Le infrastrutture critiche protette dalle minacce non convenzionali

La recente esplosione all’interno della raffineria dell’Eni vicino a Livorno, avvenuta il 30 novembre scorso, ha riportato alla cronaca un tema troppo spesso sottovalutato, ossia la resilienza e protezione delle infrastrutture critiche nazionali. A livello europeo, lo stesso concetto di “infrastruttura critica” è stato recentemente rivisitato/modificato con l’obiettivo di allargarne la definizione per includere una serie di entità e servizi ritenuti strategici, o critici, per il corretto funzionamento degli stati membri Ue.

Da qui, una nuova proposta di direttiva europea, presentata a fine 2020, che parla di resilienza di entità critiche e che andrà a sostituire la direttiva sulla protezione delle infrastrutture critiche europee del 2008, ritenuta insufficiente in quanto dedicata a due sole tipologie di infrastrutture: energia e trasporti. La proposta include nuovi settori come quello dello spazio, della finanza, della sanità e del digitale, dell’acqua potabile e della pubblica amministrazione. Richiede inoltre agli Stati membri uno sforzo nell’individuare a livello nazionale quali entità critiche dovranno essere considerate come tali, nonché di assistere queste ultime nell’implementare a livello operativo la direttiva.

Questo sviluppo legislativo a livello europeo vuole rispondere a minacce e rischi in aumento, alle quali sono esposti un sempre maggior numero di entità e servizi.

Una minaccia in evoluzione

La qualità e quantità di minacce alle infrastrutture critiche, in Italia e in Europa, è in continua evoluzione. Ciò è in parte dovuto alla trasformazione delle stesse infrastrutture, che con il progresso tecnologico fanno sempre più affidamento su una componente digitale oltre che su quella fisica . Al giorno d’oggi, infatti, non è possibile considerare le infrastrutture critiche come semplici sistemi fisici, ma è necessario contemplarne anche la componente cibernetica. Ciò implica che anche le minacce alle infrastrutture possono provenire sia da soggetti fisici che dal cyberspazio.

Gli attacchi cibernetici ad infrastrutture, aziende e provider di servizi, infatti, sono in crescita in tutta l’Europa. Così come per gli attacchi fisici, anche quelli perpetrati entro questo dominio operativo possono essere condotti da attori statali come da singoli individui – gli hackers – mossi dai moventi più disparati. E, come nel caso di attacchi tradizionali, anche quelli cibernetici possono avere conseguenze estremamente gravi. Si pensi, ad esempio, ad un’offensiva cyber condotta contro un’infrastruttura energetica; un simile attacco potrebbe portare a danni su larga scala, da semplici cortocircuiti fino all’interruzione della rete elettrica di un intero Paese, come successo in Estonia nel 2007.

Ancora molto da fare sul fronte delle minacce non convenzionali

Oltre ai mezzi spesso etichettati come “convenzionali” quali armi da fuoco o esplosivi (ricordiamo qui, ad esempio, l’esplosione all’aeroporto di Bruxelles nel 2016), le infrastrutture critiche devono affrontare minacce di tipo non convenzionale, alle quali è necessario prestare particolare attenzione. Fanno parte di questa categoria gli agenti chimici, biologici, radiologici e nucleari (Cbrn).

Guardando al rischio biologico, di chiara rilevanza attuale, studi recenti hanno riscontrato che al giorno d’oggi nessuno dei Paesi membri dell’Organizzazione mondiale della sanità è preparato, dal punto di vista delle proprie infrastrutture sanitarie, ad affrontare un’emergenza endemica o pandemica come quella in corso.

La natura di duplice uso delle sostanze Cbrn, abbinata alla disponibilità sempre maggiore di informazioni su di essi – soprattutto reperibili online – implica la possibile accessibilità, verso questa categoria.  La natura di un evento Cbrn inoltre è transfrontaliera per eccellenza, rendendo uno sforzo coordinato a livello europeo che coinvolga e prepari gli operatori, ad esempio attraverso esercitazioni transnazionali, ancora più cruciale.

Permane inoltre, in qualsiasi tipo di infrastruttura critica, il rischio di minaccia interna, le cosiddette insider threats. Si tratta di un rischio reale nella sfera fisica così come in quella cibernetica. Si pensi ad esempio ad una centrale nucleare: un membro dello staff potrebbe potenzialmente perpetrare un attacco cibernetico contro l’infrastruttura informatica della centrale, oppure condurre un attacco fisico danneggiandola dall’interno.

La formazione degli operatori

In questo quadro, un’adeguata formazione dell’operatore dell’infrastruttura è essenziale, ancor più quando entrerà in vigore la nuova direttiva che richiederà uno sforzo di adeguamento pro-attivo tanto da parte delle istituzioni nazionali competenti, quanto da parte delle infrastrutture interessate.

Facendo sua questa esigenza, il progetto europeo Resist a guida della Fondazione Safe ha come obiettivo la formazione degli operatori delle infrastrutture critiche nella gestione degli eventi di tipo Cbrn. Il progetto, iniziato a novembre 2019, ha coinvolto infrastrutture critiche come porti e aeroporti, ospedali, centri di ricerca nel settore energetico, nucleare e dello spazio, in Italia e in Romania. Nei mesi scorsi, diversi operatori di infrastrutture critiche italiane e romene hanno preso parte ai corsi di formazione che si sono tenuti presso la Scuola Interforze per la Difesa Nbc di Rieti. I corsi sono stati strutturati su una serie di moduli divisi per temi, dai rischi Cbrn, alla gestione della comunicazione e degli aspetti psicologici dell’emergenza.

Le fasi di sviluppo del progetto e i principali risultati saranno presentati ad un evento dedicato il prossimo 15 dicembre, ospitato dallo IAI e organizzato dal Cluster italiano Cbrn-P3 (Preparare, Prevenire, Proteggere dai rischi Cbrn) che vedrà la partecipazione di rappresentanti istituzionali insieme ai partner di progetto.

ANSA/FABRIZIO NOVI

Ultime pubblicazioni