(Credit Photo: Commissione Europea – CC)
Il regolamento (UE) 2025/38 (regolamento sulla cibersolidarietà) inaugura un modello inedito di prevenzione e risposta coordinata a ciberattacchi di vasta portata. Coniugando un sistema comune di allerta, un meccanismo di emergenza e un meccanismo di revisione, garantisce una copertura multifase degli incidenti, durante la quale istituzioni e organi sovranazionali assumono rilevanti prerogative. Tra armonizzazione operativa e servizi di riserva, si delinea una nuova dimensione della solidarietà europea, sensibile ai paradigmi della sovranità digitale e alle esigenze di una politica industriale competitiva.
L’inarrestabile proliferazione tecnologica e la diffusione di sistemi informatici esponenzialmente complessi (E. Nardelli, L’impatto sociale della trasformazione digitale, in questo Osservatorio) hanno avuto immediate conseguenze sulla vita associata, la cui esposizione forzosa al rischio digitale ha finito per imporre, negli ultimi anni, una ricomposizione delle attribuzioni securitarie dello Stato. La cibersicurezza si è così affermata quale funzione pubblica primaria per la garanzia di cittadini, imprese e istituzioni rispetto alle crescenti minacce informatiche, la cui pervasività richiede la predisposizione di sistemi di difesa e figure organizzative in costante aggiornamento (sul tema, M. Cardone, Difendere il cyberspazio: la nuova frontiera della sovranità digitale, B. Carotti, Sicurezza cibernetica: avanguardia o tradizione? e S. Rossa, L’istituzione della figura del “referente per la cybersicurezza” nel d.d.l. 16 febbraio 2024, in questo Osservatorio).
La condizione critica in cui versano enti pubblici e privati trova conferma nella preoccupante reportistica su quantità e natura degli incidenti (si vedano il Global Cybersecurity Outlook 2025 del WEF e il Rapporto CLUSIT 2025), al cui costante aumento su scala globale – dovuto anche alla diffusione di sistemi di IA e alla ‘curvatura geopolitica’ nella matrice degli attacchi – corrisponde un’anomala incidenza sul sistema economico e amministrativo del nostro Paese. Di fatto, anche per il 2024 l’Italia si è confermata bersaglio prediletto di cibercriminali, hacktivisti (perlopiù, quinte colonne di attori internazionali) ed entità statali ostili, raggiungendo la soglia del 10% degli attacchi globalmente censiti. Né appare un caso che le recenti tensioni strategiche e militari abbiano condotto ad un drammatico incremento degli incidenti in danno delle amministrazioni pubbliche di tutta Europa, assumendo i tratti più o meno manifesti di una guerra cibernetica diffusa.
Coerentemente con l’evoluzione del quadro delle minacce, le Istituzioni dell’Unione hanno manifestato una crescente consapevolezza circa la necessità di un coordinamento difensivo sovranazionale, promuovendo l’adozione di cyberpolicies comuni e l’apprestamento di reti cooperative tra gli Stati membri (A. Palladino, Sicurezza Digitale, l’Unione europea mette al riparo le istituzioni dal rischio cyber). In questo senso, approdi normativi fondamentali sono stati la direttiva NIS del 2016 – recentemente sostituita dalla NIS 2 – la quale istituisce un sistema reticolare di organi statali dedicati, e il regolamento sulla cibersicurezza del 2019, che ha rifondato l’Agenzia dell’Unione europea per la cibesicurezza (ENISA) e istituito il quadro europeo di certificazione della cibersicurezza (ECCF). Le iniziative sono proseguite, nell’ultimo lustro, secondo un indirizzo organico di intervento, chiarito da una Strategia europea dedicata e da una più specifica Politica di ciberdifesa, presentata congiuntamente nel novembre 2022 dalla Commissione e dall’Alto rappresentante per gli affari esteri e la politica di sicurezza.
È nell’ambito di quest’ultima iniziativa – preceduta, nel maggio 2022, da una proposta del Consiglio mirante alla costituzione di un Fondo di riserva per le emergenze di cibersicurezza – che si è collocato uno schema di normativa UE sulla cibersolidarietà: basato sul rafforzamento delle capacità comuni in chiave cooperativa, il progetto ha previsto sin dall’inizio il dispiegamento di una forza di riserva costituita da servizi privati dedicati, nonché la creazione di un’infrastruttura di centri operativi di sicurezza nazionali (SOCs), designati dagli Stati membri e coordinati in un ‘ciberscudo europeo’ interoperabile e co-finanziato dall’Unione.
Entrato in vigore, con alcune modifiche, il 4 febbraio 2025, il regolamento UE 2025/38 delinea un dispositivo per molti aspetti inedito, volto a coniugare elementi strettamente operativi con l’esigenza di garantire la competitività industriale del comparto cyber europeo: nel farlo, illustra, oltre ad una chiara sensibilità geopolitica (considerando 2), quella ratio difensiva ed interventista riconducibile alle più generali tendenze evolutive della costituzione economica europea degli ultimi anni.
