“Regolare l’instabilità. Il diritto come pilastro della sicurezza cibernetica globale“, l’intervento di Stefano Mele alla quinta edizione della Conferenza Internazionale CyberSEC – Cybercrime e Cyberwar: Norme, Geopolitica e Cybersecurity per una Difesa Comune, promossa e organizzata da Cybersecurity Italia in collaborazione con la Polizia di Stato, tenutasi a Roma presso la Scuola Superiore di Polizia.

“Negli ultimi anni abbiamo prodotto una quantità enorme di strategie, politiche e normative in materia di cybersecurity“, lo ha detto Stefano Mele, Partner, Head of Cybersecurity & Space Economy Law Department, Gianni & Origoni, durante la quinta edizione della Conferenza Internazionale CyberSEC – Cybercrime e Cyberwar: Norme, Geopolitica e Cybersecurity per una Difesa Comune, promossa e organizzata da Cybersecurity Italia in collaborazione con la Polizia di Stato, tenutasi a Roma presso la Scuola Superiore di Polizia.

“Tutte queste iniziative, semplificando, hanno come obiettivo quello di rafforzare la resilienza operativa digitale. Eppure, gli attacchi aumentano di anno in anno e anzi il cyberspazio appare sempre più instabile. Attacchi informatici, attività di spionaggio cibernetico, operazioni militari cyber tra Stati, disinformazione, criminalità informatica, pressione sulle infrastrutture critiche e competizione tecnologica globale non stanno diminuendo. Al contrario, stanno diventando una componente strutturale dell’ecosistema digitale“.

“Questo porta spesso a una conclusione implicita: che il diritto non stia funzionando. Io credo invece che il problema sia diverso. Forse stiamo chiedendo al diritto la cosa sbagliata. Per anni abbiamo parlato del cyberspazio come se fosse soprattutto un dominio tecnologico. In realtà, è diventato uno dei principali spazi di competizione geopolitica contemporanea. Uno spazio nel quale Stati, imprese tecnologiche e attori non statali esercitano potere, influenzano equilibri economici e perseguono interessi strategici. In questo contesto è utile riconoscere un punto spesso trascurato nel dibattito sulla cybersecurity“.

I fattori dell’instabilità

“Nel dominio cibernetico l’instabilità non è un’anomalia. È una caratteristica strutturale. Dipende da tre fattori ormai noti. Un livello di interdipendenza tecnologica senza precedenti. Un’asimmetria del potere cyber che consente anche ad attori relativamente piccoli di produrre effetti strategici rilevanti. E un’ambiguità persistente tra pace e conflitto, spesso anche tra attività statale e criminale, o tra attività di intelligence e di sabotaggio informatico“.

“Nel cyberspazio operazioni di intelligence, competizione economica e attività ostili convivono nello stesso spazio operativo. I conflitti contemporanei lo mostrano chiaramente. All’inizio dell’invasione dell’Ucraina nel 2022 non abbiamo visto soltanto operazioni militari convenzionali. Abbiamo visto anche operazioni cyber mirate contro infrastrutture digitali, reti satellitari e sistemi di comunicazione“.

Attacchi informatici e operazioni di guerra elettronica disturbano le comunicazioni

“Attacchi informatici e operazioni di guerra elettronica sono stati utilizzati per disturbare comunicazioni, rallentare servizi e creare disorientamento nelle prime fasi del conflitto. Questo conferma una dinamica ormai evidente. Il cyber non sostituisce la forza militare. La prepara e ne amplifica gli effetti. Ma il cyberspazio non è soltanto un dominio di conflitto. È anche uno spazio di competizione geopolitica permanente“.

“Negli ultimi anni gli Stati hanno iniziato a considerare le infrastrutture digitali – cloud, piattaforme, reti di telecomunicazione e tecnologie di sicurezza – non più soltanto come servizi tecnologici, ma come infrastrutture strategiche. Il punto, naturalmente, non è solo tecnologico. È geopolitico. Le infrastrutture digitali sono diventate infrastrutture di potere. In un ambiente caratterizzato da questo livello di competizione e instabilità diventa allora chiaro perché il diritto sia così rilevante. Ma anche qui dobbiamo evitare un equivoco“.

“Il diritto non serve a rendere il cyberspazio stabile. Sarebbe un obiettivo irrealistico. Il diritto serve piuttosto a rendere questa instabilità governabile. Nel cyberspazio il diritto fatica a stabilizzare i comportamenti. L’attribuzione è incerta, gli attori sono distribuiti globalmente e le capacità tecnologiche sono profondamente asimmetriche. La sua funzione diventa quindi diversa“.

La funzione del diritto

“Il diritto stabilizza soprattutto le aspettative degli attori. Consente a imprese, operatori delle infrastrutture e istituzioni pubbliche di operare in un ambiente instabile perché definisce responsabilità, obblighi e standard minimi di sicurezza. Questo è uno dei motivi per cui la regolazione della cybersecurity sta progressivamente assumendo una dimensione più ampia“.

“Non è un caso che per le normative attuali in materia di cybersecurity sempre più spesso non si tratta solo di prevenire incidenti informatici, ma di gestire il rischio sistemico dell’ecosistema digitale. Una vulnerabilità locale può produrre effetti a catena su interi settori economici o su infrastrutture essenziali. La regolazione cyber diventa quindi una forma di stabilizzazione del sistema, più che una semplice disciplina tecnica della sicurezza informatica“.

“In questo senso il diritto rappresenta una sorta di infrastruttura invisibile della sicurezza cibernetica. Non elimina i conflitti, la criminalità, lo spionaggio o la disinformazione, ma contribuisce a impedire che l’instabilità degeneri in disordine sistemico. Naturalmente, questo equilibrio è fragile“.

“Il cyberspazio resterà uno spazio di competizione“

“Se ogni Stato reagisce all’instabilità del cyberspazio rafforzando esclusivamente il controllo nazionale su dati, sulle tecnologie e sulle proprie infrastrutture, il rischio è una progressiva frammentazione dell’ecosistema digitale globale. La vera sfida non è quindi soltanto proteggere reti e sistemi informatici. È costruire regole e istituzioni capaci di garantire la governabilità del cyberspazio, preservando al tempo stesso il livello di interconnessione che rende possibile l’economia digitale“.

“Perché, in ultima analisi, la sicurezza cibernetica globale non dipende solo dalla tecnologia. Dipende dalla nostra capacità di costruire un ordine giuridico capace di funzionare in un ambiente inevitabilmente instabile. Il cyberspazio resterà uno spazio di competizione, conflitto e innovazione. Il tema non è eliminarne l’instabilità, ma quello di regolarla. Ed è proprio qui che il diritto diventa uno dei pilastri fondamentali della sicurezza cibernetica globale“.

Seguici anche sul nostro canale WhatsApp