Cybersicurezza, tra Usa e Ue si rischia un gap incolmabile

Il 4 gennaio Giorgia Meloni ha preso un aereo di stato per recarsi all’oscuro di (quasi) tutti a Mar-a-lago, da Donald Trump. Lo scopo palese della visita era quello di convincere il presidente eletto che l’Italia non poteva far altro che liberare l’iraniano Mohammed Abedini, del quale gli Usa chiedevano l’estradizione, per ottenere la liberazione di Cecilia Sala, detenuta nel carcere di Evin. Ma invece di concentrarsi sul caso della reporter italiana arrestata a Teheran, le agenzie di stampa la stessa notte hanno annunciato che Meloni aveva definito gli ultimi dettagli di un accordo da 1,6 miliardi di dollari con Elon Musk per l’uso della rete Starlink in Italia. Un progetto di 5 anni che, secondo Bloomberg, «è già stato approvato dai servizi segreti e dal ministero della Difesa italiano».

Ma in un mondo in cui le guerre sono tornate prepotentemente alla ribalta, la cyber-sicurezza diventa uno dei temi più delicati da affrontare per i governi occidentali. Ne abbiamo parlato con Andrea Gilli, docente di studi strategici attualmente in carica all’università St. Andrews in Scozia.

È corretto affermare che la cyber-sicurezza è ormai diventata una parte fondamentale della Difesa?
Durante il summit di Varsavia del 2016 la Nato ha definito il cyber-spazio un «dominio operativo». In gergo militare un dominio è una zona dove si può combattere e quindi i membri del Patto atlantico hanno esplicitamente riconosciuto che la guerra ha acquisito una nuova dimensione oltre ai tradizionali terreni di scontro delle forze armate (mare, terra, cielo). Nel 2020 anche lo spazio è rientrato nell’alveo dei domini operativi, aggiungendo un ulteriore terreno di scontro possibile. Non si tratta solo di definizioni militari, con queste due dichiarazioni la Nato ha stabilito che gli stati membri devono difendersi dalle minacce esterne perché gli attacchi ora possono arrivare anche su domini non convenzionali.

Come si è arrivati a questo cambio di prospettiva?
Nel corso degli ultimi 20-25 anni la tecnologia digitale è letteralmente esplosa, arrivando ad occupare un ruolo sempre maggiore nella nostra vita quotidiana. Poi la pandemia ha catalizzato questo processo e, in parte, ha peggiorato alcuni dei meccanismi di interazione on-line, soprattutto sui social network. Una grande fascia della popolazione si è digitalizzata senza padroneggiare gli strumenti di difesa necessari e le minacce sono aumentate in maniera esponenziale.

A rendere palesi i rischi sulla rete quanto hanno contribuito le accuse alla Russia di interferenze nelle elezioni o alla Cina rispetto alla vicenda di Tik Tok?
Ci sono stati diversi casi che hanno portato i governi a maggiore attenzione su questo tema. Si pensi alla prima elezione di Trump, alla Brexit, al caso di Cambridge Analytica. Dal momento in cui sempre più cittadini si informano sulle piattaforme digitali la disinformazione circola in maniera più virale e, tuttavia, sorge un problema di tipo etico, filosofico se vogliamo, ovvero dov’è il confine tra lotta alla disinformazione e censura? Si tratta di un problema interno alle nostre società occidentali e dei principi sui quali esse si fondano. I regimi autoritari, ovviamente, non si fanno particolari problemi a reprimere i comportamenti dei cittadini nella vita reale così come in quella virtuale. In modo simile è emersa una fondamentale debolezza dell’Occidente e della Nato: siamo militarmente più forti degli altri ma fragili dal punto di vista informatico.

