25 Giu L’Unione Europea adotta nuove sanzioni economiche contro gli attacchi informatici
Il contesto normativo
ll 17 maggio 2019 il Consiglio Europeo ha emanato la Decisione 2019/7299, “concerning restrictive measures against cyber-attacks threatening the Union or its Member States” (d’ora in avanti “Decisione”) che consente all’Unione Europea di imporre delle misure restrittive, mirate, che puntano a contrastare e scoraggiare gli attacchi informatici laddove costituiscano una minaccia per l’Unione Europea o per i suoi Stati Membri. Tali misure interesseranno anche gli attacchi rivolti verso Stati Terzi o organizzazioni internazionali, qualora queste fossero ritenute necessarie per conseguire obiettivi di politica estera e di sicurezza comune.
Trattasi di un provvedimento che va ad unirsi ad una ormai corposa gamma di altre contromisure che l’Unione Europea ha messo in campo negli ultimi anni per implementare il framework relativo alla sicurezza informatica degli Stati Membri che la compongono, come la Direttiva NIS e il Cybersecurity Act. Ciò a dimostrazione di una preoccupazione sempre crescente nei confronti di un aumento, ormai spropositato, di condotte dolose e particolarmente rilevanti all’interno del cyber spazio, volte a compromettere l’integrità, la sicurezza e la competitività economica dell’Unione stessa.
L’adozione del meccanismo sanzionatorio è stata promossa in particolare da Olanda e Regno Unito, già interessati dallo sventato attentato informatico contro l’Agenzia per la proibizione delle armi chimiche (Opac) dell’ottobre scorso e interessate, inoltre, da un crescendo di cyberattacchi negli ultimi mesi.
La Decisione
Entrando nel merito del provvedimento, l’art. 1 della Decisione, al primo paragrafo, recita “this Decision applies to cyber-attacks with a significant effect, including attempted cyber-attacks with a potentially significant effect, which constitute an external threat to the Union or its Member States” e ancora, al secondo paragrafo “Cyber-attacks constituting an external threat include those which: (a) originate, or are carried out, from outside the Union; (b) use infrastructure outside the Union; (c) are carried out by any natural or legal person, entity or body established or operating outside the Union; or (d) are carried out with the support, at the direction or under the control of any natural or legal person, entity or body operating outside the Union”.
Nell’articolo succitato, il Consiglio spiega come gli attacchi informatici che verranno interessati dal nuovo regime sanzionatorio saranno quelli caratterizzati da “effetti significativi” e che provengono, o sono sferrati, dall’esterno dell’Unione Europea, impiegano infrastrutture esterne all’Unione Europea, sono compiuti da persone o entità stabilite o operanti al di fuori dell’Unione Europea, oppure, sono commessi con il sostegno di persone o entità operanti al di fuori dell’Unione Europea.
Inoltre, viene specificato come le sanzioni interesseranno anche i cyber attacchi “tentati”, i quali dovranno essere in ogni caso qualificati da un potenziale effetto significativo.
È bene notare come Bruxelles non fornisca a tal proposito una definizione specifica di “effetti significativi”, elemento fondamentale per la caratterizzazione dell’ambito applicativo del nuovo quadro sanzionatorio, fatta eccezione per l’enunciato contenuto nell’articolo 3 del provvedimento in esame, il quale si limita a fornire una lista delle peculiarità generali che possono ricondurre a tale fattispecie. A questo proposito, il primo paragrafo recita “the factors determining whether a cyber-attack has a significant effect as referred to in Article 1(1) include any of the following: (a) the scope, scale, impact or severity of disruption caused, including to economic and societal activities, essential services, critical State functions, public order or public safety; (b) the number of natural or legal persons, entities or bodies affected; (c) the number of Member States concerned; (d) the amount of economic loss caused, such as through large-scale theft of funds, economic resources or intellectual property; (e) the economic benefit gained by the perpetrator, for himself or for others; (f) the amount or nature of data stolen or the scale of data breaches; or (g) the nature of commercially sensitive data accessed”.
A ben vedere, nonostante il succitato contenuto dell’articolo 3 della Decisione, non è specificato all’interno del provvedimento su quale base tali elementi verranno valutati, sia in termini qualitativi che in termini quantitativi.
Le sanzioni
La decisione è un atto obbligatorio in tutti i suoi elementi, a portata individuale, ossia vincolante solo per coloro cui è indirizzata. Quando impone un obbligo pecuniario a carico di persone fisiche o giuridiche, costituisce a tutti gli effetti un titolo esecutivo come stabilito dall’art. 299 del Trattato sul Funzionamento dell’Unione Europea.
Ciò denota il fatto che, al fine dell’applicazione del provvedimento in commento e per poter offrire un’adeguata regolamentazione per la tutela del cyber spazio, alcune specificazioni relative ad una potenziale tipizzazione devono essere effettuate. Ciò non di meno, si ritiene fondamentale che l’Unione Europea abbia deciso di dotarsi di un quadro normativo per sanzionare non solo soggetti o organizzazioni responsabili di attacchi informatici, ma anche coloro che li finanziano, li assistono sul piano tecnologico e tecnico o ne siano a vario titolo coinvolti.
