“In modo sistematico aziende americane hanno subito furti di informazioni da parte di cinque hacker dell’esercito cinese. È arrivata l’ora di reagire contro questi atti di cyber-spionaggio che hanno come unico scopo quello di aiutare in modo illegale l’industria di Pechino”.
Sono parole del Ministro della Giustizia statunitense Eric Holder, pronunciate tre settimane fa. Il caso ha fatto scalpore in quanto si tratta in assoluto del primo ricorso legale americano contro il governo cinese: i cinque hacker, di cui sono noti nomi e cognomi, sono accusati di aver attaccato i sistemi di sei compagnie americane (fra cui Alcoa e Westinghouse) operanti in settori alquanto delicati come il nucleare, il metallurgico e quello dell’energia solare.
Già nel recente passato i sistemi informatici americani erano stati oggetto di attenzioni da parte cinese, come nel 2003 in occasione di Titan Rain (pioggia titanica), nome in codice che la Casa Bianca diede ad una serie di attacchi coordinati ai computer di tutta l’America e chiaramente riconducibili alle responsabilità di settori militari di Pechino. In quell’occasione gli hackers di Titan Rain ottennero l’accesso a molte reti informatiche americane fra cui quelle di Lockheed Martin e della NASA.
Anche la Russia ha più volte degnato l’America di analoghe attenzioni, fin dal 1999 all’epoca di Moonlight Maze, nome in codice attribuito dal governo USA ad una serie di attacchi coordinati ai computer del Dipartimento di difesa, importanti università ed industrie militari, guarda caso alla vigilia della guerra fra NATO e Serbia in Kosovo. Quegli attacchi furono ricondotti ad un mainframe computer con sede a Mosca, benché non sia mai stato chiarito se la capitale russa fosse l’origine dell’attacco o soltanto lo snodo di un’attività nata altrove. Gli hacker di Moonlight Maze riuscirono ad ottenere ingenti quantità di dati anche in ambito militare, come i codici navali classificati o le informazioni sensibili sui sistemi di guida dei missili.
Ma la cyber-war non riguarda soltanto lo spionaggio industriale (civile, militare o dual-use che sia) ma anche la geopolitica, e non da oggi. Una quindicina di anni fa Israele decise di bombardare virtualmente i siti di Hezbollah e i Palestinesi reagirono allo stesso modo, ricorrendo a quello che fu forse il primo caso di reclutamento online di cyber-combattenti. All’appello risposero in molti, che dalle loro tastiere ubicate nei paesi più disparati (e pertanto di difficile tracciabilità) si trasformarono in insorti virtuali attaccando i siti della pubblica amministrazione dello stato ebraico, la Knesset e la Borsa di Tel Aviv causando non pochi problemi.
In tempi più recenti l’attacco cibernetico da parte di hacker basati in Russia alle strutture informatiche della Georgia costituì la premessa cibernetica alla guerra convenzionale caucasica del 2008. Il giorno precedente l’azione militare russa tutti i siti della pubblica amministrazione di Tbilisi (dalla presidenza della repubblica al governo, dai ministeri alle banche) furono attaccati, azzerati, resi ciechi, sordi e muti rendendo inefficace la catena di comando e la sicurezza stessa del paese. In quelle condizioni le forze armate georgiane, già in condizioni di assoluta inferiorità numerica, non furono in grado di reagire efficacemente.
Un analogo attacco informatico alle strutture governative e della pubblica amministrazione di un paese sovrano avvenne l’anno precedente in Estonia, il paese più informatizzato d’Europa, tanto da meritare l’appellativo di e-stonia. Anche in quell’occasione vennero pesantemente attaccati e resi inefficaci tutti i siti governativi da parte di pirati informatici che poi risultarono essere collegati con il governo di Mosca, cosa che alimentò il sospetto che l’attacco non fosse altro che la prova generale di quanto il Kremlino aveva intenzione di fare nel 2008 in Georgia, magari approfittando del fatto che l’attenzione dell’opinione pubblica mondiale sarebbe stata attratta dai contemporanei Giochi Olimpici di Pechino.
Allo stesso modo aveva fatto scalpore l’attacco portato da un “missile informatico” chiamato Stuxnet alle capacità nucleari iraniane un paio di anni fa. L’operazione, chiamata in codice Olympic Games, era stata avviata dall’amministrazione Bush e portata avanti da Obama in collaborazione con i servizi segreti israeliani per contrastare i piani di sviluppo nucleare del presidente iraniano Ahmadinejad. Il compito del “missile informatico” era semplice ma fondamentale: alterare il funzionamento delle centrifughe per metterle fuori uso. Durante la fase organizzativa dell’operazione era stato addirittura ricreato artificialmente un impianto nucleare identico a quello di Natanz, cosa che ricorda il celebre raid di Entebbe del 1976, allorché gli Israeliani addestrarono il commando incaricato di liberare gli ostaggi in una struttura appositamente costruita ex novo, identica all’aeroporto della capitale ugandese.
Venendo ai giorni nostri, sono sotto gli occhi di tutti gli avvenimenti in Ucraina, dove le spinte centrifughe lacerano un paese che tende in parte verso l’Europa comunitaria e in parte verso la Russia. Anche in questo scenario le operazioni convenzionali degli eserciti, delle milizie armate o delle forze regolari camuffate da volontari della “libertà” non poteva non essere preceduta da una preparazione cibernetica, che sembra ormai essere diventata una costante nelle crisi odierne.
Anche in questo caso, infatti, è stata rilevata una crescita molto sensibile nei cyber attacchi intenzionali e mirati nel periodo compreso fra il dicembre 2013 ed il marzo di quest’anno, tutti rivolti contro obiettivi sensibili del sistema-paese Ucraina. Oltre a prendere di mira i soliti siti governativi, parlamentari e della pubblica amministrazione come già sperimentato in Estonia e in Georgia, in questo caso gli attacchi hanno preso di mira anche i siti dei mass media favorevoli alla cosiddetta Eurorivoluzione. In questa circostanza le conseguenze degli attacchi si sono fatte sentire anche per i cittadini che per parecchi giorni non hanno potuto collegarsi ai portali dei quotidiani nazionali, mentre i clienti delle banche ucraine non hanno potuto effettuare le normali attività di e-banking.
Questi che ho citato sono soltanto alcuni fra gli esempi più appariscenti di quanto la cyber-warfare oggi possa influenzare la geopolitica, ovvero il confronto diretto o indiretto fra gli stati. Gli esempi citati, infatti, riguardano responsabilità riconducibili ad entità statali, ma si tratta soltanto della punta dell’iceberg.
Oggi la stragrande maggioranza degli attacchi cibernetici è opera di entità criminali, illegali o addirittura terroristiche non caratterizzate da confini, impossibili da ricondurre ad un preciso stato nazionale e pertanto praticamente impossibili da perseguire. Infatti chi è competente ad incriminare, assicurare alla giustizia, giudicare e condannare un hacker giapponese residente in Argentina che, al soldo del governo bielorusso che si serve della mafia kosovara, attacca un sito svedese mediante un server di proprietà olandese basato in Australia? L’equazione ha troppe incognite per poter essere risolta.
Ne risulta che ad una minaccia sempre più transnazionale e generalizzata, in un mondo sempre più globalizzato anche nelle questioni che riguardano la sicurezza, non si può più rispondere con strumenti esclusivamente nazionali come abbiamo fatto finora, pena l’inefficacia e la marginalizzazione.
Piaccia o no, viviamo in un’epoca caratterizzata dal progressivo tramonto dello stato nazionale e dalla progressiva acquisizione di responsabilità e di importanza da parte delle Organizzazioni Internazionali.
Questa epoca è tutt’altro che compiuta, dato che lo stato nazionale, questa bella invenzione che ci ha già regalato due guerre mondiali e decine di milioni di morti, è tutt’altro che tramontato. Ma è fuori di dubbio che il suo peso si vada man mano riducendo sotto la spinta di forze che lo attaccano dall’alto, dai fianchi e dal basso. In basso viene attaccato dalla sempre maggiore richiesta di autonomia locale in base al principio di sussidiarietà, dai fianchi viene sempre più attaccato da parte delle organizzazioni regionali e dall’alto viene sempre più esautorato dalle Organizzazioni Internazionali alle quali è costretto a cedere sempre maggiori porzioni di sovranità (i mercati comuni, le zone di libero scambio, le politiche comunitarie, le forze armate multinazionali, gli Alti rappresentanti, i Servizi diplomatici comuni e le monete uniche sono solo gli esempi più appariscenti).
