In Europa, la prima metà degli anni 2000 è trascorsa alla ricerca di una costituzione per l’Unione Europea, definita proprio allora come “spazio di libertà, giustizia e sicurezza”. Il progetto tramontò definitivamente tra 2007 e 2009, anni in cui è stato ratificato e reso operativo il Trattato di Lisbona che, tra le altre cose, ha sancito la cessione di alcune competenze in materia di sicurezza ai singoli Stati ed alle organizzazioni regionali (in primis la NATO). In quegli stessi anni, molti Paesi europei, tra cui l’Italia, cominciavano a prendere in più seria considerazione il Wassenaar Arrangement sui dual-use device, nato nel 1996 come corollario degli accordi START post guerra fredda. I dual-use devices sono strumenti che possono essere impiegati sia per un uso civile che per scopi strategico-militari e richiedono un trattamento particolarmente cauto proprio in virtù della loro natura. Sia l’Unione Europea che la NATO, in quanto persone giuridiche ed organizzazioni regionali, hanno sottoscritto il Wassenaar Arrangement. Tale sottoscrizione sembrava indice di una precisa volontà di creare un quadro normativo organico ed unitario, sia alla luce della stipula della Convenzione di Budapest sul Cybercrime (2001), che delle nove categorie merceologiche del Wassenaar Arrangement (che in virtà della sua natura politico-economica ben sposava l’adesione dell’UE).
Tuttavia, né il framework europeo in materia di cyber security né la normativa dei singoli Stati sono risultati altrettanto organici quanto invece sarebbe stato opportuno. Che la normativa degli Stati potesse risultare complessa e cavillosa, specialmente in Paesi come l’Italia (sistema di civil law misto), non dovrebbe stupire. E’ invece più difficile comprendere limiti e dubbi del framework europeo, giacchè esso rappresenta, appunto, una normativa-quadro, una serie di linee-guida, che facilmente avrebbe potuto riassumere ed integrare categorie quali quelle già enumerate nel Wassenaar Arrangement, ossia: materiali speciali ed equipaggiamenti correlati; semi-lavorati; elettronica; computer/processori; telecomunicazioni e infosec; sensori e laser; navigazione e avionica; industria marittima; propulsori e ingegneria aerospaziale. Diversamente, dal 2000 ad oggi la normativa-quadro è stata incentrata su alcune aree (o materie) politiche che, però, restano necessariamente generiche, poichè per loro natura possono contenere moltissime fattispecie giuridiche ed economiche, sia astratte (temi normativi) che concrete (esempi su cui applicare la normativa), senza mai fare chiarezza sulle categorie di mezzi cyber coinvolte. In breve, è come se l’Unione Europea avesse voluto regolare il traffico stradale senza citare i mezzi utilizzati e le strade percorse dai conducenti che debbono rispettare il codice della strada. Le materie nel framework europeo sono state a loro volta divise in quattro macro-aree in occasione dell’adozione del cosiddetto cybersecurity package (13 settembre 2017): Le quattro macro-aree sono: resilienza, che comprende il rafforzamento dell’Agenzia per la Sicurezza Europea (ENISA), la creazione di un mercato unico digitale, l’implementazione della direttiva sulla sicurezza delle reti e dei sistemi informativi e il progetto per una efficiente risposta alle emergenze; l’area delle relazioni “esterne”; quella della cyberdefence (termine volutamente lasciato in lingua originale perché già abbastanza generico in originale, nonché parzialmente sovrapposto ad alcune categorie della prima area); l’area del crimine informatico.
Sicuramente, le macro-aree rappresentano una importante risorsa per le singole strategie nazionali, ma una strategia senza un concreto ed organico sostegno normativo non può essere efficace e rappresenta, anzi, una sorta di sovrapposizione con l’opera di organizzazioni regionali quali la NATO. Lo sviluppo del nuovo cybersecurity package sarà graduale, come mostrato dallo schema riportato di seguito estratto dalla pagina ufficiale dedicata dall’ENISA al tema (https://epthinktank.eu/2018/01/03/enisa-and-a-new-cybersecurity-act-eu-legislation-in-progress/). Attualmente, siamo solo al secondo step su nove e ciò non dipende soltanto dalla struttura del processo decisionale in seno all’Unione Europea, ma anche al fatto che l’UE non ha un testo normativo, vista la prematura fine del progetto di promulgazione di un testo costituzionale unico.
Un indicatore chiaro di tale mancanza è rappresentato dal complesso scenario dei CERT (Computer Emergency Response Team) nazionali, europeo ed extra-europei. I CERT nazionali, benché condividano alcuni punti cardine, sono spesso difformi e poggiano su basi normative profondamente variabili da Stato a Stato, il che comporta non solo una differenza nei tempi di reazione, ma anche nelle fasi di deterrenza. E’ infatti vero che il CERT deve rappresentare, in primis, una risposta alle emergenze, una sorta di “unità di crisi cibernetica”. Ma è anche vero che la loro efficacia è strettamente connessa all’efficacia di altre misure, connesse ai concetti di “deterrenza” e di “sanzione”. Fino a pochissimi anni fa, rifacendosi ad un linguaggio preso a prestito dagli anni della guerra fredda, si usava dire che non può esistere una deterrenza cibernetica, perché, in caso di attacco cyber, il cosiddetto first strike è quello decisivo. Ciò è ancora vero, in parte. Ma, se vogliamo parlare di uno spazio di “libertà, giustizia e sicurezza”, quale l’UE si è auto-definita, non possiamo fermarci a parlare di realpolitik e di cosiddetti major e high crimes, ma dobbiamo piuttosto pensare ai cambiamenti che l’avvento della quinta dimensione ha portato nella vita quotidiana dei cittadini europei. E al concetto di cittadinanza sono legati anche i concetti di normativa (ove i termini “deterrenza” e “sanzione” hanno un significato esplicito) e di territorialità . Il quesito che l’UE dovrebbe, a questo punto porsi, è quello di come legare questi due concetti, così specifici e concreti, allo spazio cyber, che è invece virtuale e tendenzialmente anarchico. Le basi erano state poste con l’adesione dell’UE al Wassenaar Arrangement che, come l’UE, aveva natura strategica ed economica. Ma queste basi debbono essere consolidate, poiché, in caso contrario, l’Unione Europea rischia di restare sempre e solo “pronta a partire”, senza però decollare quale attore importante nel mondo della cyber security.