Di ciò è conferma, anzitutto, l’inedita base giuridica, che fonda l’intervento (non più sull’art. 114, bensì) sugli articoli 173, par. 3 e 322, par. 1 lett. a) del TFUE: il primo, oltre a garantire il contenimento delle nuove funzioni rispetto alle delicate competenze statali in materia di sicurezza (anche) informatica, escludendo peraltro qualunque armonizzazione normativa, colloca l’iniziativa nell’ambito della politica industriale comune, chiarendone ulteriormente la stretta afferenza alle esigenze del Mercato Unico Digitale (su cui B. Carotti, Sicurezza cibernetica: avanguardia o tradizione?); il secondo garantisce un certo margine di gestione del bilancio dell’Unione a favore degli strumenti introdotti. Traspare così una logica complessiva non basata sulla mera regulation, quanto piuttosto su concrete misure di sostegno economico nel quadro di un’attenta programmazione delle risorse rispetto alle azioni che ne beneficiano.
Nel merito, il dispositivo di cibersolidarietà, che beneficia di una significativa dotazione finanziaria a valere sul programma Europa digitale, risulta dall’integrazione di tre strumenti di coordinamento tecnico-operativo, idealmente riconducibili a diverse prospettive d’intervento – ex ante, in itinere, ex post – rispetto al verificarsi di ciberincidenti di particolare rilievo, secondo i parametri normativi di cui all’art. 2.
Primo strumento è il sistema europeo di allerta per la cibersicurezza, istituito al Capo II. Si tratta, in sostanza, di una rete paneuropea di poli informatici ad adesione volontaria, con funzioni di sostegno ai soggetti incaricati della protezione e risposta alle minacce informatiche, condivisione delle informazioni pertinenti e analisi delle stesse, rilevamento coordinato e, in generale, fornitura di servizi alla comunità cyber dell’Unione (art 3). I poli, enti-base della rete di allerta, sono soggetti unici sotto l’autorità di uno Stato (polo nazionale ex art. 4, eventualmente coincidente con altri soggetti previsti dalle norme europee sulla sicurezza informatica, a discrezione dello Stato stesso) o nell’ambito di un consorzio tra Stati membri (polo transfrontaliero ex art. 5). Sono tenuti allo scambio di informazioni pertinenti, e del caso anonimizzate, circa minacce, incidenti, vulnerabilità, tecniche di difesa e ogni altro elemento funzionale alle capacità di rilevamento, risposta e successiva ripresa dai ciberattacchi. Di notevole interesse è il sistema di finanziamento dei poli stessi, fondato su compartecipazioni dell’Unione agli appalti di infrastrutture e servizi che possono coprire sino al 75% dei costi di acquisizione e al 50% dei costi operativi: l’erogazione avviene tramite il Centro europeo di competenza per la cibersicurezza nell’ambito industriale, tecnologico e della ricerca (ECCC), istituito dal regolamento (UE) 2021/887.
Il secondo strumento, di natura più strettamente operativa e legato alle fasi critiche della preparazione e reazione agli incidenti, è il meccanismo per le emergenze di cibersicurezza di cui al Capo III, volto a supportare la resilienza informatica dell’Unione e la gestione delle aggressioni nel breve termine. Le azioni sostenute dal meccanismo, attivabile su base volontaria e complementare alle misure già adottate dagli Stati, sono di tre tipi. A quelle di preparazione, tra cui la verifica coordinata per soggetti operanti in settori ad alta criticità, si aggiungono le azioni di sostegno all’assistenza reciproca tra Stati membri, nonché quelle dirette al sostegno nella risposta e all’avvio della ripresa dagli attacchi. Novità di grande rilievo, per queste ultime, è l’istituzione di una riserva dell’UE per la cibersicurezza, con finalità di ausilio alle autorità di gestione delle crisi informatiche, CSIRT statali e CERT-EU nella risposta agli incidenti: l’idea è quella di un bacino di servizi di risposta prontamente mobilitabili a richiesta di Stati membri, organi e istituzioni dell’Unione, nonché analoghe autorità di Paesi terzi associati al programma Europa digitale; qualora non impiegati, ne è prevista la convertibilità in servizi di preparazione. Nel concreto la riserva, gestita dalla Commissione e, per le competenze da questa affidatele, dall’ENISA, è costituita dai servizi erogati da fornitori di fiducia, i quali sono selezionati attraverso procedure di appalto con requisiti stringenti di efficienza e sicurezza (art. 17).
Chiude l’impianto cooperativo un meccanismo europeo di riesame degli incidenti di cibersicurezza, previsto al Capo IV: a richiesta della Commissione o di EU-CyCLONe, l’ENISA, con il supporto della rete dei CSIRT e l’approvazione degli Stati interessati, svolge una fondamentale funzione di studio e valutazione delle minacce e delle vulnerabilità riscontrate in relazione a uno specifico incidente, al fine di produrre una relazione finale che evidenzi le cause dell’attacco e gli insegnamenti che se ne possano far derivare, eventualmente formulando specifiche raccomandazioni.
