Uno strumento di supporto alle decisioni per migliorare la gestione del Rischio nelle Infrastrutture Critiche
5 Aprile 2016
Programma CYBER CRIME CONFERENCE – 12 Aprile 2016 – Roma
5 Aprile 2016

Dall’idea di ‘dual use’ ….alla rivisitazione del concetto di ‘dominio’

In questo breve spunto di riflessione, l’A. – partendo dalla più generale fotografia della situazione socio-istituzionale che si trova oggi ad affrontare la ‘nuova conflittualità – desidera mostrare come il concetto di ‘dual use’ dei prodotti, può rappresentare uno strumento per controllare la gestione del potere fatta dai ‘contro-poteri’ con i quali un Stato deve confrontarsi, nell’epoca di ‘potenza diffusa’ e ‘realtà liquida’.

il concetto di ‘dual use’ (riferito ai prodotti informatici)
I beni a duplice uso sono elencati e descritti con dettagliate specifiche tecniche nell’allegato I del regolamento comunitario 1334/2000 (modificato con il regolamento 1183/2007) con il quale è stato istituito un regime comunitario di controllo delle esportazioni di prodotti e tecnologie a duplice uso e successive modifiche.
L’articolo 8, paragrafo 4 del Reg. (CE) n. 428/2009 del Consiglio pone infatti un obbligo a carico della Commissione europea di pubblicare le misure adottate dai singoli Stati membri per vietare l’esportazione dei prodotti a duplice uso non elencati nell’allegato del Regolamento stesso o per assoggettarla ad autorizzazione preventiva per motivi di sicurezza pubblica o di rispetto dei diritti umani.
Con nota informativa pubblicata in GUUE serie C 283 del 19 settembre 2012, la Commissione europea informa dei provvedimenti presi dagli Stati membri in materia di estensione dei controlli a prodotti non presenti nell’elenco dei beni “dual-use” per motivi di sicurezza o di rispetto dei diritti umanié[1].
L’Italia in particolare, ha notificato alla Commissione di aver assoggettato ad autorizzazione preventiva l’esportazione dei seguenti prodotti a duplice uso non elencati nell’allegato I per motivi di sicurezza pubblica o di rispetto dei diritti umani: (A) impianto di monitoraggio centralizzato per base di dati su LAN pubblica, servizi; (B) Internet e 2G/3G comprendenti:

  • attrezzature di realizzazione di diagrammi di flusso della comunicazione,
  • interfaccia e sistemi di mediazione per i componenti di sistema,
  • server di trattamento dei flussi monitorati,
  • software di trattamento dei flussi monitorati,
  • conservazione di archivi digitali,
  • workstation di gestione di basi dati,
  • software di gestione di basi dati,
  • infrastrutture per LAN.

l’attuale concetto di conflittualità (sociale, istituzionale, lavorativa, personale)
La conflittualità che oggi si vive (spesso tra entità che si sarebbe detto “asimmetriche” tra loro) incide non solo sulle dinamiche politiche globali, con attenzione particolare alle vicende europee, ma anche sul mondo della comunicazione e dell’informazione, strumenti ormai imprescindibili per la conduzione di una politica estera realmente efficace.
Nel mondo attuale, quindi, la conflittualità perlopiù non avviene più – neppure tra stati o tra sotto-sistemi – in modo binario, ma multidimensionale[2].
Oggi si parla di guerra nella noosfera, intendendo in primo luogo campi come Informazione, Comunicazione virtuale e Cibernetica. E infatti, da una micro-analisi delle principali concause emerse nella storia contemporanea, possiamo far riferimento a:

