L’Ue si mobilita a difesa della salute pubblica. Minacciata dai cybercriminali. E avvia iniziative comunitarie per affrontare le sfide della sicurezza informatica. E per difendere settori critici. Come i trasporti, l’energia, la salute e la finanza. Diventati sempre più dipendenti dalle tecnologie digitali. Nel mirino in particolare la salute pubblica in pandemia. La Commissione europea ha presentato la proposta per costruire una nuova Unità Cyber Congiunta. La Joint Cyber Unit. Con l’obiettivo di affrontare il crescente numero di gravi incidenti informatici che incidono sui servizi pubblici. Nonché sulla vita delle imprese e dei cittadini in tutta l’Ue. La proposta era già contenuta nel programma con cui Ursula von der Leyen si è presentata alla guida della Commissione.
Sos salute pubblica
Da tempo i leader dell’Ue hanno chiesto di rafforzare la capacità europea di proteggersi dalle minacce informatiche. Fornendo un ambiente di comunicazione sicuro. In particolare attraverso la crittografia quantistica. Per garantire l’accesso ai dati a fini giudiziari e di contrasto. La Commissione ha presentato una nuova strategia di sicurezza informatica dell’Ue. Attraverso il Servizio europeo per l’azione esterna. Così a marzo il Consiglio ha adottato conclusioni sulla strategia. Sottolineando che essa è essenziale per costruire un’Europa resiliente, verde e digitale. Inoltre l’Ue sta lavorando a due proposte legislative. Per affrontare i rischi online e offline attuali e futuri. Cioè una direttiva aggiornata in grado di proteggere meglio la rete e i sistemi informativi. E una nuova direttiva sulla resilienza delle entità critiche. Perno della politica Ue in questo campo è la legge sulla cibersicurezza dell’Ue. Entrata in vigore nel giugno 2019. La norma ha introdotto un sistema di certificazione a livello dell’Ue, un mandato nuovo e più forte per l’Agenzia dell’Ue per la cibersicurezza.
Cybersecurity Act
Con il Cybersecurity Act, l’Ue ha introdotto un quadro di certificazione unico a livello europeo. Ciò creerà fiducia. Aumenterà la crescita del mercato della sicurezza informatica. Faciliterà il commercio in tutta l’Ue. La nuova Agenzia dell’Ue (Enisa) supporta gli Stati membri. Le istituzioni dell’Ue. E altre parti interessate nell’affrontare gli attacchi informatici. La direttiva sulla sicurezza delle reti e dei sistemi informativi (Nis) è stata la prima misura legislativa a livello europeo. Con l’obiettivo di aumentare la cooperazione tra gli Stati membri. Sulla questione vitale della sicurezza informatica. Ha stabilito obblighi di sicurezza per gli operatori di servizi essenziali. In settori critici. Come energia. Trasporti. Sanità. Finanza. E per i fornitori di servizi digitali. Ossia mercati online. Motori di ricerca. E servizi cloud.
Criminalità informatica
Nel dicembre 2020 la Commissione europea ha proposto una direttiva Nis rivista (Nis2). Per sostituire la direttiva 2016. La proposta è attualmente all’esame del Consiglio. La priorità oggi è la lotta alla criminalità informatica. All’interno di Europol è stato creato un centro europeo specializzato per la criminalità informatica. Serve ad aiutare i Paesi dell’Ue a indagare sui crimini online. E a smantellare le reti criminali. La piattaforma multidisciplinare europea contro le minacce criminali si chiama Empact. Si tratta di un’iniziativa di sicurezza guidata dagli Stati membri dell’Ue. Per identificare. Dare priorità. E affrontare le minacce poste dalla criminalità organizzata internazionale. Nell’aprile 2019 l’Ue ha adottato nuove norme. Per combattere le frodi nei pagamenti diversi dai contanti. Gli Stati membri dovrebbero attuare le nuove regole nel 2021. La Commissione europea prevede di proporre una nuova legislazione entro dicembre. Avrà il compito di affrontare gli abusi. E contrastare lo sfruttamento sessuale dei minori online.
