La Commissione europea ha presentato a Bruxelles una serie di proposte miranti a rafforzare la sicurezza informatica (“cibersicurezza”, ndr) dei dispositivi elettronici usati dai cottadini, dai governi e le amministrazioni e dalle imprese nell’Ue, contro i sempre più ricorrenti e seri “ciberattacchi” da parte di virus e “malware” che circolano sulla rete. Le misure erano state preannunciate il 13 settembre dal presidente della Commissione europea, Jean-Claude Juncker, nel suo discorso annuale “sullo stato dell’Unione” davanti all’Europarlamento a Strasburgo, in cui aveva avvertito che “l’Europa non è ancora ben attrezzata per difendersi dai ciberattacchi”. Una nota dell’Esecutivo comunitario ricorda come “soggetti statali e non statali cercano sempre più spesso di sottrarre dati, commettere frodi o addirittura destabilizzare governi”. Particolarmente preoccupanti sono diventati i “ransomware” (un tipo di virus informatico che limita l’accesso ai dati del dispositivo infettato, richiedendo un riscatto per rimuovere la limitazione). L’anno scorso, secondo la Commissione, si sono verificati più di 4.000 attacchi con “ransomware” al giorno e l’80% delle imprese europee ha subito almeno un incidente di cibersicurezza. Solo negli ultimi quattro anni l’impatto economico della criminalità informatica (“cibercriminalità”) si è quintuplicato.
Per dotare l’Europa degli strumenti giusti per affrontare questi rischi, la Commissione europea propone un complesso pacchetto di misure che comprende, in particolare: 1) la creazione di un’Agenzia Ue per la cibersicurezza, per assistere gli Stati membri in caso di ciberattacco; 2) un nuovo sistema europeo di certificazione per garantire la sicurezza dei prodotti e dei servizi nel mondo digitale; 3) un piano d’azione per reagire a eventuali crisi di grande portata in materia di cibersicurezza; 4) l’istituzione di un “Centro europeo per la ricerca e le competenze in materia di cibersicurezza”; 5) una nuova direttiva per la lotta contro la frode e la falsificazione di mezzi di pagamento diversi dai contanti. “Con i recenti attacchi con ransomware, il drastico aumento delle attività criminali nel ciberspazio, l’uso crescente di strumenti cibernetici da parte dei soggetti statali per raggiungere obiettivi geopolitici e la diversificazione degli incidenti di cibersicurezza, l’Ue deve rafforzare la propria capacità di resistenza ai ciberattacchi, creare un’efficace deterrenza nell’Ue e stabilire norme di diritto penale per proteggere meglio i cittadini, le imprese e le istituzioni pubbliche”, sottolinea la nota della Commissione. L’agenzia Ue per la cibersicurezza non sarà creata ex-novo, ma fondata sulla base dell’esperienza dell’attuale Agenzia europea per la sicurezza delle reti e dell’informazione (Enisa), con sede a Creta e ad Atene. L’Agenzia verrà dotata di nuovi mezzi, nuove risorse umane e soprattutto di un nuovo mandato permanente (quello attuale termina nel 2020) focalizzato sull’assistenza gli Stati membri nel prevenire e rispondere in modo efficace ai ciberattacchi; inoltre, organizzerà ogni anno esercitazioni paneuropee di cibersicurezza, e garantirà una migliore condivisione delle conoscenze e delle attività d’intelligence sulle minacce informatiche, mediante la creazione di centri di condivisione e analisi delle informazioni.
L’Agenzia per la cibersicurezza contribuirà anche a istituire e attuare il “Quadro di certificazione paneuropeo” che la Commissione propone per garantire che i prodotti e i servizi siano sicuri sotto il profilo cibernetico. Secondo la Commissione, “i nuovi certificati europei di cibersicurezza garantiranno l’affidabilità di miliardi di dispositivi che oggi fanno funzionare le infrastrutture critiche, quali le reti energetiche e di trasporto, ma anche di nuovi dispositivi di largo consumo, come ad esempio le automobili connesse”. I certificati di cibersicurezza saranno riconosciuti in tutti gli Stati membri, ma l’adesione da parte delle imprese sarà volontaria. La Commissione propone anche di istituire entro il 2018 un “Centro europeo per la ricerca e le competenze in materia di cibersicurezza” che, collaborando con gli Stati membri e integrando gli sforzi di sviluppo delle capacità in questo settore a livello nazionale, “contribuirà a sviluppare e diffondere gli strumenti e la tecnologia necessari per far fronte alle mutevoli minacce e a garantirci mezzi di difesa altrettanto avanzati delle armi dei cibercriminali”. Per colmare le lacune nelle competenze in materia di ciberdifesa, sempre nel 2018 l’Ue creerà una piattaforma per l’istruzione e la formazione in materia di ciberdifesa, e promuoverà insieme alla Nato la ricerca in materia di ciberdifesa e la cooperazione per l’innovazione. Quanto alla nuova direttiva per la lotta contro la frode e la falsificazione di mezzi di pagamento diversi dai contanti, il suo scopo sarà quello di “rafforzare la capacità delle autorità di contrasto di lottare contro questa forma di criminalità estendendo la portata dei reati connessi contro i sistemi di informazione a tutte le operazioni di pagamento, comprese le operazioni tramite valute virtuali”, spiega la Commissione. La direttiva introdurrà norme comuni sul livello delle sanzioni e preciserà l’ambito della giurisdizione degli Stati membri su questo tipo di reati.
