La Germania passa all'offensiva sul fronte cyber. Il dibattito sull'hack back: "L'Europa non può più rimandare"

Il commento di Stefano Mele, esperto di cybersecurity, Socio AIRIA e Partner di Gianni & Origoni

In questi giorni si discute molto della proposta del governo tedesco di ampliare i poteri del Bundesnachrichtendienst (BND) nel dominio cibernetico, introducendo la possibilità di operazioni offensive contro attori ostili.

La notizia è stata rapidamente sintetizzata a livello giornalistico con l’espressione “hack back”. In realtà, la questione è molto più complessa e, soprattutto, molto più politica.

Il punto, infatti, non è semplicemente autorizzare o meno operazioni offensive di tipo reattivo nel cyberspazio. Il punto vero è riconoscere sul piano politico che il cyberspazio è ormai a tutti gli effetti un dominio di competizione strategica tra Stati.

Sembra strano a dirsi, ma si fa ancora molta fatica, anche in Italia.

Negli ultimi anni abbiamo assistito a campagne sempre più persistenti di intrusione, sabotaggio, interferenza e intelligence nel e attraverso il cyberspazio, che colpiscono infrastrutture critiche, istituzioni pubbliche e filiere industriali strategiche. In questo contesto, limitarsi ad una postura puramente difensiva significa accettare una posizione di strutturale vulnerabilità.

È proprio questo il nodo che oggi la Germania sembra voler affrontare in modo trasparente ed esplicito.

Va anche ricordato tuttavia che, in Europa, il dibattito non parte da zero. Alcuni Paesi, infatti, hanno già da tempo integrato capacità cibernetiche offensive di tipo reattivo all’interno della propria architettura di sicurezza nazionale e nel “playbook” operativo.

L’Italia, ad esempio, già dal 2022 ha attribuito questo genere di poteri nel dominio cibernetico alla comunità dell’intelligence con il supporto della Difesa. Si è trattato, ieri come oggi, di una scelta che riconosce un dato ormai evidente, ovvero che le capacità cyber non sono solo strumenti tecnici di protezione delle infrastrutture, ma componenti della postura strategica di uno Stato.

Parallelamente, nel nostro Paese si discute ormai da oltre un anno anche dell’altra dimensione del problema, cioè la definizione di una cornice normativa più chiara sulle modalità di risposta, sul coordinamento tra istituzioni e sui meccanismi di attribuzione delle responsabilità.

Ed è proprio qui che si colloca la vera questione.

Il problema non è l’esistenza della possibilità di utilizzare capacità offensive cyber in sé. Tutti i principali attori internazionali ne dispongono già. Il problema è come queste capacità vengono governate.

In assenza di un quadro giuridico chiaro, di meccanismi di supervisione adeguati e di una definizione precisa delle responsabilità istituzionali, il rischio non è solo giuridico, ma anche e soprattutto strategico. La credibilità della capacità di deterrenza digitale di uno Stato dipende, infatti, anche dalla sua legittimità e dalla trasparenza delle regole che ne disciplinano l’utilizzo.

Da questo punto di vista, quello che sta accadendo in Germania evidenzia, a mio avviso, anzitutto una progressiva maturazione del dibattito europeo sulla sicurezza cibernetica.

La sfida adesso è evitare che ciascun Paese sviluppi architetture normative e operative completamente autonome e disallineate tra loro.

In un dominio come quello cibernetico, dove le operazioni attraversano confini, giurisdizioni e infrastrutture distribuite su scala globale, una frammentazione delle risposte nazionali rischia di indebolire la postura complessiva europea.

Il dibattito tedesco, quindi, non riguarda soltanto la Germania. Attiene, invece, alla maturazione di una consapevolezza molto più ampia e legata al comprendere nel cyberspazio come la sicurezza non dipenda solo dalla capacità di difendersi, ma anche dalla capacità di governare in modo credibile e coordinato gli strumenti di risposta.

Ed è probabilmente su questo terreno che, a mio avviso, si giocherà una parte importante della futura sicurezza europea.