Cooperazione
L’Ue sta lavorando anche a nuove regole. Che renderanno più facile e veloce l’accesso alle prove elettroniche attraverso le frontiere. Nel dicembre 2020 il Consiglio ha adottato una risoluzione sulla crittografia. Nel maggio 2019 il Consiglio ha istituito un quadro. Che consente all’Ue di imporre sanzioni mirate. Per scoraggiare e rispondere agli attacchi informatici. Cioè a una minaccia esterna all’Ue o ai suoi Stati membri. Le misure restrittive prevedono il divieto di persone che viaggiano verso l’Ue. Il congelamento di un’attività di persone ed entità. Le prime sanzioni per attacchi informatici sono state imposte il 30 luglio 2020. L’Ue coopera in materia di difesa nel cyberspazio. Attraverso le attività dell’Agenzia europea per la difesa. In collaborazione con l’Agenzia dell’Ue per la sicurezza informatica ed Europol. Nel gennaio 2020 ha concordato una serie di strumenti. Per identificare un possibile insieme di misure comuni. E mitigare così i principali rischi per la sicurezza informatica delle reti 5G. Fornendo al contempo degli orientamenti.
Riscatto
Gli attacchi “ransomware” sono sempre più frequenti e dannosi per aziende e infrastrutture pubbliche. Saranno sempre più caratterizzati dalla tecnica della “double extortion”. La doppia estorsione. Cioè i cybercriminali chiedono un riscatto non solo per decifrare i file criptati. Ma minacciano le vittime di procedere alla loro diffusione pubblica. Con l’obbligo così per le aziende di pagare sanzioni privacy. A delineare la tendenza è il Clusit. L’associazione italiana per la sicurezza informatica. Nel suo ultimo rapporto sulla cyberciminalità. Nel quale una sezione è dedicata alla diffusione dei ransomware in Italia. “La tecnica della double extortion induce la vittima a pagare il riscatto. Non solo per la decifratura dei dati– spiega il Clusit-. Ma anche e soprattutto per evitare di vedere diventare di pubblico dominio i propri dati aziendali. La contabilità. I dati della clientela. Progetti. Segreti industriali e quant’altro”. Particolarmente delicate le informazioni sulla salute.
Multe
Questa situazione determina un gravissimo danno d’immagine. Nel caso di diffusione di dati personali. E ancora di più se sensibili. Inoltre può essere sanzionata pesantemente dal Garante della privacy. In attuazione al GDPR. La legge europea sulla privacy. Con multe che possono arrivare fino al 4% del fatturato aziendale. E fino ad un massimo di 20 milioni di euro. Questo tipo di attacchi si sono già manifestati nel 2020 con vittime aziende come Campari e Snaitech. Intrusioni confermate dalle stesse aziende. La crescita degli attacchi ransomware a “doppia estorsione” è delineata anche nell’ultimo rapporto della società di sicurezza Yoroi.
Salute in pandemia
“La dinamica di questi attacchi coinvolge intere imprese. E persino il tessuto produttivo nazionale- spiega il report-. Il trend è fortemente cresciuto durante il 2020. E va accuratamente considerata la sua caratteristica di essere fatto su misura. Questi attacchi malware sono gestiti da team organizzati. Specialisti della sicurezza di alto livello. Privi di qualunque etica professionale”. Secondo Yoroi un’accelerazione c’è stata con la pandemia. Soprattutto ai danni di aziende meno “cyber mature”. Secondo gli esperti una situazione caotica. Che in poche ore catapulta letteralmente l’azienda in una crisi cyber”. E pone di fronte ai vertici aziendali una serie di problematiche di elevata gravità. Con un impatto immediato sull’operatività del business. Sulle responsabilità civili e penali. Sulla reputazione del marchio. Sulla competitività a lungo termine.