatico la situazione in cui lo Stato dietro all’attacco non fosse individuabile mentre il contrattacco sarebbe chiaramente ascrivibile al nostro paese?

Nonostante le incertezze, la misura va considerata come un ulteriore passo nel rafforzamento della cyber security nazionale, in un momento storico in cui la “guerra ibrida”, conflitto in cui attacchi cyber accompagnano manovre militari tradizionali, è ormai una realtà che non può più essere sottovalutata.