La NATO Cyber Defense Pledge Conference 2022, svoltasi a Roma lo scorso novembre e co-organizzata da Italia, Stati Uniti e International Staff dell’Alleanza, ha rilanciato l’attenzione alleata verso il dominio cibernetico. Al vertice di Madrid di giugno, gli alleati si erano già impegnati a rafforzare la resilienza rispetto alle minacce cibernetiche, e a integrare pienamente questo dominio nella postura di deterrenza e difesa collettiva: 2 sfide impegnative alla luce sia della Guerra in Ucraina sia delle caratteristiche del cyber space.
Dall’invasione russa del 24 febbraio, vi è stato un aumento radicale di attacchi cibernetici contro i Paesi alleati, in termini sia quantitativi che di portata. Poiché nel cyberspace qualsiasi nodo della rete può essere raggiunto da qualsiasi altro in una manciata di secondi, concetti propri della dinamica offesa-difesa visti drammaticamente attuati in Ucraina come linea del fronte, retrovie, profondità strategica, logistica, semplicemente non si applicano. Nello spazio cibernetico la Russia è il vicino di casa di ognuno, con tutte le conseguenze del caso.
Lo scorso agosto l’Estonia era sul punto di chiedere attivazione dell’articolo 5 del Trattato Nord Atlantico per un massiccio e sofisticato attacco cibernetico russo. Grazie agli investimenti in resilienza e difesa cibernetica, le istituzioni estoni hanno potuto individuare l’attacco in arrivo, difendersi, mitigare i danni e ristabilire il funzionamento delle infrastrutture informatiche danneggiate, evitando di portare il caso in ambito NATO in termini di difesa collettiva.
Attacchi del genere non sono solo una questione nazionale, per 2 motivi. In primo luogo, perché essendo le istituzioni nazionali – compresa la Difesa – in rete tra loro e con la NATO, se l’attacco cibernetico ha successo c’è il rischio di furto e/o diffusione di informazioni classificate, come avvenuto nel caso dell’Albania la scorsa estate, e comunque di infiltrazione nelle reti alleate. In un certo senso, la forza della difesa cibernetica NATO è pari a quella del suo anello più debole. In secondo luogo, perché nel caso di attacchi molto gravi, con conseguenze anche nel mondo reale in termini di danneggiamento di infrastrutture critiche e relative vittime – basti pensare all’esplosione di una centrale energetica - gli alleati potrebbero attivare l’articolo 5 con azioni militari non solo nel cyberspace ma in tutti e 5 i domini operativi.
In questo scenario continua a porsi un grave problema di attribuzione della paternità dell’attacco. Nel caso dell’incidente missilistico in Polonia della scorsa settimana, in meno di 24 h i Paesi NATO, condividendo intelligence e analizzando le evidenze fisiche sul terreno, hanno potuto appurare che si trattava di un missile della contraerea ucraina caduto per errore in territorio polacco, evitando inutili e pericolose escalation con la Russia. Nel caso di un attacco cibernetico, tale attribuzione certa è quasi sempre impossibile. Il dominio virtuale moltiplica le capacità dell’attaccante di nascondersi, e a volte di nascondere lo stesso attacco, o di incolpare altri attori. Certamente le maggiori potenze mondiali hanno sviluppato sofisticate capacità di detezione e di intelligence, ma resta comunque una certa alea che richiede una decisione politica forte per puntare il dito contro un altro Stato. Come discusso in un recente evento presso l’Istituto Affari Internazionali (IAI), ciò richiede di esercitare meglio e più spesso non solo le capacità di difesa cibernetica, ma anche il meccanismo decisionale – istituzionale e politico – per affrontare scenari del genere e non farsi cogliere impreparati di fronte a crisi che potrebbero essere inattese, spiazzanti e dalla dinamica molto veloce.
Come in altri domini operativi, la Guerra in Ucraina sta tragicamente fornendo lezioni da apprendere anche per quanto riguarda il campo cibernetico. Sebbene un certo livello di cyberwarfare tra Russia, Cina e i principali Paesi NATO sia in corso ormai da più di un decennio, con operazioni offensive e difensive condotte 24 ore al giorno 7 giorni a settimana, il conflitto in Ucraina ha visto un livello senza precedenti sia di operazioni cibernetiche sia di sforzi per integrarli in un’ottica multi-dominio. Da quello che sembra emergere dalla nebbia della guerra, nessuna delle 2 parti prevale nettamente nel cyberspace, anche grazie al supporto occidentale a Kiev, e tale fragile equilibrio sta permettendo agli ucraini di portare avanti la controffensiva terrestre.
È anche probabile che l’integrazione effettiva di operazioni cyber in chiave multi-dominio presenti sfide intrinseche, che ne riducono attualmente l’efficacia. Una per tutte attiene alla segretezza e opacità della guerra cibernetica, che la rende molto più simile ad azioni di intelligence che a operazioni militari. Ciò riguarda sia la mancanza di assetti materiali che possono essere monitorati, tracciati e, da parte alleata, coordinati, sia il fatto che gli stessi attori del campo occidentale – forze armate e istituzioni, ma anche operatori di infrastrutture critiche o aziende strategiche – non condividono dati sugli attacchi subiti o in corso, e ciò rende molto più difficile articolare la risposta alleata sia nel dominio cibernetico sia in quelli reali. Anche in questo settore, e forse ancora più che in altri, la cooperazione tra Paesi alleati e tra pubblico e privato è fondamentale non solo per la resilienza, ma pure per la deterrenza e la difesa.