La costante evoluzione dell’ecosistema digitale ha generato una vasta gamma di opportunità per gli individui operanti a livello pubblico e privato, consentendo la gestione a distanza dei processi interni alle organizzazioni e la possibilità di interagire con soggetti situati in tutto il mondo in maniera più efficiente e veloce. Pertanto, nel corso degli anni si è compresa sempre di più l’importanza di avere a disposizione reti di telecomunicazione avanzate e performanti, nell’ambito delle quali la sicurezza, fisica e cibernetica, sia concepita come una priorità da non sottovalutare.

LA SEGNALAZIONE DEGLI INCIDENTI DI SICUREZZA

In tale contesto, a partire dal 2009 l’UE ha emanato diverse norme per stabilire obblighi di segnalazione degli incidenti di sicurezza sempre più stringenti in capo agli operatori di telecomunicazione situati in tutti gli Stati Membri. In particolare, la data del 21 dicembre 2020 ha segnato un cambio di passo, poiché è divenuta applicabile la Dir. (UE) 2018/972, che istituisce il codice europeo delle comunicazioni elettroniche (EECC). Tuttavia, questo atto è stato recepito in Italia solo successivamente con il D. lgs. 8 novembre 2021, n. 207, che a sua volta ha modificato il D. lgs. 1 agosto 2003, n. 259, recante Codice delle comunicazioni elettroniche.

Ad ogni modo, l’art. 40 EECC richiede ai fornitori di comunicazioni elettroniche nell’UE di segnalare – in prima battuta – alle rispettive autorità nazionali di regolamentazione gli incidenti di sicurezza aventi un impatto significativo sulla continuità dei servizi di comunicazioni elettronica. In seguito, tali autorità forniscono all’ENISA una sintesi degli incidenti maggiormente rilevanti – utilizzando come parametro una serie di soglie elaborate a livello eurounitario – che poi vengono aggregati e anonimizzati per essere analizzati e diffusi dalla stessa ENISA in un documento pubblicato annualmente.

L’ultima edizione (“Telecom Security Incidents for 2022“) prende come riferimento il 2022, anno in cui, come noto, il quadro geopolitico è stato scosso dall’inizio del conflitto russo-ucraino, il che ha avuto ripercussioni anche sulla stabilità e la qualità di utilizzo di reti e servizi digitali in tutto il territorio dell’UE, come effetto di diverse operazioni di sabotaggio. Nonostante ciò, gli incidenti di sicurezza significativi si sono attestati su numeri leggermente più bassi (155) rispetto al recente passato (168 nel 2021 e 170 nel 2020), registrando valori non dissimili agli anni 2018 (157) e 2019 (153).

Altro dato interessante è quello relativo alla severity su base annua, in quanto dal 2017 sta costantemente diminuendo la quota di incidenti con impatto molto ampio (ossia i più gravi), fatta eccezione proprio per il 2022, in cui sono stati segnalati 64 eventi di questo tipo contro i 62 del periodo precedente. Diversamente, gli incidenti con impatto ampio hanno raggiunto il picco nel 2021 (62) e un lieve decremento l’anno successivo (58), confermando comunque un trend in peggioramento dal 2019, similmente a quanto si può osservare per gli incidenti di sicurezza riferiti esclusivamente alla tecnologia mobile (15 nel 2019 vs 41 nel 2021).

Pertanto, simili risultanze potrebbero indicare, per un verso, la crescente maturità dei fornitori di comunicazioni elettroniche – ivi comprese le aziende tlc – con riferimento al processo di segnalazione degli incidenti, per un altro, il miglioramento della sicurezza e della resilienza di tali organizzazioni, in virtù del fatto che è stato segnalato un minor numero di incidenti con un impatto più grave (molto ampio).

SERVIZI IMPATTATI E CAUSE DEGLI INCIDENTI DI SICUREZZA

La maggior parte degli incidenti di sicurezza significativi segnalati nel 2022 ha riguardato i servizi di telefonia mobile (52%), seguiti da internet mobile (40%), telefonia fissa (29%) e OTT (Over-the-top). Viceversa, chiudono questa classifica i servizi connessi all’internet fisso (12%), al broadcasting (7%) e, in ultimo, tutti gli altri riconducibili alla voce “altro” (6%). Pertanto, appare opportuno evidenziare come la quasi totalità degli incidenti ha avuto un impatto sui servizi di telefonia e internet mobile, raggiungendo insieme il 92%. Ciò non sorprende se si considera quanto le attività quotidiane si siano spostate in maniera preponderante dai dispositivi fissi a quelli mobili.

Quanto al tipo di causa, il report dell’ENISA opera una distinzione in quattro categorie: system failure, human error, malicious actions e natural phenomena. Ebbene, nel 2022 il numero di incidenti di sicurezza legati al system failure ha raggiunto il 72%, registrando un importante aumento rispetto al 2021 (+13%). Al secondo posto, con un sostanziale distacco rispetto ai primi, si collocano gli incidenti riconducibili a un errore umano (15%), con un decremento rispetto ai due anni precedenti, rispettivamente, dell’8% e dell’11%. Seguono, in egual misura (6%), le azioni malevole e i fenomeni naturali, sebbene nel primo caso si tratti di un lieve calo sul 2021 (8%), ma di un raddoppio se si considera quanto segnalato nel 2020 (4%); i secondi, invece, sono decisamente in diminuzione sia rispetto al 2021 (10%) che al 2020 (9%).

