L’accelerazione di attacchi informatici con finalità di intelligence, militari, di sottrazione di dati sensibili per governi e imprese si traduce in episodi dove realtà e fantasia si confondono. Ne è esempio recente l’attacco a Equifax con furto di dati personali di 146 milioni di americani, metà della popolazione Usa. Forse ancor più inquietante, qualora venisse dimostrato, il Russiagate sta facendo emergere l’impreparazione – per molti si tratta di scarso senso di responsabilità - dei social network: queste piattaforme gestiscono reti globali che sono però completamente prive di architetture giuridiche e di “muscoli morali”- come ha scritto Thomas Friedman sul New York Times - che evitino abusi devastanti per la democrazia e la convivenza civile. Facebook, Twitter, Google e altri social realizzano miliardi di profitti vendendo i nostri dati personali; ottengono deroghe alle norme europee e privilegi fiscali; ma sono ancora riluttanti ad assumere maggiori responsabilità persino per i fatti più gravi che si verificano sulle loro piattaforme. Da qui l’urgenza di regole, e l’Unione europea si sta muovendo proprio in questa direzione.
Con il Regolamento sulla Protezione dei Dati, Gdpr – che entrerà in vigore dal 25 maggio 2018 - e con la Direttiva sulla Sicurezza della Rete, Nis, l’Unione europea crea le premesse per un’evoluzione “trasformativa” della sicurezza informatica. Interazione pubblico-privato, collaborazione tra Paesi membri dell’Unione, definizione di standard e procedure comuni, individuazione delle autorità competenti a “gestire le crisi” fanno oggetto di una normativa ampia e vincolante, sanzionata da precisi obblighi e responsabilità, accompagnata dalla creazione di un “sistema strutturato” per la protezione di sei comparti strategici: energia, trasporti, credito, finanza, salute, risorse idriche.
L’insieme delle nuove regole rappresenta una riforma di assai ampia portata per la Ue. Si realizza finalmente un sistema integrato di protezione dei dati basato su norme obbligatorie e opportunamente sanzionate. Per tali motivi, si può a buon titolo parlare di “effetto trasformativo” per l’ambiente europeo della sicurezza informatica e non soltanto per quanto riguarda i sei comparti strategici individuati dalla Direttiva Nis. L’effetto avrà infatti portata globale. La normativa europea impegna anche le entità esterne all’Unione che trasferiscono dati protetti a o da partner europei. La trasformazione agirà in profondità, influendo sul rafforzamento complessivo della sicurezza europea. Aprirà concrete opportunità di collaborazione per la fondamentale dimensione della “cyber defence”, nel quadro di un’auspicata e credibile Difesa europea. L’insieme delle misure per la protezione dei dati nelle comunicazioni, nella logistica, nella tutela delle risorse mira a rafforzare la resilienza dei Paesi interessati. Sarebbe inoltre impensabile attuare il Regolamento Gdpr e la Direttiva Nis senza un deciso salto di qualità nella collaborazione di intelligence. Il terreno applicativo è tipicamente “dual use”.
Il processo di integrazione europea ha quindi un’occasione importante di concentrarsi sulla dimensione Cyber e recuperare il tempo perduto. L’adeguamento è impegnativo, deve compiersi in tempi brevi, coinvolge istituzioni, imprese, ricerca, richiede una diversa “cultura” e sensibilità per la sicurezza individuale e collettiva. Ma non ci sono alternative. I ritorni economici, con abbattimento del rischio d’impresa, progresso tecnologico, integrazione e un ulteriore impulso al mercato interno, sono rilevanti ed evidenti. Investire nella sicurezza è una carta vincente, per le istituzioni come per le imprese e per i cittadini dell’Unione europea.
© Riproduzione riservata