  1. la centralità dell’informazione, che si manifesta travalicando le distanze, influenzando le scelte politico- militari, conferendo maggiore influenza o togliendola, manifestandosi secondo una modalità universale e interdipendente;
  2. la diffusione di una violenza determinata da passioni culturali,etniche caratterizzate da spietata brutalità.
  3. la trasformazione del concetto di spazio: accanto a quello geopolitico si affaccia la noosfera e si affianca l’infosfera, dimensione per eccellenza della manipolazione, il cyberspazio nel quale l’informazione numerica circola e permette l’interazione degli attori.
    Ebbene l’insieme di questi primi elementi determina la “guerra cibernetica”, che puo’ prendere forma ora nel cyber-terrorismo ora nella cyber-propaganda e che attraverso la moderna facilità di adire le vie di comunicazione (internet, aria, acqua, energia, moneta virtuale, …) consente agli attori (già definiti “asimmetrici” – es.: ANONYMOUS) di avere un contatto diretto con il pubblico; a cui si somma l’eventuale azione dei media.
  4. l’approccio strategico indiretto – sorto con Sun-tzu e sviluppato dal Patto di Varsavia – finalizzato a modificare il sistema nemico.
  5. l’altra caratteristica consiste – non nella ricerca della superiorità, come nella guerra tradizionale, ma – nella conversione in debolezza della superiorita’ dell’avversario (come nei conflitti dei guerriglieri in Vietnam e dell’E.Z.L.N. nel Chiapas).

L’obiettivo della guerra detta “asimmetrica” non è quindi necessariamente l’annientamento fisico dell’avversario, ma il subentrare nella sua gestione del potere, sostituendolo nella gestione delle menti dei soggetti gestiti. I motivi di ciò possono essere almeno tre:

  1. imperando oggi il concetto di “fluidità” – propria anche di fenomeni quali le istituzioni –, le strutture economico-giuridiche rischiano il collasso se non sono “condivise” (posto che oggi sono sempre più “orizzontali”)
  2. i rapporti sono sempre più “virtuali”, anzi gli effetti sono aumentati dalla estrema interconnettività tra persone, automi, istituzioni e fanno trovare tali soggetti in concorrenza tra loro (già in alcune parti del mondo si trova la “connettività tra persone” o internet.2 e già è stato ideato internet.3 o interconnessione tra cose)
  3. il carattere di “asimmetria” che ha caratterizzato il mondo delle relazioni umane negli ultimi decenne, sta così modificandosi, dando la possibilità di competere tra strutture, cose, persone, automi altrimenti non comparabili tra loro. Esemplificazioni di ciò sono il Terrorismo o la Pirateria, che riescono a tenere in scacco entità economicamente e giuridicamente molto più complesse e strutturate.

la consapevolezza del rischio e la cultura della qualità / sicurezza
Una larga fascia di Cittadini, Consumatori, Professionisti, Dipendenti, ben preparata e consapevole delle problematiche della Sicurezza, potrebbe essere la chiave per il successo di uno Stato consapevole dell’esistenza del Rischio (dove la verità è che non si è mai ‘preparati’, si può solo essere ‘pronti’) e di un programma aziendale od istituzionale efficace. L’importanza del fattore umano coinvolto nella sicurezza non può e non deve essere sottovalutata. D’altra parte, il concetto di ‘rischio’ deve passare dal costituire appannaggio di matematici o al massimo uomini di azienda, all’essere un elemento portante della coscienza consapevole di essere parte di un sistema eco-complesso instabile.

L’obbligo della previsione di “security” e di “business continuity” managers che gestiscano gli O.S.P.s sono l’esempio lampante di tale fenomeno. Fenomeno, ricordiamo, che si può dire sia iniziato con la previsione – a livello europeo ed internazionale – dei così detti “standards”, sia di processo che di prodotto.

Gli “standards” sono definiti “norme tecniche” ma, nel tempo, da ‘disciplinari tecnici’ sono divenuti vera e propria fonte normativa primaria, avendovi le leggi fatto riferimento e, quindi, riconducendoli nell’alveo dei propri dettati.

Successivamente, gli stessi modelli organizzativi della produzione e delle risorse hanno reclamato la presenza di “atteggiamenti” omogenei, che fossero in grado di garantire quantomeno i presupposti sui quali costruire il risultato economico delle singole aziende. Tra questi ultimi, il fattore “sicurezza” è man mano emerso preponderantemente, andandosi a collegare con un fenomeno a carattere giuridico, che è quello della tutela del consumatore. Fenomeno che, tuttavia, è nato proprio per garantire una sorta di “funzione di controllo qualità” effettuata dall’esterno alla struttura aziendale.