LE “ORE PERSE” DAGLI UTENTI ONLINE

Un dato particolarmente interessante che viene riportato nella relazione annuale in esame riguarda l’utilizzo potenziale perso da parte degli utenti online, espresso in milioni di ore e indicato dall’ENISA con il termine “user hours”. Innanzitutto, si tratta di un’unità di misura ottenuta moltiplicando il numero di utenti interessati per il numero di ore di durata dell’incidente oggetto della segnalazione. Esemplificando, se si considera una stazione radio base che supporta mediamente 1.000 utenti all’ora e l’incidente di sicurezza non consente di utilizzare la rete per 1 ora, allora l’impatto stimato corrisponderà a 1.000 “user hours”.

Ciò premesso, nel 2022 primeggia l’utilizzo potenziale perso riconducibile a system failures (10,5 miliardi di ore), seguito da malicious actions (425 milioni), natural phenomena (168 milioni) e, infine, da human errors (135 milioni). Più nel dettaglio, il grafico successivo mostra un focus sugli incidenti di sicurezza dovuti a un errore umano, consentendo di registrare che, tra questi, larga parte si configurano come la conseguenza di un difetto a livello software (7 incidenti per 107 milioni di ore potenzialmente perse), seguiti da problemi inerenti policy o procedure (6 incidenti per 74 milioni di ore) e, con un notevole distacco quantomeno in termini di impatto, gli incidenti conseguenti a una manomissione dei cavi (2 incidenti per 13 milioni di ore).

Con riguardo agli incidenti di sicurezza dovuti a fenomeni naturali nel 2022, la figura riportata di seguito consente di evidenziare come vi siano essenzialmente due macro-cause in tal caso: mancanza di elettricità (power cut) e presenza di importanti fenomeni ventosi (heavy wind). Difatti, oltre 330 milioni di ore potenzialmente perse sono associabili a queste due sole tipologie di eventi.

In ultimo, le azioni malevole – sebbene abbiano costituito una minoranza degli incidenti di sicurezza segnalati dagli operatori (6%) – sembrano essere le cause più complesse da classificare e categorizzare, come si può notare dal grafico riportato di seguito, da cui si può evincere che la quasi totalità dell’utilizzo potenzialmente perso confluisca in una voce non ben definita (418 milioni di ore su 435). Inoltre, tale categoria ha raggiunto la quota di 435 milioni di ore nel 2022, registrando un consistente aumento rispetto agli ultimi due anni (70 milioni nel 2021 e 13 milioni nel 2020). Ad ogni modo, nei pochi casi in cui la matrice dell’incidente sia stata identificata e segnalata, rilevano in primo luogo gli incendi dolosi (arson) con 5 milioni di ore, seguiti dagli attacchi cibernetici di tipologia DDoS (Distributed Denial-of-Service) che fanno registrare 1 milione di ore, mentre al di sotto del milione si collocano gli eventi connessi a una manomissione dei cavi.

CONCLUSIONI

Lo scenario delineato nel report dell’ENISA sin qui esaminato mostra che i settori più colpiti da un incidente di sicurezza sono quelli relativi alla telefonia (52%) e alla connessione a internet mobile (40%), mentre gli altri servizi (fissi) continuano a essere i meno impattati da diversi anni. Allo stesso tempo, risultano in discesa gli incidenti correlati a un errore umano, a cause naturali o ad azioni malevoli, mentre sono in aumento gli eventi dovuti ad un problema riconducibile al system failure (72% nel 2022). Tuttavia, negli ultimi anni la categoria delle azioni malevole ha comportato un utilizzo potenziale perso estremamente elevato – da 13 milioni di ore nel 2020 a 435 milioni nel 2022 – soprattutto se parametrato col numero esiguo di incidenti segnalati, corrispondenti ad appena il 6%.

Parallelamente, va considerato che per quanto concerne il framework normativo di riferimento, accanto al Codice europeo delle comunicazioni elettroniche (EECC) e alla relativa implementazione a livello nazionale, gli adempimenti connessi alla segnalazione degli incidenti di sicurezza dovranno essere integrati con quanto stabilito dalla Dir. (UE) 2555/2022 – NIS2, che a differenza della prima direttiva NIS si applica anche ai fornitori di servizi di comunicazione elettronica. Un altro importante tassello in tal senso è rappresentato dagli obblighi di segnalazione che ricadono sotto l’ombrello del Reg. (UE) 2014/910 in materia di identificazione elettronica e servizi fiduciari per le transazioni elettroniche (eIDAS), la cui revisione è ad un passo dall’essere pubblicata nella Gazzetta Ufficiale dell’Unione.

Dopo la laurea triennale in "Scienze Investigative" presso l'Università degli Studi di Foggia, ha conseguito con lode la laurea magistrale in "Scienze Giuridiche della Sicurezza - Sicurezza e circolazione dei dati" presso la stessa Università. Dal 2023 è ricercatore per l'Istituto per la Competitività (I-Com), occupandosi di temi inerenti la cybersicurezza, la new space economy e l'intelligenza artificiale.