Le istituzioni Ue hanno un problema di cibersicurezza

Il caso più eclatante è stato il ciberattacco sferrato l'anno scorso nei confronti dell’Ema, l'Agenzia europea per i medicinali, "che ha portato alla divulgazione di dati sensibili poi manipolati per minare la fiducia nei vaccini". Ma non si tratta di un episodio isolato: tra il 2018 e il 2021, gli attacchi informatici nei confronti di istituzioni e agenzie dell'Unione europea sono decuplicati. Un fenomeno che preoccupa soprattutto visto quanto segnala la Corte dei conti europea, che in un audit dichiara senza mezzi termini: la "preparazione in materia di cibersicurezza" degli organi Ue è "complessivamente non commisurata alle crescenti minacce". E potrebbe esporre a rischi non soli i cittadini (come avvenuto con l'Ema), ma anche le istituzioni nazionali e locali degli Stati membri. Favorendo il ciberspionaggio di Paesi terzi.

La Corte segnala che negli ultimi anni, ci sono stati almeno 22 attacchi significativi. La pandemia, che ha spinto le istituzioni Ue e nazionali a utilizzare in modo massiccio il telelavoro, anche per riunioni delicate che di norma si tengono nel chiuso di una stanza, ha aumentato "incidenti" ed esposto le lacune della protezione informatica dell'Ue e dei suoi dipendenti. I giudici contabili dell'Ue segnalano che il 20% delle istituzioni e delle agenzie europee non possiede una posta elettronica criptata, e questo può favorire le attività di spionaggio di documenti sensibili inviati tra i funzionari, per esempio. Inoltre, esistono più di 15
soluzioni differenti per le videoconferenze utilizzate dai vari organi Ue, "con linee-guida non coerenti sul loro utilizzo per le informazioni sensibili". Tutto ciò, unito alla mancanza di interoperabilità tra i vari sistemi di posta e di videoconferenza, aumenta notevolmente l'esposizione alle minacce informatiche, tanto più dinanzi all'aumento del telelavoro.

La Corte sottolinea poi che "le istituzioni, organi e agenzie dell’Ue" non "adottano un approccio uniforme alla cibersicurezza, non sempre applicano i controlli essenziali e le buone pratiche in materia e non forniscono sistematicamente formazione a tale riguardo". I giudici contabili dell'Ue pongono l'accento soprattutto sull'importanza di aggiornamenti costanti rui rischi informatici, che sono in costante evoluzione. Ma dall'analisi sono emerse diverse carenze in tal senso.

Per esempio, solo il 58% degli organi Ue "dispone di una strategia in materia di sicurezza informatica approvata a livello di consiglio di amministrazione/alta dirigenza". Il fatto di non avere una strategia o un piano del genere "comporta il rischio che i dirigenti non siano consapevoli delle criticità della sicurezza informatica o non vi attribuiscano la dovuta priorità". Discorso simile per la formazione: solo il 41% organizza formazioni o sessioni di sensibilizzazione specifiche per manager e appena il 29 % prevede una formazione obbligatoria sulla cibersicurezza per i dirigenti responsabili di sistemi informatici contenenti informazioni sensibili. Anche il personale informatico e gli specialisti in sicurezza informatica non ricevono adeguati aggiornamenti: quasi la metà non partecipa a corsi di formazione continua.

C'è poi il capitolo delle risorse destinate alla cibersicurezza, che "variano notevolmente": alcuni organismi dell’Ue spendono notevolmente meno rispetto ai propri omologhi di dimensioni analoghe. "Anche se i diversi livelli di cibersicurezza potrebbero essere teoricamente giustificati dai diversi profili di rischio di ciascuna organizzazione e dai diversi livelli di sensibilità dei dati trattati, la Corte sottolinea che le carenze della cibersicurezza in un organismo dell’Ue possono esporre numerose altre organizzazioni a minacce informatiche (gli organismi dell’Ue sono strettamente interconnessi tra loro e spesso anche con organizzazioni pubbliche e private negli Stati membri)", si legge nella relazione. 

La Squadra di pronto intervento informatico (CERT-UE) e l’Agenzia dell’Unione europea per la cibersicurezza (Enisa) sono le due principali entità che forniscono sostegno in materia di cibersicurezza. Tuttavia, "a causa delle risorse limitate e della priorità attribuita ad altri ambiti, non sono state in grado di fornire tutto il sostegno di cui gli organismi dell’Ue necessitano", dice sempre la Corte, che aggiunge: "Un altro difetto riguarda la condivisione delle informazioni: ad esempio, non tutti gli organismi dell’Ue diffondono tempestivamente comunicazioni sulle vulnerabilità e sugli incidenti significativi di cibersicurezza di cui sono stati vittime o che possono avere ripercussioni su altri organismi".

Per tutte queste ragioni, la Corte raccomanda l’introduzione di norme vincolanti in materia di cibersicurezza e un aumento delle risorse della squadra di pronto intervento informatico (CERT-UE). La Commissione europea dovrebbe inoltre, secondo la Corte, promuovere una maggiore cooperazione tra gli organismi dell’Ue, mentre la CERT-UE e l’Agenzia dell’Unione europea per la cibersicurezza (Enisa) dovrebbero concentrarsi maggiormente su quegli organismi che hanno minore esperienza nella gestione della cibersicurezza.

“Le istituzioni, organi e agenzie dell’UE sono obiettivi interessanti per potenziali aggressori, in particolare per i gruppi in grado di attuare attacchi altamente sofisticati edinvisibili a fini di ciberspionaggio o altre finalità illecite”, dice Bettina Jakobsen, membro della Corte responsabile dell'audit. “Tali attacchi possono comportare significative implicazioni politiche, nuocere alla reputazione generale dell’UE e minare la fiducia nelle sue istituzioni. L’Ue deve fare di più per proteggere i propri organismi”.