La Commissione europea ha pubblicato una strategia sulla sicurezza informatica e proposto una direttiva in materia di sicurezza delle reti e dell’informazione.
La strategia sulla sicurezza informatica – “Uno spazio informatico aperto e sicuro” – espone la visione complessiva dell’Unione europea sul modo migliore di prevenire perturbazioni e attacchi informatici e di rispondervi. L’intento è promuovere i valori europei di libertà e democrazia e garantire che l’economia digitale possa svilupparsi in modo sicuro. Sono previste azioni specifiche per rafforzare la resilienza dei sistemi di informazione, ridurre la criminalità informatica e potenziare la politica internazionale dell’UE in materia di sicurezza e di difesa in tale ambito.
La strategia esprime la visione che l’UE ha della sicurezza informatica, articolandola in cinque priorità:
conseguire la resilienza informatica;
ridurre drasticamente la criminalità informatica;
sviluppare la politica di difesa e le capacità informatiche connesse alla politica di sicurezza e di difesa comune;
sviluppare le risorse industriali e tecnologiche per la sicurezza informatica;
istituire una coerente politica internazionale in materia di ciberspazio per l’Unione europea e sostenere i valori fondamentali dell’UE.
La politica internazionale dell’UE per in materia di ciberspazio intende promuovere il rispetto dei valori fondamentali dell’Unione europea, definire regole di comportamento responsabile, favorire l’applicazione nel ciberspazio delle leggi internazionali in vigore, aiutando inoltre i paesi terzi a costituire capacità di sicurezza informatica, e favorire la cooperazione internazionale su questi temi.
L’Unione europea ha compiuto progressi fondamentali verso una migliore tutela dei cittadini dalla cibercriminalità, con l’istituzione di un Centro europeo per la lotta alla criminalità informatica (IP/13/13), la proposta di una normativa sugli attacchi ai sistemi d’informazione (IP/10/1239) e l’instaurazione di un’alleanza mondiale contro l’abuso sessuale di minori online (IP/12/1308). Scopo della strategia è inoltre istituire e finanziare una rete di centri di eccellenza nazionali contro la cibercriminalità, per facilitare la formazione e la creazione di capacità.
La proposta di direttiva sulla sicurezza delle reti e dell’informazione rappresenta un elemento fondamentale della strategia complessiva e richiede che tutti gli Stati membri, i principali operatori internet e di infrastrutture critiche (come le piattaforme per il commercio elettronico e le reti sociali), nonché gli imprenditori nei settori dell’energia, dei trasporti, dei servizi bancari e dell’assistenza sanitaria si adoperino per garantire un ambiente digitale sicuro e affidabile nell’intera Unione. La proposta di direttiva stabilisce misure che prevedono:
a) l’elaborazione da parte degli Stati membri di una strategia per la sicurezza delle reti e dell’informazione e la designazione di un’autorità nazionale competente in materia, dotata delle risorse finanziarie e umane necessarie per prevenire, far fronte e rispondere ai rischi e agli incidenti che si verificano in tale ambito;
b) l’istituzione di un meccanismo di cooperazione tra gli Stati membri e la Commissione, al fine di mettere in comune mediante un’infrastruttura sicura i sistemi di preallarme riguardo a rischi e incidenti, collaborare e organizzare regolarmente valutazioni inter pares;
c) l’adozione – da parte degli operatori di infrastrutture critiche in alcuni settori (servizi finanziari, trasporti, energia, sanità), degli operatori di servizi della società d’informazione (in particolare: app store, piattaforme di commercio elettronico, pagamenti su internet, “cloud computing”, motori di ricerca, reti sociali) e degli amministratori pubblici – di prassi in materia di gestione dei rischi e di notifica degli incidenti gravi a livello di sicurezza nei rispettivi servizi fondamentali.