A tal proposito, entrando nello specifico delle sanzioni, possiamo notare come gli articoli 4 e 5 del provvedimento, oltre ad indicare l’entità della sanzione stessa, forniscano un dettagliato elenco dei soggetti interessati da quest’ultima, laddove questi fossero in qualche modo ricollegati ad una fattispecie di attacco informatico (anche tentato).
A tal proposito, l’art. 4.1 della Decisione recita: “Member States shall take the measures necessary to prevent the entry into, or transit through, their territories of: (a) natural persons who are responsible for cyber-attacks or attempted cyber-attacks; (b) natural persons who provide financial, technical or material support for or are otherwise involved in cyber-attacks or attempted cyber-attacks, including by planning, preparing, participating in, directing, assisting or encouraging such attacks, or facilitating them whether by action or omission; (c) natural persons associated with the persons covered by points (a) and (b)”.
Viene ivi specificato come per gli attori, a vari livelli, di cyber attacchi, siano previsti dei veri e propri divieti di accesso e di transito all’interno di uno Stato Membro, fatte salve le fattispecie dei paragrafi successivi. In particolare, nell’art. 4.2 della Decisione viene espressa la volontà del Consiglio di non obbligare uno Stato Membro a rifiutare l’accesso di un suo connazionale all’interno del proprio territorio.
Per quel che riguarda la seconda sanzione, l’art. 5.1 della Decisione stabilisce che “all funds and economic resources belonging to, owned, held or controlled by: (a) natural or legal persons, entities or bodies that are responsible for cyber-attacks or attempted cyber-attacks; (b) natural or legal persons, entities or bodies that provide financial, technical or material support for or are otherwise involved in cyber-attacks or attempted cyber-attacks, including by planning, preparing, participating in, directing, assisting or encouraging such attacks, or facilitating them whether by action or omission; (c) natural or legal persons, entities or bodies associated with the natural or legal persons, entities or bodies covered by points (a) and (b) – shall be frozen”.
Il Consiglio suggerisce dunque un vero e proprio congelamento dei beni degli interessati, quali che questi siano persone fische, giuridiche o entità, aggiungendo inoltre, nel secondo paragrafo, che nessun fondo o risorsa economica dovrà essere messa a disposizione di queste ultime, sia direttamente che indirettamente.In tal senso, l’Unione Europea dimostra di essere sempre più consapevole del fatto che dietro i fautori di cyber attacchi ci sono delle vere e proprie organizzazioni, sia private che potenzialmente statali, le quali muovono importanti interessi economici e che dunque hanno necessità di essere continuamente finanziate onde garantire un’efficienza sempre maggiore. Per assicurare un maggiore impatto nella lotta contro gli “antagonisti” del cyberspazio, l’Unione ha ritenuto altresì necessario spostare l’attenzione sul piano economico.
Le possibili implicazioni
Il quadro che si delinea non risulta essere dissimile rispetto a quello creato dal Security Council delle Nazioni Unite per contrastare il finanziamento delle attività terroristiche da parte di enti legati agli Stati nazionali o ad organismi parastatali.
Ciò che preme sottolineare e che, inoltre, alimenta il parallelismo con tale quadro normativo, è la possibilità concreta di giungere ad una effettiva identificazione delle fonti di finanziamento, nel caso succitato, e di attacco, nelle casistiche previste dalla Decisione.L’attribution, sia essa relativa a flussi di denaro sia essa relativa agli attacchi cybersecurity, è uno spinoso argomento e tema di costante dibattito internazionale. Non esiste una definizione universalmente accettata per il concetto di “attribution”, ma è assimilabile ad un processo per identificare la posizione di un attaccante all’interno di un’area geografica. Più sarà sofisticato l’attacco e, di conseguenza, numerosi i nodi coinvolti, meno sarà possibile identificare con certezza gli autori degli attacchi.I casi Kadi 1 e Kadi 2, il caso Al Dulimi e, in ultimo, la situazione generatasi a fronte della Risoluzione 1970 del Security Council della Nazioni Unite, hanno determinato una situazione di profonda incertezza relativamente alla capacità di stabilire una corretta attribution relativamente al finanziamento di gruppi terroristici.
Concludendo il parallelismo effettuato, pertanto, si potrà agevolmente immaginare come sarà ancor più arduo, per l’Unione Europea, risolvere il problema dell’attribution nel cosiddetto quinto dominio, ovvero nel cyber spazio. Ciò non di meno, l’Unione Europea, tramite l’art. 9 della Decisione in commento, che recita “In order to maximise the impact of the measures set out in this Decision, the Union shall encourage third States to adopt restrictive measures similar to those provided for in this Decision”, sembra essere pienamente consapevole delle difficoltà, in termini di applicazione, che la Decisione potrebbe incontrare. L’Unione Europea in tal senso rende palese, ancora una volta, una crescente maturità in ambito di tutela del cyber spazio, non solo del vecchio continente, ma anche extraeuropeo, incoraggiando gli Stati Terzi ad adottare misure restrittive simili alle proprie. Ciò non solo con l’obiettivo di massimizzare l’impatto delle stesse, ma anche e soprattutto, perchè per poter promuovere un piano di difesa comune è necessaria una cooperazione globale a tutela di un cyber spazio che offre sempre maggiori opportunità, e per questo motivo diviene sempre più pericoloso.