Ecco che “Sicurezza” e “Qualità” si collegano e più volte si riallacciano in un continuum che entra prepotentemente a far parte di quella Cultura aziendale “classica” e forse definibile anche “etica”. Cultura che oggi declina anche – in moltissimi, ma non in tutti i Paesi – i termini di “Sostenibilità” nei confronti della Terra e dei Diritti Umani ed “Efficienza”, verso gli interessi economici e sociali non solo del Mercato ma della Convivenza civile.

Norme sulla sicurezza informatica (Legge privacy) e cibernetica (….), modelli di comportamento per evitare le responsabilità amministrative aziendali (ex lege 231), regole di autodisciplina sul comportamento etico, codice sulla sicurezza sul lavoro (T.U. n. 81 del 2008), normative ambientali, dettati di codici e giurisprudenza, normative relative al codice I.S.P.S. ed all’A.D.R. ed inoltre il problema della tutela preventiva e successiva delle Infrastrutture Critiche, le previsioni relative al segreto di stato, l’aderenza agli standard, i principi di sostenibilità, rappresentano un quadro di riferimento unitario che, attraverso un corretto processo di Security Risk Management, permette una sintesi tra norme, attività, esigenze aziendali ed esigenze statuali.

Il concetto stesso di S.R.M. sta a indicare la ricordata Qualità – in tutti gli aspetti della gestione – che garantisce correttezza, trasparenza, legalità, controllo e verificabilità dei processi, finalizzate non solo alla difesa degli interessi degli azionisti di riferimento, ma anche e soprattutto dei vari stakeholders (Fornitori, Consumatori, Comunità, Istituzioni).

E tale processo è, anzi, collegato al ‘percorso della Qualità’ a cui le Aziende si devono improntare per motivi normativi (internazionali, comunitari, statali, locali), regolatori (delle Autorità amministrative) oltre che di standardizzazione e di etica.

Non ultime, le recenti normative in tema di anti-riciclaggio, contrasto al crimine organizzato, anti-terrorismo. Questo è in linea con la moderna tendenza a considerare le Organizzazioni sociali quali parti importanti – a volte addirittura strutturali e nagari anche “critiche” – della civica convivenza, quindi gangli indispensabili per la gestione orizzontale della società e per la creazione del benessere sociale.

Il percorso Sicurezza e Qualità diventa quindi vero e proprio ‘processo comunicativo di Valore’ (a valenza sia interna che esterna) che ogni organizzazione anche non commerciale attua, in cui ruolo specifico ed essenziale è fornito – ovviamente – dal Security Operational Plan, dal Disaster Recovery Plan nonché dall’Analisi dei Rischi e dove il Risk Assessment assume un ruolo di base che contribuisce a fornire gli elementi necessari alla mitigazione di rischi ed al soddisfacimento di obblighi connessi all’esercizio di impresa e, quindi, alla funzione della Security, che pertanto occorre si munisca degli strumenti propri della Corporate Social Responsability.

A ben vedere, qualsiasi decisione strategica importante (come ad es.: apertura di nuovi mercati, istituzione di nuovi insediamenti, innovazioni tecnologiche, progetti d’ingegneria complessi, …) possono influenzare la qualità della vita dei dipendenti o degli stackholders, quindi devono essere accompagnati da un processo di analisi e valutazione dei possibili danni alle categorie interessate dall’espletarsi dell’attività d’impresa.

La “creazione efficiente di valore” risulta quindi essere criterio valido in modo oggettivo, a prescindere quindi da teorie economiche (soggette anche a visione particolaristiche di varia natura), quindi utile per indirizzare le scelte giuridiche di tutela ed agevolare economicamente le situazioni sociali di scambio, relazione, trasmissione di beni.

