Decreto Difesa: due proposte di legge per affrontare la guerra cyber

Decreto Difesa e cyber security: la bozza

Sarà presto sui tavoli decisionali una bozza di decreto, a cui ha lavorato nei mesi passati il ministero della Difesa, che mira a riformare il ministero stesso, a modificare il processo che porta alla nomina delle alte cariche militari e ad ampliare l’accesso ai dati sensibili di pubbliche amministrazioni, aziende partecipate e private ritenute essenziali dallo Stato. È quanto hanno riferito qualche giorno fa alcune fonti attendibili a Il Messaggero.

Secondo il quotidiano romano, questa bozza di decreto contenga un articolo specifico sull’accesso agli elenchi dei soggetti appartenenti al Perimetro di sicurezza cibernetica.

Questi soggetti, che operano nel mondo della difesa e dell’economia, necessitano di una tutela speciale da parte dello Stato, perché maggiormente esposti a rischi e, proprio per questo, devono rispettare altissimi standard di sicurezza informatica e coordinarsi con i Servizi informativi italiani e l’ACN, l’Agenzia per la cybersicurezza nazionale.

La bozza di decreto prevede che, oltre alla Presidenza del Consiglio dei ministri, DIS, Aise, Aisi e Viminale, questi elenchi siano disponibili anche alla Difesa, “una necessità”, secondo Crosetto, per fronteggiare con più efficacia la guerra cibernetica in corso contro il nostro Paese, per mani russe, che si è intensificata soprattutto a seguito del sostegno del governo italiano all’Ucraina e che ha visto colpire i siti istituzionali e gli apparati italiani negli ultimi mesi.

In questo modo, il ministero della Difesa riuscirebbe ad essere più presente sul settore cibernetico per “presidiare, misurare costantemente le posture malevole e quindi contrastarle”.

Le nomine militari apicali

In merito alle nomine delle alte cariche militari, nella bozza di decreto si propone che per i vertici delle Forze Armate, ossia generali di brigata, divisione e corpo d’armata, a decidere non siano più i singoli Stati maggiori, ma una commissione interforze tra Marina, Esercito e Aeronautica, insieme a un membro del gabinetto del ministro.

Le due proposte di Legge

Oltre alla bozza di decreto, saranno discusse in Parlamento due proposte di legge che riguardano la possibilità di estendere ai militari che operano in campo cyber, come quelli del Cor (Comando operazioni in rete) le “garanzie funzionali” già concesse agli agenti segreti italiani.

Le garanzie funzionali sono “speciali cause” di giustificazione previste per gli appartenenti ai servizi di informazione che pongano in essere condotte configurabili come reato, a condizione di aver ottenuto autorizzazione specifica, ai fini dello svolgimento dei compiti istituzionali.

Questo strumento operativo è disciplinato nel dettaglio dalla legge che ha previsto specifiche procedure (rimettendo al Presidente del Consiglio dei ministri o all’Autorità delegata per la sicurezza della Repubblica, ove istituita, l’autorizzazione ovvero la ratifica delle condotte), condizioni (relative, tra l’altro, alla indispensabilità e proporzionalità della condotta) e limiti (per quanto riguarda, per esempio, l’esclusione di una serie di figure di reato dall’ambito di applicabilità delle garanzie funzionali).

Si applicano anche a soggetti esterni che agiscano in concorso con dipendenti dell’Agenzia informazioni e sicurezza esterna o dell’Agenzia informazioni e sicurezza interna, laddove il ricorso alla loro opera sia indispensabile e abbia ricevuto autorizzazione.

Proposte di legge

La proposta di decreto chiede che, per esempio, nel caso in cui i militari dovessero commettere reato durante un’operazione delicata, come lo smantellamento di un gruppo hacker straniero attraverso un attacco informatico, questi non vengano indagati.

Le proposte di legge sono a firma di Giorgio Mulè, già sottosegretario alla Difesa, e della deputata di Fratelli d’Italia, Paola Maria Chiesa.

Il Comando per le operazioni in Rete (Cor)

Il Cor, Comando per le Operazioni in Rete, “è responsabile della condotta delle operazioni nel dominio cibernetico, nonché della gestione tecnico-operativa in sicurezza di tutti i Sistemi di Information & Communications Tecnology/C4 della Difesa, al fine di armonizzare e distribuire tempestivamente le informazioni prodotte dai sistemi di comando e controllo, computing, Intelligence Surveillance & Reconnaissance necessarie ad abilitare le funzioni del Capo di Stato Maggiore della Difesa, nella sua funzione di Comandante in Capo delle Forze, e dei Comandi interessati”.

Negli ultimi anni, per soddisfare il bisogno di creare un comando che riunisse le competenze dei vari settori che operano in ambito Difesa, si erano unificati due comandi preesistenti, il Comando C4 Difesa (C4D) e il Comando Interforze per le Operazioni Cibernetiche (CIOC).

Nel 2020 è stato costituito, poi, il Comando per le Operazioni in Rete della Difesa (CorDifesa), che ha assunto “il ruolo di responsabile della Rete, dei Sistemi, dei Servizi, degli Applicativi e dei Portali Web della Difesa, consentendo pertanto l’accentramento, a connotazione Interforze, di quelle funzioni comuni tra le Forze Armate e l’Area Interforze”.

Un percorso normativo necessario

Il ministro Crosetto si era già espresso apertamente, nell’audizione sulla difesa cibernetica, in IV Commissione Difesa della Camera dei deputati, lo scorso febbraio, sulla necessità di avviare “un percorso normativo delicato che introduca previsioni di legge nell’intento di:

• abilitare le azioni e la capacità della difesa all’identificazione, mitigazione e contrasto delle minacce cyber dirette e indirette alla sicurezza nazionale;
• legittimare le forze armate all’utilizzo di strumenti cibernetici sia nell’ipotesi di risposta alle crisi di cui la leadership della gestione è in capo alla Difesa, sia nelle operazioni promosse in concorso con le autorità civili;
• allineare il ruolo del ministero della Difesa con il comparto intelligence;
• svolgere attività di intelligence preparatorie nell’imminenza di un attacco cyber;
• estendere garanzie funzionali al personale delle forze armate impiegato nella conduzione di operazioni militari nel dominio cibernetico;
• compartecipare a predisposizione strategia nazionale per l’intelligenza artificiale per gli aspetti relativi ai sistemi impiegabili in chiave duale”.