La Camera dei Rappresentanti degli Stati Uniti ha approvato, il 29 marzo, il “Better Cybercrime Metrics Act” (S.2629), che qualora venisse firmato dal Presidente Joe Biden cambierebbe il modo in cui il cybercrimine viene monitorato, misurato e classificato. La legge, presentata dal senatore Brian Schatz (D-Hawai’i), è stata approvata dalla Camera con un voto bipartisan di 377 favorevoli e 48 contrari. A luglio 2021 era stata approvata, sempre in maniera bipartisan, dal Senato.
La legge incoraggerà le forze dell’ordine a segnalare i crimini informatici nelle loro giurisdizioni al Federal Bureau of Investigation (FBI), il quale sarà così tenuto a conteggiare, in modo sistematico e completo, le metriche dei crimini informatici e le relative categorie, come già fatto per altri tipi di reati contro la proprietà. Al fine di mettere a punto tali strumenti viene dato mandato alla National Academy of Sciences (NAS) di elaborare una tassonomia e un sistema classificatorio ad hoc.
La normativa è stata parzialmente ispirata ad alcuni attacchi, in primis quello a SolarWinds (un tipico attacco alla supply chain), che ha portato alla compromissione di centinaia di agenzie federali e società commerciali, nonché quello all’infrastruttura critica Colonial Pipeline, del maggio scorso, il quale ha causato notevoli disagi e danni economici dovuti all’interruzione di gas per quasi una settimana, lungo la costa atlantica. A queste circostanze, si sono aggiunti, infine, gli attuali attacchi cibernetici a seguito del conflitto tra Ucraina e Federazione russa che non hanno risparmiato neanche l’Italia (a solo titolo esemplificativo, gli attacchi alla Rete ferroviaria italiana e al ministero della Transizione ecologica).
La legge è importante, sotto diversi aspetti, a prescindere anche dalla sua effettiva entrata in vigore, perché può rappresentare un buon benchmark per l’ancor fragile ecosistema digitale nazionale che ha avuto, lo scorso agosto, una prima ipostasi strategica mediante la nascita dell’Agenzia per la cybersicurezza nazionale (ACN), rappresentandone, di fatto, il primo mattoncino istituzionale.
Il primo aspetto che interessa qui mettere in evidenza riguarda le metriche che vengono attualmente utilizzate dalle forze di polizia e di sicurezza per identificare, classificare e compilare le statistiche relative al cybercrimine. Ciò può essere considerato, a prima vista, un aspetto probabilmente superficiale rispetto a tanti altri correlati al fenomeno, ma se si riflette, con maggiore attenzione, si può facilmente constatare che così non è.
La mancanza di una classificazione specifica dei reati informatici riflette diverse manchevolezze. Vi è, in primo luogo, una disparità nella segnalazione dei dati tra questi e gli altri tipi di dati sulla criminalità. Attualmente il cybercrime è divenuto l’attività criminosa più comune negli Stati Uniti così come avvenuto, peraltro, anche in Italia. Tuttavia, la grande maggioranza di essi non viene adeguatamente segnalata o monitorata e, in molti casi, gli incidenti informatici non vengono affatto misurati. Secondo alcune stime, difatti l’FBI non raccoglie tutti gli incidenti di criminalità informatica nel suo database dell’Internet Crime Complaint Center (IC3). Allo stesso tempo, anche l’ufficio di statistica presso il Department of Justice (DoJ) e il Census Bureau potrebbero affinare le esigenze conoscitive dell’intero sistema mediante l’inclusione di domande relative alla criminalità informatica nell’ambito di diverse indagini annuali.
Comprendere meglio le dimensioni e la portata degli attacchi cibernetici è, pertanto, l’aspetto precipuo che si prefigge la nuova normativa statunitense. In particolare, l’analisi esaustiva dei dati consentirà l’adozione di un approccio più olistico nell’affrontare tali crimini da parte dei decisori politici, una maggiore consapevolezza da parte del pubblico, una maggiore dotazione di risorse umane e una loro più solida formazione, ma soprattutto un maggiore afflusso di risorse finanziarie (forse l’aspetto a cui erano più interessate le diverse lobby che ne hanno perorato la causa). In definitiva, il “Better Cybercrime Metrics Act” migliorerebbe in maniera drastica le modalità con cui il Governo federale, tramite le sue Agenzie, tiene traccia, misura, analizza e persegue la criminalità informatica.
Un secondo aspetto, infine, di non minore importanza, tutt’altro, riguarda l’utilizzo di un sistema generale di classificazione mediante l’utilizzo di ontologie e di tassonomie ad hoc nel campo dei crimini informatici. Autorizzare uno studio presso la NAS significa riconoscere che per la risoluzione del problema bisogna far ricorso alla comunità scientifica la quale ha le conoscenze scientifiche, le risorse e gli strumenti tecnologici per cercare di mettere a punto tale sistema. Peraltro, la stessa NAS, nel recente passato, aveva già pubblicato i rapporti “Modernizing Crime Statistics”: 1) “Defining and Classifying Crime”, nel 2016; 2) “New Systems for Measuring Crime”, nel 2018. Il punto di partenza di una tale attualizzazione definitoria e classificatoria è partire dal “Cosa è un cybercrimine?”. E, come si può ben immaginare, tale domanda non dà adito a facili scappatoie e semplificazioni.
A dire il vero questo aspetto definitorio e classificatorio non riguarda solo il cybercrime, ma investe l’ambito generale della cybersecurity in quanto la messa a punto di una riflessione sistematica sulle categorie universali della stessa, in termini di ontologie e di tassonomie, non ha ancora portato a una definizione univoca tra gli addetti ai lavori. Ciò costituisce, nondimeno, un aspetto significativo perché ha una portata sostanziale chiedersi, e definire in un momento successivo, “Cosa sia un cyber incidente?” e “Cosa sia un data breach?”
Come si può facilmente inferire dalle due tematiche summenzionate, che si sono sin qui brevemente delineate, esse hanno solo l’esplicito scopo di mettere in evidenza l’aspetto strategico delle tassonomie e delle ontologie le quali si riverberano, in un secondo momento, anche in quello della condivisione delle minacce (info sharing) e in tutti i principali aspetti della cybersicurezza.
Un approfondimento di tali aspetti sarebbe di estrema utilità anche in Italia e potrebbe essere preso in carico dall’Agenzia per la cybersicurezza nazionale. Se è pur vero che l’ACN, nell’attuale frangente, si trova non solo impegnata in un percorso istituzionale di “statu nascenti” quanto, ancor di più, in quello di far fronte, in un’ottica di resilienza, alla nutrita serie di attacchi, portati da attori malevoli statuali, alla Pubblica amministrazione e alle infrastrutture critiche, non è pur meno vero che l’affrontare, d’intesa con Università ed Enti di ricerca, tali questioni possa essere considerato meramente accidentale e di carattere sostanzialmente minore.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