Lo strumentario descritto assume rilevanza, anzitutto, in termini di governance dell’emergenza, rispetto alla quale risulta ulteriormente valorizzato quel modello reticolare-operativo da sempre fatto proprio dalle organizzazioni ciberdifensive (si consenta un rinvio a F. Galli, L’organizzazione amministrativa della cybersicurezza). I poli informatici, in particolare, vengono a costituire gli snodi primari di un sistema diffuso di prevenzione-reazione, aperto alla collaborazione tra soggetti pubblici e privati e il cui sviluppo, imposto dalla natura globale delle minacce affrontate, è segnato dai richiami ad un “contesto di fiducia” (art. 2 e 5) quale precondizione per l’efficienza comunicativa e l’affidamento dei servizi di risposta. Al di sopra di tale rete si manifestano le funzioni di responsabilità generale della Commissione, la quale assume anche la gestione diretta delle attività di ‘ciberdiplomazia’ ruotanti attorno all’assistenza ai Paesi terzi, nonché le competenze amministrative facenti capo all’ENISA e all’ECCC come principali enti attuatori. Ne risulta una complessa azione di coordinamento strategico, compatibile, in quanto opzionale e ausiliaria, con le pur rilevanti riserve di competenza rivendicate dagli Stati membri in materia di sicurezza (art. 1, par. 5).
Vanno inoltre evidenziati i risvolti pratici di un’iniziativa che, pur preservando le specificità normative (e culturali) degli ordinamenti statali, promuove de facto l’‘armonizzazione tecnica’ di dati e strumenti di difesa, garantendo, sulla scorta di precedenti iniziative dell’Unione (tra cui il regolamento su un’Europa interoperabile), l’elevata interoperabilità dei sistemi informativi, secondo orientamenti della cui emanazione si fa carico l’ENISA stessa (art. 6). Si tratta di un esito certamente auspicabile, per la necessità di congiungere apparati e protocolli non sempre mutualmente intelligibili, ma che rappresenta esso stesso un rischio cyber non trascurabile, dando forma ad un unico bacino di dati sensibili su scala continentale. Per far fronte a tale minaccia secondaria, il regolamento prevede una serie di obblighi di sicurezza a carico dei partecipanti ai meccanismi istituiti (es. art. 8), oltre a una generale limitazione della circolazione informativa secondo criteri di stretta proporzionalità (art. 16). Sarà senz’altro essenziale monitorare l’attuazione di tali contromisure.
L’istituto della riserva, in particolare, costituisce un modello di estremo interesse per la sua connotazione difensiva, ravvisabile sin nella scelta terminologica e coerente con le ambizioni di una sovranità digitale europea presidiata al livello sovranazionale. Quanto al suo funzionamento, esso sembra rispondere efficacemente ai tradizionali difetti emersi nell’implementazione di pur pregevoli normative sulla cibersicurezza: in primis, garantendo un ingente stanziamento di risorse dedicate (nei programmi di lavoro di Europa Digitale) e un’effettiva collaborazione, anche operativa, con gli attori privati (sulla cui doverosità v. L. Previti, La tutela della cybersicurezza e la difficile collaborazione tra pubblico e privato); in secondo luogo, ricorrendo a fornitori specializzati per far fronte alle gravi carenze di competenze sul mercato del lavoro, soprattutto per le amministrazioni pubbliche (v. la comunicazione della Commissione Colmare il divario di talenti nel settore della cibersicurezza per rafforzare la competitività, la crescita e la resilienza dell’UE); infine, apprestando un dispositivo d’intervento tempestivo e flessibile, adatto a governare eventi ostili dalla natura imprevedibile e cangiante (come evidenziato da E. Nardelli, Come affrontare la trasformazione digitale).
Nel complesso, la nuova disciplina costituisce una coerente declinazione, nell’ambito della politica comune di cibersicurezza e ciberdifesa, dello ‘spirito di solidarietà’ che informa a più riprese l’architettura costituzionale dell’Unione, e in particolare della sua applicazione emergenziale sancita all’art. 222 TFUE. La trasposizione di tale clausola di assistenza in una dimensione propriamente cibernetica, incentrata sulla tutela dei sistemi informatici e delle loro infrastrutture (anche) fisiche, ne riorienta in certa misura la ratio verso l’assiologia propria di una ricercata sovranità digitale, evidenziandone i tratti ciberdifensivi in relazione al deterioramento degli assetti geopolitici globali.
Il risultato è, a prima vista, un’efficace rivisitazione del paradigma solidaristico, tradotto in un sistema di coordinamento emergenziale che, seppur prioritariamente condizionato dall’accesso volontario degli Stati membri (e dei loro partner-alleati), è attivamente guidato dall’Unione. Quest’ultima si fa promotrice, sul piano finanziario e tecnico-operativo, del generale affinamento dell’architettura cyber degli aderenti e del mantenimento di una forza di riserva prontamente dislocabile, secondo l’impianto strategico della “difesa in profondità” che accomuna scienza dei dati (ad es. nel glossario NIST) e dottrina militare (E. Luttwak, La grande strategia dell’Impero romano). Resterà da sondarne l’effettiva attuazione a pieno regime, anche rispetto alle opportunità di integrazione con l’architettura ciberdifensiva della NATO e alle direttrici d’azione ipotizzate nel nuovo Cyber Blueprint proposto dal Consiglio.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
