Lo scorso 28 febbraio il Sistema di Informazione per la Sicurezza della Repubblica ha reso accessibile la Relazione al Parlamento sulla politica dell’informazione per la sicurezza. Si tratta di un documento che si occupa di descrivere lo stato delle minacce alla sicurezza nazionale che sono state oggetto di attenzione dell’intelligence nel corso dell’anno precedente. In particolare, la Relazione riferita al 2023 articola il macro-tema della sicurezza nazionale in più diramazioni, poiché gli attuali fenomeni di minaccia assumono un carattere sempre più multiforme e interconnesso. L’analisi coinvolge sia l’ambiente digitale che quello analogico, soffermandosi sulla sicurezza economico-finanziaria, sull’immigrazione irregolare, sulla minaccia jihadista, sulla minaccia interna, sulla sicurezza ambientale e sulla sicurezza cibernetica legata anche alla minaccia ibrida. L’intelligence affronta questi aspetti mappando le evoluzioni delle cosiddette “horizontal issues”, tematiche trasversali tra cui rientrano la nuova globalizzazione economica, le migrazioni internazionali, il fattore climatico, la trasformazione del jihad globale, le dinamiche dei mercati delle materie prime e le nuove frontiere della tecnologia.
LA SICUREZZA CIBERNETICA TRA ATTORI OSTILI E VITTIME
Come si evince dalle infografiche fornite all’interno della Relazione, nel 2023 il dominio cibernetico non ha perso la sua centralità tra gli strumenti che gli attori ostili hanno scelto per il raggiungimento degli obiettivi strategici. Si tratta di una dimensione conflittuale fortemente influenzata dal quadro geopolitico legato al conflitto russo-ucraino e alle ostilità tra Israele e le forze di Hamas.
Analizzando le risultanze fornite, si riscontra che negli ultimi due anni le operazioni cibernetiche che hanno afflitto l’Italia siano state riconducibili prevalentemente a organizzazioni criminali (49% nel 2023, 47% nel 2022), che hanno operato allo scopo di giungere a un vantaggio economico mediante l’esfiltrazione e la vendita di credenziali di accesso a risorse ICT strategiche esposte su Internet. Peraltro, si osserva anche una crescita delle azioni cibernetiche ostili di matrice spionistica, poste in essere da gruppi statuali o sponsorizzati da Stati (38% nel 2023, 26% nel 2022). Si tratta di organizzazioni altamente specializzate, che possono essere legate ad apparati governativi da cui sono dirette strategicamente e supportate economicamente, provocando minacce cibernetiche gravose in termini di informazioni esfiltrate, dispendio di risorse finanziarie, perdita di operatività e competitività. In merito all’operato degli hacktivisti si riconferma una riduzione delle attività (0% nel 2023, 8% nel 2022) rispetto al periodo pandemico, in cui si era assistito al susseguirsi di numerosi attacchi di tale natura contro il settore sanitario.
Spostando il focus sui target principali della minaccia cibernetica, vediamo come questa abbia bersagliato con crescente interesse le infrastrutture digitali di soggetti pubblici (60% nel 2023, 43% nel 2022), in particolare le Amministrazioni Centrali dello Stato (65% nel 2023, 62% nel 2022) e gli Istituti e Agenzie Nazionali (22% nel 2023, 9% nel 2022). Vittime di operazioni cyber sono anche gli Enti regionali, provinciali e comunali (3% nel 2023, 9% nel 2022), seguiti dalle strutture sanitarie pubbliche (2% nel 2023, 11% nel 2022). Di converso, le offensive alle infrastrutture informatiche dei soggetti privati hanno subito un decremento (40% nel 2023, 56% nel 2022), coinvolgendo soprattutto i settori delle infrastrutture digitali/servizi IT (25% nel 2023, 22% nel 2022), dell’energia (17% nel 2023, 11% nel 2022) e dei trasporti (16% nel 2023, 18% nel 2022).
TECNICHE, ESITI E FINALITÀ DELLE OPERAZIONI CIBERNETICHE
Tra le tecniche, tattiche e procedure (TTP) impiegate dagli agenti malevoli, nel 2023 appare rinnovato l’interesse verso le campagne di phishing e spear-phishing, volte a veicolare strumenti malevoli all’interno dell’infrastruttura telematica del bersaglio, sfruttando comunicazioni elettroniche ingannevoli idonee a manipolare i destinatari e spingerli ad aprire un allegato o accedere a siti web infetti. Come conseguenza della diminuzione dell’hacktivismo si riscontra la scomparsa delle azioni di ricerca delle vulnerabilità presenti in target selezionati (il cosiddetto Bug Hunting) e di esfiltrazione di dati da database esposti su Internet attraverso tecniche di SQL Injection. Inoltre, sono stati osservati tentativi di sfruttamento di vulnerabilità non precedentemente note (0-day) presenti in prodotti e piattaforme elaborate dalle principali società di sviluppo software, con particolare interesse per i sistemi di connessione remota, con l’obiettivo di ottenere l’accesso a risorse informatiche di aziende, nonché di organizzazioni pubbliche e private.