Esempi di ciò si potranno vedere in ogni ambito: nella legislazione in tema di “successione di imprese familiari”, in quella relativa alla tassazione dei patrimoni immobiliari, piuttosto che nella legislazione sul lavoro, sugli appalti nei settori esclusi od in quella dei gradi di procedimento giudiziario. Ma è lo stesso criterio di razionalità del percorso valore che disciplina le garanzie nel settore delle IC

la promozione del rispetto dei DIRITTI UMANI quale cardine della discorso
Una delle massime priorità delle relazioni esterne dell’UE è la promozione del rispetto dei diritti umani, quale elemento principale e chiarificatore del ‘diritto internazionale’ quindi del sistema regolatorio dei rapporti tra attori internazionali, governativi o non governativi.
Tale cardine figura anche tra i principali obiettivi della politica estera e di sicurezza comune (PESC). La lotta contro la tortura e le altre pene o trattamenti crudeli, disumani o degradanti, sebbene numerosi strumenti internazionali proibiscano questo genere di gravi violazioni della dignità umana, è ancor oggi necessaria, a tal fine è stato adottato il regolamento comunitario n. 1236/05 del Consiglio 27 giugno 2005, modificato dal Reg. Es. (UE) 1352/2011, che istituisce uno specifico regime per il commercio di taluni dispositivi e prodotti che potrebbero essere uti lizzati appunto per la tortura o trattamenti disumani.

il Dominio è sempre più caratterizzato da dimensioni non concrete
Introducendo un istituto, quello del ‘dominio’ (di per sè non concreto, ma basantesi su ‘rapporti’ e ‘relazioni’) non possiamo non individuarlo in dimensioni non già concrete ma virtuali, aeree, spirituali. L’istinto predatorio sarebbe invece rimasto tale, da quando ci fu il famigerato ‘peccato originale’. Uno strumento che ha provato ad applicare il “Predominio” al nuovo (a motivo delle innovazioni tecnologiche e sociali) concetto di Dominio è quello dei così detti ‘fondi sovrani’.
Al contrario, uno strumento che ha provato a disinnescare il Predominio è la rivoluzione religiosa con portato trascendentale (anche se poi l’Uomo è uomo con vizi e virtù…).

Una Storia fatta di contenitori
Se è vero che l’Uomo si costruisce il contesto in cui vive, quindi vive dentro una scenografica immagine, la Storia può esser anche vista come una continua creazione di contenuti, all’interno di contenitori forniti da altri.
Dal mito platonico della caverna alle moderne costruzioni cognitivistiche, non è quindi passato molto tempo.
Ciò che, forse, potrebbe essere differente è il mezzo del messaggio e il suo impatto. Cioè: il mezzo è oggi rappresentato da sistemi iperdimensionali che permettono di raggiungere -quantitativamente e qualitativamente – una massa enorme e indifferenziata di persone, animali e cose. Il suo impatto, d’altronde, comporta una espansione ultrasensoriale, sia quantitativa che qualitativa.
Mezzo e impatto del Messaggio sono talmente coinvolgenti e stravolgenti che si arriva giustamente a parlare di “realtà multidimensionale” e “fluida”.
L’idea che il cambiamento in atto sia di tale durata, portata ed intensità da non potere essere più associato al concetto di crisi. Il cambiamento che stiamo vivendo, in alcuni momenti drammaticamente, non è così un fatto eccezionale con precisi confini di tempo. E’ invece la normalità destinata ad accompagnarci, nel bene o nel male, per tutta la nostra vita.

il Dominio, il Potere, i Contro-poteri e i Poteri-alternativi
L’A. desidera concludere queste rapide note con uno spunto di riflessione, quello che, per comprendere l’attuale scenario umano, non si può non considerare come esso sia completamente e profondamente influenzato da una serie di situazioni e fenomeni in cui, forse, uniche chiavi di lettura sono: Multidimensionalità, Complessità e Rischio. In questo nuovo quadro, pertanto, non è possibile prescindere dal considerare come la realtà è altamente mobile e influenzata da criteri fino ad oggi considerate ‘variabili fisse’, ma ora mobili anch’esse.
Ci riferiamo al rapporto tra soggetti e gruppi / sotto-gruppi sociali. E, trattando di questo argomento, non possiamo non pensare al (enorme) problema dei ‘gruppi sociali erranti’. Erranti, sia in quanto non stanziali, sia in quanto definibili come soggetti che errano (rispetto ai valori-guida); in entrambe le accezioni, comunque, il punto fondamentale della problematica sta nel fatto che esisterebbe un ‘gruppo dominante’ all’interno di una realtà sociale territoriale.
Ora, però, se è vero quanto in premessa, non si deve più dare per scontato che esista una ‘realtà sociale territoriale’ quale elemento unico atto a determinare lo spazio di dominio e che esista un ‘gruppo dominante’ solamente perchè ha ‘invaso’ – le figure che formalmente fanno individuare il dominio.
Infatti, rispetto alla prima situazione, non si può non vedere come già la sola ‘cyber dimensione’ abbia determinato, già da tempo, il venir meno dei canoni classici del dominio e delle sue manifestazioni sostanziali (ma ha lasciato quelle esteriori).

