Gli attacchi alla sicurezza informatica possono essere di tre tipologie, eventualmente mescolate tra loro:

I cyberattacchi possono coinvolgere ogni tipo di struttura, pubblica e privata. Di qui la dichiarazione da parte di Obama della valenza di risorsa strategica nazionale dell’infrastruttura digitale america, quale legittimazione di attività difensive o offensive nel settore.

Alec Ross, dimenticandosi per altro di citare il ritardo con cui gli USA si adeguarono alla normativa internazionale sui brevetti e sul copyright, si lancia in una classificazione delle vocazioni dei colossi internazionali dell’offesa e della difesa digitale, che sommariamente è raccolta in tabella:

Leggiamo inoltre in “IA: lavorare con l’intelligenza artificiale. Una cassetta degli attrezzi 4.0“:

Il rapporto tra le implementazioni dell’utilizzo dell’IA e la sicurezza informatica è direttamente proporzionale.
Tanto maggiore è l’integrazione del dato nella catena del valore tanto maggiori infatti sono i rischi (…)
La sicurezza dello spazio cibernetico riguarda tanto i software (codici e programmi) quanto gli hardware (router e macchine) e deve sicuramente tutelare anche le persone che li utilizzano.
(…) il rischio di violazione dell’infrastruttura, con intervento anche solo su elementi digitali, costituisce un grande problema.
Quando ci riferiamo a queste infrastrutture dobbiamo pensare infatti a (…) telecomunicazione ma anche (…) erogazione di energia elettrica, gas, acqua e similari.
Del resto risultano estremamente appetibili rispetto a possibili attacchi i settori bancari ed assicurativi e, come dimostrato anche in fase pandemica, quelli sanitari.
È intuitivo che quanto maggiore diviene la dipendenza di questi settori dal digitale tanto maggiore deve essere la progettazione di tutele (…).
Del resto la sempre maggiore connessione tra oggetti, persone, sensori, rende estremamente più fragile l’intero sistema. (…)

Si tratta (…) di una dimensione non territoriale dove pure si svolgono attività fondamentali per gli individui e per gli Stati.
Il cyber space è peraltro continuamente in evoluzione perché l’implementazione tecnologica rende il mondo sempre più interdipendente e connesso.
Quando si parla di cyber security è dunque opportuno fare riferimento sia alle misure di protezione contro attacchi informatici sia alla necessità di assicurare la protezione dei diritti degli individui (pensiamo al diritto alla privacy).
Dal punto di vista delle aziende che promuovono la diffusione di soluzioni digitali, l’investimento in cyber security è certamente anche un modo per rafforzare la fiducia di imprese e cittadini ed è probabilmente questo il motivo per cui si è arrivati nel 2018 alla sottoscrizione, da parte di più di ottanta aziende tecnologiche il Cybersecurity Tech Accord (…) di un impegno pubblico fondato su quattro principi:
·       la protezione dei propri utenti;
·       il contrasto agli attacchi informatici;
·       il rafforzamento di capacità cibernetiche per agevolare utenti e clienti nell’incrementare la protezione del cybersecurity;
·       la collaborazione fra aziende e gruppi che condividono la stessa visione per migliorare la sicurezza informatica.
Senza entrare nel merito di questo accordo tra privati, preme sottolineare come sia certamente determinante il quadro regolatorio nazionale e sovranazionale, più che gli accordi di autoregolamentazione.
In questo senso bisogna richiamare la Direttiva europea n. 2016/1148 (NIS) che riveste un ruolo molto importante per l’indicazione delle misure che possono innalzare il livello di sicurezza della rete e dei sistemi informatici.
Il 7 giugno 2019, con entrata in vigore il 27 giugno 2019, è stato poi pubblicato sulla Gazzetta Ufficale dell’Unione Europea il Regolamento (UE) n. 2019/881, il cosiddetto Cybersecurity Act.
Il regolamento è nato con un duplice obiettivo: creare un quadro europeo per la certificazione della sicurezza informatica di prodotti ICT e servizi digitali e rafforzare il ruolo dell’Agenzia dell’Unione Europea per la Sicurezza delle Reti e dell’Informazione (ENISA).
In Italia, ad oggi, è stato pubblicato in Gazzetta Ufficiale il primo dei quattro d.p.c.m. attuativi del Perimetro di sicurezza nazionale cibernetica così come dal d.p.c.m. 30 luglio 2020, n. 131, «Regolamento in materia di perimetro di sicurezza nazionale cibernetica».
Il nuovo decreto attuativo, in vigore dal 5 novembre 2020, stabilisce i criteri secondo i quali le apposite autorità dovranno provvedere ad identificare i soggetti da includere nel Perimetro e le modalità con cui questi dovranno censire le proprie strutture (reti, infrastrutture, sistemi informativi ed informatici, beni ICT ecc.) e comunicarle alle autorità.
Il MISE si occuperà di strutture private e la Presidenza del Consiglio di quelle pubbliche.
La lista dei soggetti interessati, circa 150, non è pubblica.
L’art. 2 del d.p.c.m. individua però i soggetti che svolgono funzioni essenziali per lo Stato e che quindi sono interessati dal decreto: «Un soggetto esercita una funzione essenziale dello Stato, di seguito funzione essenziale, laddove l’ordinamento gli attribuisca compiti rivolti ad assicurare la continuità dell’azione di governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti; un soggetto, pubblico o privato, presta un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato, di seguito servizio essenziale, laddove ponga in essere: attività strumentali all’esercizio di funzioni essenziali dello Stato; attività necessarie per l’esercizio e il godimento dei diritti fondamentali; attività necessarie per la continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica; attività di ricerca e attività relative alle realtà produttive nel campo dell’alta tecnologia e in ogni altro settore, ove presentino rilievo economico e sociale, anche ai fini della garanzia dell’autonomia strategica nazionale, della competitività e dello sviluppo del sistema economico nazionale».
Il successivo art. 3 indica poi i settori di priorità a cui appartengono i soggetti inclusi nel Perimetro:
·       Interno;
·       Difesa;
·       Spazio e Aerospazio;
·       Energia;
·       Telecomunicazioni;
·       Economia e Finanza;
·       Trasporti;
·       Servizi digitali;
·       Tecnologie critiche;
·       Enti previdenziali/lavoro.
 