Come effetto delle azioni ostili, il furto di identità e/o la vendita di credenziali su portali e forum dedicati del deep web e dark web, risulta al primo posto (81,6% nel 2023, 53,5% nel 2022). A ciò seguono le attività prodromiche utili alla raccolta di informazioni per identificare e selezionare l’obiettivo di future operazioni cibernetiche, a partire da caratteristiche e vulnerabilità dei sistemi (6,8% nel 2023, 11,5% nel 2022). Mentre, la negazione del servizio mediante attacchi Dos/Ddos ha visto un azzeramento nel 2023, diversamente da quanto era accaduto nell’anno precedente, in cui risultava al secondo posto nella classifica dei principali esiti dei cyberattacchi (30,9%).
Peraltro, la rilevanza della matrice criminale nel panorama della sicurezza cibernetica è confermata anche dall’analisi delle finalità degli attacchi. Difatti, vi è stato un incremento di operazioni mirate a garantire un vantaggio economico per l’attaccante (85% nel 2023, 53% nel 2022). Di converso, le azioni ostili più tradizionali, come quelle volte al discredito della vittima e allo spionaggio, sono risultate meno frequenti. Nel Rapporto viene sottolineato che ciò è sicuramente “riconducibile al concomitante conflitto in atto, che ha mantenuto alta l’attenzione di alcuni degli attori della minaccia maggiormente prolifici verso obiettivi nazionali economicamente e/o strategicamente contigui ai Paesi direttamente coinvolti nelle ostilità”. In alcuni casi, seppur con percentuali marginali, le caratteristiche proprie del dominio cibernetico e l’innalzamento del livello di competenze dei moderni cybercriminali, hanno reso complicata l’identificazione delle finalità degli attacchi (6% nel 2023, 13% nel 2022).
L’IA SOTTO LA LENTE DELL’INTELLIGENCE ITALIANA
Nella Relazione viene anche trattato il tema delle nuove tecnologie, osservando come ad oggi queste incidano su diversi ambiti della vita quotidiana. Accanto ad innovazioni importanti come il cloud, la blockchain, i big data & analytics, le tecnologie quantistiche, le reti 5G e 6G e le tecnologie satellitari, non si toglie spazio all’innovazione più discussa degli ultimi tempi, ossia l’Intelligenza Artificiale (IA). Quest’ultima ha ripercussioni sulle dinamiche economiche, sociali e sulla sicurezza nazionale, rivedendo a livello europeo un approccio antropocentrico rispetto alla governance dei sistemi di IA, che pone in rilievo l’uomo e i suoi diritti. In particolare, il documento traccia i rischi derivanti dall’IA secondo l’approccio europeo, guidato dall’AI Act, e l’approccio delle Nazioni Unite, con riferimento al Report dell’AI Advisory Board. Accanto a questi limiti se ne osservano i benefici secondo il Parlamento Europeo, che hanno effetto su cittadini, imprese, servizi pubblici, istituzioni democratiche e sulla sicurezza. In merito a quest’ultimo ambito l’IA può essere impiegata:
- per prevenire reati e attacchi terroristici;
- come ausilio alla giustizia penale;
- per l’individuazione e la risposta a pratiche illegali o inappropriate in rete;
- per ragioni di difesa e strategia di attacco in caso di crimini informatici;
- per bersagliare obiettivi chiave nelle dinamiche del quinto dominio della conflittualità.
In ultimo, si afferma la volontà dell’intelligence di promuovere un incessante processo di innovazione al suo interno per far fronte all’evoluzione tecnologica, nonché la piena volontà di svolgere, sul piano del concorso informativo e dell’analisi, un’azione di prevenzione e contrasto della minaccia, anticipando i rischi alla sicurezza nazionale provenienti dall’impiego delle nuove tecnologie.
CONCLUSIONI
Sebbene la Relazione sulla politica dell’informazione per la sicurezza sia sottoposta a un accurato processo di sanitizzazione, mediante la rimozione di informazioni sensibili, si può affermare che il documento metta in piena luce l’intento dell’intelligence che, come affermato dalla direttrice generale del Dipartimento delle Informazioni per la Sicurezza Elisabetta Belloni, “da un lato mira ad anticipare i fattori di minaccia alla sicurezza nazionale, dall’altro ha il compito di analizzare queste sfide in chiave di opportunità”.
Tra queste ultime, trova spazio una riflessione sul ruolo delle nuove tecnologie, le quali non potranno non influenzare le attività di intelligence. In particolare, si sostiene che “i nuovi metodi digitali consentiranno, fra l’altro, di analizzare efficacemente i dati e di ampliare considerevolmente il bacino informativo a disposizione degli operatori: affiancando, ma certamente non rimpiazzando, le tradizionali tecniche di raccolta informativa”.