Rispetto alla seconda circostanza, poi, si può richiamare la forza espansiva crescente dei così detti ‘gruppi criminali’, ai quali oramai si riconosce non più, solo, la possibilità di aumentare il PIL di un Paese, ma di determinarne la Ricchezza. E, se tutto ciò ha un senso, crediamo che si possano giungere anche – ad una rideterminazione, non solo dei criteri con cui sono concepite le regole giuridiche, ma – più in generale – i criteri ispiratori della ordinaria convivenza civile. Basti pensare, come esempio, a tal proposito, che oggi viene dato per scontata la coesistenza paritaria con più specie: umana, cyborg, virtuale, animale, aliena!

Ciò ovviamente porta, o meglio dovrebbe portare, ad una rivisitazione del concetto di ‘dominio’, sia esso visto come l’elemento pervasivo dell’istituto della ‘proprietà’ (privata e pubblica), sia esso il carattere costitutivo di istituti quale il rapporto tra Sovrastruttura istituzionale e sue Componenti soggettive.

NOTE

  1. “Dual-use” è un termine usato in politica e nella diplomazia, per riferirsi alle tecnologie che possono essere usate per scopi pacifici e militari; di solito riguarda la proliferazione delle armi nucleari. Diversi tipi di reattori nucleari producono materiale per la fissione, come il plutonio; dopo essere stato prodotto, questo può essere usato nella ricerca per lo sviluppo di armi nucleari; tuttavia possono anche essere usati con propositi civili e pacifici, per esempio, provvedere all’elettricità di una città. Peraltro, una nazione che vuole sviluppare un’arma nucleare potrebbe costruire un reattore giustificandolo attraverso propositi civili (e dopo, magari, usare il plutonio per costruire un’arma nucleare). È, esattamente quello che ha fatto l’India per sviluppare la sua prima bomba atomica nel 1960. Altro esempio è dato dall’industria missilistica. Durante la Guerra Fredda, gli Stati Uniti d’America e l’URSS spesero miliardi di dollari per lo sviluppo di tecnologie missilistiche che avrebbero portato l’uomo nello spazio e poi sulla luna. La conoscenza acquisita dalla tecnologia missilistica, per scopi pacifici, servì anche per lo sviluppo tecnologico di missili balistici intercontinentali. L’Agenzia Internazionale per l’Energia Atomica tenta di monitorare il dual-use nei paesi firmatari del Trattato di non proliferazione nucleare, per assicurarsi che il materiale utilizzato per la fissione non sia deviato a funzioni militari. In eventi recenti, sia Iran sia Nord Corea sono stati accusati di avere armi nucleari, ma i programmi sono basati sulla tecnologia dual-use. La maggior parte dei paesi industriali ha controlli di esportazione su certi tipi di tecnologie designate dual-use. Questi controlli, richiesti anche da molti trattati, limitano l’esportazione di certe merci e tecnologie senza l’autorizzazione del governo. Ma anche molti prodotti industriali (apparati di trasmissione), o addirittura utilizzati in agricoltura (fertilizzanti), possono essere oggetto di ‘duplice uso’..
  2. Vorrei rifarmi ad un precedente studio: CARLI,C.C., Sicurezza nazionale al tempo della “network warfare” -risposte ordina mentali e impatto economico delle piraterie – un’analisi di economia criminologica, in: riv. Information Security, n. 13, sett. 2012.

A cura di Carlo C. Carli, Già legale d’azienda dei comparti finanziario e energetico, docente di diritto internazionale tributario e umanitario, è avvocato, tit. Army Leg.Adv., presidente di AGEIE.

Articolo pubblicato sulla rivista ICT Security – Giugno 2015

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy