Non è casuale che la Commissione europea stamane abbia aperto un’ulteriore consultazione pubblica sulla sicurezza in rete per racimolare esperienze e suggerimenti specialmente sul versante delle imprese. E che abbia condito l’annuncio di dati piuttosto allarmanti, segnalando ad esempio che nel solo 2011 gli attacchi informatici sono lievitati del 36% rispetto all’anno precedente. Cloud computing e rivisitazione delle normative sulla fibra non sono infatti gli unici dossier autorevoli alle viste. In previsione del rientro dalla pausa estiva, nel cantiere dell’Agenda Digitale Europea fervono anche gli ultimi ritocchi ad un approfondito piano di contrasto al crimine online. I servizi dell’esecutivo di Bruxelles stanno lavorando con grande sollecitudine alla finalizzazione della prima strategia su scala comunitaria in materia di sicurezza informatica. Secondo quanto appreso in anteprima dal Corriere delle Comunicazioni, il piano dovrebbe articolarsi su tre stringhe di azioni, accomunate dal proposito di aprire un solido canale di coordinamento tra stati membri, istituzioni europee e industria.
La Commissione europea si prefigge anzitutto di imprimere maggiore coerenza alle iniziative contro il crimine informatico promosse in ciascun paese membro vincolandole a una griglia di criteri di sicurezza comuni. Secondo Bruxelles, gli anticorpi contro un fenomeno che nelle parole del Commissario alla società dell’informazione Neelie Kroes incarna “una minaccia molto reale e in rapida espansione” possono divenire appieno efficaci solo se immessi in un contesto di armonizzazione rafforzata. Sulla stessa lunghezza d’onda, il secondo pilastro della strategia disegna le mosse pratiche da intraprendere a livello centrale. In particolare il varo di dispositivi comuni di prevenzione, individuazione del rischio e risposta agli attacchi. Infine, il terzo tassello del piano appunta lo sguardo sugli operatori del mercato, prefigurando anche per costoro l’adozione di standard condivisi.
L’ossatura del documento, in verità, è pronta da almeno un paio di mesi. Ma non sono state ancora sciolte le riserve circa la veste giuridica con cui confezionarlo. Ossia se esso possederà sin dall’inizio i crismi legali del regolamento oppure di una semplice comunicazione. Meno nebulose appaiono le tempistiche di ufficializzazione. Novembre al più tardi, fanno sapere fonti interne alla Commissione, non nascondendo un certo senso di urgenza. Del tutto legittimo. Perché l’infittirsi di rischi e incidenti legati alla criminalità sulla rete non costituisce solo un motivo di crescente preoccupazione per i 27, a suo tempo messi bruscamente sul chi vive dal violento attacco informatico subito dall’Estonia nel 2007. La questione svetta ormai anche in cima alle inquietudini degli internauti europei. Lo dimostrano le conclusioni di un Eurobarometro presentato lo scorso 9 luglio dalla stessa Neelie Kroes e secondo il quale l’89% del campione intervistato evita di fornire informazioni personali online e il 74% ritiene che il rischio di cadere vittima di reati informatici sia aumentato negli ultimi anni.
Per disinnescare il montante clima di allarme, la prima parte della strategia prevede l’insediamento in ogni stato membro di autority o agenzie ad hoc incaricate di assicurare una sorveglianza più capillare, nonché di dare applicazione coerente alle future norme europee in materia. A questo passaggio preliminare, dovrebbe affiancarsi la definizione in tempi rapidi di 27 strategie nazionali che, tra gli altri, dovranno includere un piano d’emergenza in caso di attacchi informatici di vasta portata.
In un secondo momento, le autority entreranno a far parte di un network transnazionale, che di concerto con la Commissione europea dovrà discutere e determinare approcci condivisi e coordinare la nascita di un sistema europeo di allerta, come anche di dispositivi di risposta agli attacchi. La lista di azioni cui si presterà il costituendo organismo, che fa da perno alla seconda sezione della strategia, è ben assortita. E comprende, tra gli altri, lo scambio di informazioni sensibili e buone pratiche.
Si profila inoltre un aggiornamento dei requisiti minimi richiesti all’industria in materia di sicurezza e integrazione per l’industria. Con la novità piuttosto importante che essi verranno estesi dagli operatori delle reti a tutti gli attori di internet. Queste le prime anticipazioni. Ma bisognerà attendere almeno sino a settembre per avere maggiori dettagli.