(…)

La materia è in costante evoluzione e a dicembre 2020 è stato pubblicato da ENISA (Agenzia dell’Unione Europea sulla Cybersecurity) un rapporto sulle sfide che l’IA pone per la cyber security (Artificial Intelligence Cybersecurity Challenges). Questo rapporto presenta la mappatura attiva dell’Agenzia dell’Ecosistema di IA Cybersecurity e del suo Threat Landscape, realizzata con il supporto del gruppo di lavoro ad hoc sulla sicurezza informatica dell’intelligenza artificiale.
Con questo rapporto si pongono le basi per le prossime iniziative politiche di sicurezza informatica e le linee guida tecniche, ma si sottolineano anche le sfide più rilevanti. Ad esempio è fondamentale il tema della catena di fornitura relativa all’IA che indica la necessità di un ecosistema europeo per un’IA sicura e affidabile.
Lo scorso 4 giugno poi i rappresentanti permanenti degli Stati membri (COREPER) hanno raggiunto l’intesa per la prosecuzione dei negoziati tra Consiglio, Parlamento, Commissione Europei finalizzati alla proposta di istituzione regolamentare di un Cybersecurity Competence Centre.
Di sicuro questo sarà uno dei temi centrali dei prossimi mesi ed investirà, in ambito lavorativo, necessariamente anche la formazione dei singoli.
Il sempre più ampio ricorso allo smart working infatti sarà un ulteriore possibile vulnus rispetto agli attacchi informatici.

Giusella Finocchiaro afferma che, in prospettiva europea:

La cybersecurity gioca un ruolo irrinunciabile nella strategia degli Stati nazionali, delle organizzazioni sovranazionali e dei soggetti privati: la guerra in Ucraina (…= ridisegnando i modelli di sovranità, anche digitale, ha costretto gli Stati ad attivarsi, ridefinendo il perimetro della sicurezza nazionale con uno specifico focus sulle minacce provenienti dal cyberspazio. Il Governo italiano si è mosso in questa direzione con il recente d.l. 21 marzo 2022, n. 21, che ha determinato un ulteriore rafforzamento dei presidi per le reti di comunicazione elettronica e revisionato la normativa in materia di golden power. In ambito europeo, la sfida, oggi, è quella della realizzazione di una strategia comune di difesa informatica, che completi e rafforzi il quadro normativo europeo nell’ambito digitale. A livello nazionale, invece, non dobbiamo dimenticare di conciliare necessità di difesa ed esigenze di semplificazione.