Nel contesto globale l’Ue è l’istituzione che più discute di limitazioni alle big tech e di nuove leggi sui social media e internet. Ora, con l’elezione di Trump, si vuole far passare il messaggio che chi regolamenta la rete è un censore. A suo modo di vedere, quali sono i rischi per una deregolamentazione del settore?
Sulla disinformazione è difficile emanare una legislazione che accontenti tutti perché se da un lato più libertà di parola potrebbe equivalere a più disinformazione, dall’altro si parlerebbe di censura. Il vulnus è evidente: se X, che è un’azienda estera diffonde disinformazione può essere sanzionata, ma se io, da cittadino, la diffondo non posso essere sanzionato. Il rischio è quello di incentivare la nascita di attori dai quali sarà ancora più difficile proteggersi.

Qual è il contesto della cyber-sicurezza in Ue?
Nell’Ue ci sono Paesi che hanno notevoli capacità in questo campo (Francia, Paesi nordici, Danimarca) ma l’Europa si scontra con due ostacoli fondamentali: la frammentazione interna e la legislazione. Nel primo caso il punto è che ogni stato pensa si tratti di una partita individuale, mentre in realtà l’Ue al suo interno è fortemente inter-connessa. Se viene mandata in tilt una centrale energetica in Germania magari le conseguenze investono tutti gli stati confinanti perché quell’infrastruttura forniva corrente anche a loro, dunque non si dovrebbe ragionare in termini di singoli interessi. I membri dell’Ue sono più arretrati dal punto di vista delle piattaforme tecnologiche.

Quando usiamo Cisco, Oracle, Windows in parte sopperiamo al problema… ma ci sono capacità domestiche molto limitate. Un altro aspetto che limita la nostra capacità di stare al passo con i principali concorrenti internazionali è che l’approccio dell’Ue alla cyber-sicurezza è principalmente normativo (leggi e anti-trust). L’esempio migliore in questo caso è l’AI Act che stava per essere emanato a fine novembre 2022 quando è apparso Chat gpt che ha bloccato tutto e costretto i legislatori a rivedere il testo. Collegata a questo c’è la questione dell’Anti-trust. Ricorda quando il traffico aereo mondiale è andato in tilt nel luglio dell’anno scorso? Il caos è scoppiato perché l’Ue con la sua mozione sull’antitrust ha obbligato la ditta che lo gestiva ad aprire la sua piattaforma di Microsoft ad altri rendendola vulnerabile a virus, bug e malfunzionamenti. So che sembra strano, ma in questo conteso l’antitrust favorisce gli attacchi cibernetici invece della concorrenza.

E qual è la situazione in Italia?
L’azione dei governi nelle ultime due decadi almeno lascia intendere che per l’esecutivo la cybersicurezza non è una priorità, il che non significa necessariamente che siamo indietro. A volte comunque vengono prese decisioni inspiegabili. Si pensi che circa 10 anni fa il governo italiano ha affidato il contratto per la cybersicurezza a Kaspersky che è un’azienda russa. Al di là dell’azienda in questione ma a qualcuno è venuto in mente che con la Russia che aveva appena annesso la Crimea questo appalto poteva rappresentare un problema politico? Il problema è il solito: o l’ignoranza sul tema o qualche tipo di interesse personale. In ogni caso il problema più grande che vedo è nella Pubblica Amministrazione: pensi al ragazzino hacker che cambiava i voti sul registro elettronico, o all’intruso che ha spiato i dati del tribunale di Perugia… Mancano gli investimenti per la rete, il personale non è formato, le procedure sono obsolete e mettono a rischio costantemente l’enorme mole di dati gestita. Ma anche nell’amministrazione militare non siamo impeccabili: siamo in una fase in cui tutte le piattaforme delle forze armate usano sempre più semi-conduttori e quindi dati e la possibilità che questi dati siano oggetto di attacchi è sempre più alta.