Tutto questo sta portando ad un cambiamento sostanziale della definizione stessa di Geopolitica, che non è più lo studio delle relazioni reciproche fra gli stati nazionali (un tempo attori unici ed incontrastati) ma sta diventando sempre più lo studio delle relazioni reciproche fra le Organizzazioni Internazionali.
Queste ultime non sono inerti ma denotano un certo dinamismo nell’assumersi le proprie responsabilità, anche nel settore della cyberwarfare. L’Alleanza Atlantica, ad esempio, fin dall’inizio del 2008 si è dotata di una propria NATO Policy in Cyber-Defence e alla fine dello stesso anno ha attivato un proprio Centro di Eccellenza per la Difesa Cibernetica con sede a Tallinn in Estonia.
Anche l’Unione Europea, benché dotata di una burocrazia più pesante e di una “prontezza di riflessi” inferiore rispetto alla NATO, ha adottato nel 2013 (nelle persone dell’Alto rappresentante per la PESC e del presidente della Commissione) una propria Cyber Security Strategy allo scopo di ottenere un cyber-spazio sicuro e fruibile, mentre l’Agenzia Europea di Difesa sta ottimizzando le capacità nel settore della cyber-sicurezza.
Si tratta di passi fondamentali ed in linea con l’acquisizione di sempre maggiori responsabilità da parte delle Organizzazioni internazionali. Ma tali iniziative non potranno manifestarsi in tutta la loro efficacia fintantoché ciascun paese membro di NATO e Unione Europea manterranno in vita le proprie settoriali politiche di difesa cibernetica nazionali indipendenti, diverse, divergenti, in competizione fra di loro quando non addirittura in contrasto fra di loro.
Tanto per fare un esempio concreto, sia l’Unione Europea che l’Italia nel 2013 hanno adottato la propria politica di difesa cibernetica. Ebbene: una delle due è di troppo, e non è quella europea.
Quale risulta, dunque, l’approccio più corretto nel contrastare questa nuova minaccia? Siccome nessuno stato europeo è in grado di fronteggiare questo “nemico” agendo da solo, non vi è dubbio sul fatto che l’approccio più efficace sia quello multinazionale. Al contrario, mantenere in vita le singole politiche nazionali in contrasto fra di esse anziché adottarne una sola unitaria, alleata e comunitaria porterà anche in campo cibernetico alle medesime calamità che abbiamo visto avverarsi in conseguenza della mancanza di politiche comuni europee in campo diplomatico, militare, finanziario, fiscale o energetico.
Dobbiamo renderci conto che combattere la minaccia cibernetica con misure nazionali ha la medesima efficacia di combattere il riscaldamento globale con leggine regionali o con ordinanze dei sindaci.
La risposta, pertanto, va ricercata nelle Organizzazioni Internazionali di cui l’Italia fa parte: quanto più le contromisure saranno comuni, tanto più saranno condivise, rapide ed efficaci. Oggi qualsiasi decisione assunta in ambito NATO o è alleata o non è. E qualsiasi decisione assunta in ambito europeo o è comunitaria o non è. Rammentare questo principio e avanzare di conseguenza concrete proposte in merito potrebbe essere un’occasione da non perdere durante il semestre di presidenza italiano dell’Unione Europea che sta per cominciare fra tre settimane.
Se invece resteremo ancorati a logiche settoriali senza imparare a guardare oltre il nostro limitato orizzonte nazionale, saremo condannati all’irrilevanza. E, come se tutto il resto non bastasse, spenderemo molto di più, cosa che nel bel mezzo di una crisi finanziaria come quella attuale è tutt’altro che saggia.
Intervento alla Cyber Warfare Conference, Sala dei Gruppi Parlamentari della Camera dei Deputati, Roma, 11 giugno 2014.