Neelie Kroes, Vicepresidente della Commissione europea e responsabile dell’Agenda digitale, ha dichiarato:
“Più si conta su Internet, più si tende a credere che la rete sia sicura. La sicurezza su internet tutela le nostre libertà e i nostri diritti, come pure la nostra capacità di esercitare attività economiche. È giunto il momento di adottare iniziative coordinate, in quanto non farlo avrebbe un costo assai superiore”.
Catherine Ashton, Alta rappresentante dell’Unione europea per gli Affari esteri e la politica di sicurezza nonché Vicepresidente della Commissione, ha dichiarato:
“Affinché il ciberspazio resti aperto e libero, occorre che alle transazioni su internet si applichino regole, principi e valori promossi dall’UE al di fuori di tale ambito. È necessario che nel ciberspazio siano tutelati i diritti fondamentali, la democrazia e lo Stato di diritto. L’UE collabora con i suoi partner internazionali, con la società civile e con il settore privato per promuovere questi diritti a livello mondiale.”
Cecilia Malmström, Commissaria per gli Affari interni, ha dichiarato:
“Questa strategia evidenzia le azioni concrete che abbiamo intrapreso per ridurre drasticamente la cibercriminalità. Numerosi Stati dell’UE non dispongono dei mezzi necessari per individuare e combattere la criminalità organizzata online. Tutti gli Stati membri devono istituire unità nazionali efficaci contro la criminalità informatica, che beneficino dell’esperienza e del sostegno del Centro europeo per la lotta alla criminalità informatica EC3.”
Contesto
Gli incidenti a livello di sicurezza informatica aumentano per frequenza ed entità, diventano sempre più complessi e sono transfrontalieri. Questi incidenti possono provocare gravi danni alla sicurezza e all’economia. Occorre migliorare le iniziative al fine di prevenire, cooperare e conseguire una maggiore trasparenza in materia di incidenti informatici.
Alcuni dati attuali sulla sicurezza informatica
Si stima che ogni giorno circolino 150 000 virus informatici e siano infettati 148 000 computer.
Secondo il Forum economico mondiale, vi è una probabilità dell’ordine del 10% che nel prossimo decennio si verifichi un grave incidente nelle infrastrutture critiche informatizzate, in grado di causare danni per circa 250 miliardi di dollari.
La criminalità informatica provoca un’elevata percentuale di incidenti: secondo stime di Symantec le vittime di questo tipo di criminalità subiscono ogni anno a livello mondiale perdite per circa 290 miliardi di euro. Uno studio di McAfee calcola i profitti di detta criminalità a 750 miliardi di euro all’anno.
Dall’indagine svolta da Eurobarometro sulla sicurezza informatica nel 2012 è emerso che il 38% degli utenti di internet ha modificato il proprio comportamento a causa di preoccupazioni in questo ambito: il 18% è meno propenso a comprare prodotti su internet e il 15% è più restio a effettuare operazioni bancarie on line. Il 74% degli intervistati concorda sul fatto che il rischio di subire attacchi informatici è aumentato, il 12% è già stato vittima di frodi informatiche e l’89% evita di indicare informazioni personali.
Secondo la consultazione pubblica sulla sicurezza delle reti e dell’informazione, il 56,8% degli intervistati ha subito l’anno scorso incidenti a livello di sicurezza con gravi ripercussioni sull’attività svolta.
Peraltro da dati Eurostat risulta che al gennaio 2012 soltanto il 26% delle imprese nell’UE aveva formalmente definito una politica di sicurezza delle TIC.
Link utili
MEMO/13/71 FAQ
Cyber Security strategy: La strategia sulla sicurezza informatica – “Uno spazio informatico aperto e sicuro”
Proposal for a Directive La proposta di direttiva recante misure volte a garantire un livello comune elevato di sicurezza delle reti e dell’informazione nell’Unione (in inglese):
Have Your say (Di’ la tua!)
Hash Tag: #cybersecurity
Per seguire Neelie Kroes su Twitter
Sito di Cecilia Malmström: website
Per seguire Cecilia Malmström su Twitter
Sito di Europol EC3: website
Alleanza mondiale contro l’abuso sessuale di minori online