Torniamo al viaggio di Meloni a Mar-a-Lago.
Sulla cyber-sicurezza Starlink non cambia così tanto perché si tratta di satelliti che orbitano a bassa quota e sono difficili da intercettare o disabilitare da altri. Dal punto di vista della sicurezza dei dati non peggiora di molto la situazione (almeno così dicono gli ingegneri). Per quanto riguarda l’attore straniero porrei delle questioni: ci serve? Negli altri Paesi si istituirebbe una commissione ad hoc per fare uno studio specifico, ad oggi questa cosa non è stata fatta. Il ministro della Difesa Crosetto e altri esponenti del governo hanno dichiarato che per l’Italia questo tipo di tecnologia è molto importante ma le ragioni di tale necessità, ad oggi, non sono state esplicitate. Possiamo affidarci a Musk? Dipende dall’importanza del servizio che demandiamo. Anche se oggi non se ne sente la necessità, nel medio termine questa tecnologia servirà. Credo che la vera domanda sia: il governo italiano sta facendo da apripista rispetto agli altri Paesi Ue oppure sta regalando soldi a Musk? In ogni caso bisogna considerare che il problema non è solo Starlink: se domani Google, Amazon, Microsoft staccano la spina avremo un danno enorme.
Quando il 14 ottobre 2022 Elon Musk ha dichiarato che avrebbe interrotto la connessione Starlink in Ucraina ai vertici di Kiev è mancata l’aria.

Non corriamo lo stesso rischio di essere abbandonati in un momento di necessità?
L’assunto è corretto, ma non ci sono reali alternative. Si pensi che per la posta elettronica le forze armate usano Microsoft, per i software per scrivere idem… tale dipendenza si trova in tantissimi contesti, anche nei più delicati. Il fatto è che la logica dell’economia è improntata all’efficienza, quella della Difesa all’efficacia e a volte l’efficacia richiede di essere inefficienti.

Si dice che l’Ue sia troppo indietro per recuperare rispetto a Starlink.
Il successo del programma europeo, Iris 2, dipende dai lanciatori che in Ue sono estremamente più cari di Starlink. Questo perché Musk utilizza le piattaforme di Space X che è dello stesso gruppo. È altamente improbabile che l’Ue riesca a rientrare dei costi rendendo il sistema sostenibile se la concorrenza è così spietata. Tuttavia, è importante sottolineare una questione: Starlink posiziona tutti questi satelliti in orbita bassissima e lo spazio non è infinito, anche se sembra brutale chi prima arriva meglio alloggia. Dunque, al contrario, se arriveremo troppo tardi avremo meno spazio disponibile nell’orbita bassa. E fra 10 o 15 anni si lanceranno nuove generazioni di satelliti, riducendo ulteriormente lo spazio libero.

Quindi l’Ue cosa può fare?
Favorire l’innovazione e le startup. Non destinare più così tanti soldi ad aziende già esistenti (che usano le nostre tasse per il proprio bilancio senza restituire nulla nel campo dell’innovazione) ma incoraggiare la ricerca tecnologica.

Quali rischi vede all’orizzonte?
Il rischio principale al momento è che gli Usa inizino a correre come mai prima e l’Ue rimanga talmente indietro da rendere molto difficile recuperare. Se l’Ai statunitense si integra nei software è la fine. Netflix vuole diventare la Rai del mondo, Starlink la Telecom… perché a quel punto dovrei guardare solo la rete nazionale o abbonarmi a un qualsiasi operatore telefonico? Le big tech potrebbero cannibalizzare tutte le industrie, anche quelle tradizionali e se l’Ue non saprà essere parte nel cambiamento rischia di rimanere una sorta di parco giochi dove la gente va a fare solo le vacanze e non si produce più niente perché semplicemente dipende tutto dall’estero. Non lo scopriamo oggi, non si tratta di previsioni apocalittiche ma di ipotesi che alcuni studiosi, come Marc Andreessen, hanno elaborato più di 25 anni fa. Si consideri che il progetto Stargate, ovvero l’accordo tra ChatGPT, Oracle e Softbank vale 500 miliardi, la spesa pubblica italiana è di 1000 miliardi. Da soli, noi come gli altri paesi dell’Ue, non possiamo essere competitivi.