Se la spesa per la difesa può essere considerata un’area complessa, non schematizzabile secondo una logica diretta di costi-benefici, ancora più intricata appare l’analisi, e la conseguente rendicontazione, della spesa per la difesa in ambito cibernetico. La minaccia cibernetica si dipana e ramifica in numerosi ambiti della vita politica, sociale ed economica di un paese, esponendone le più diverse vulnerabilità. I governi si trovano dunque a difendere al contempo dati, strutture, capacità e funzionalità che spaziano dal settore civile a quello militare, dal pubblico al privato. Una minaccia così complessa sembra richiedere un’architettura di difesa multi-settoriale e coordinata, nonché l’acquisizione di mezzi e capacità non direttamente inquadrabili nell’ambito tradizionale della difesa. 

Analizzando più in dettaglio la spesa in ambito cibernetico, appare chiaro come questa si componga di costi diretti e di costi indiretti. I primi sono tangibili e facilmente identificabili, come ad esempio l’acquisto di attrezzatura oppure l’acquisizione di una nuova tecnologia. I secondi appaiono volatili e più difficilmente quantificabili. Si pensi ad esempio allo sviluppo di nuove tecnologie e al loro continuo mantenimento, agli investimenti in capitale umano, ai costi di formazione del personale, nonché alle risorse dedicate all’acquisizione di informazioni, allo sviluppo di rapporti di cooperazione con enti esterni, oppure all’ideazione di politiche per difesa cibernetica e alla loro implementazione. 

Sembra essere questa la logica che sottende il Cyber Defence Pledge¹, firmato nel 2016 dai Paesi NATO. In un quadro internazionale di aumentata percezione della minaccia cibernetica, gli alleati hanno scelto di fare della spesa per la difesa in questo ambito una priorità, e di investire per il rafforzamento della difesa delle infrastrutture critiche e delle reti nazionali. Il documento prevede l’allocazione di risorse nazionali per l’acquisizione di capacità per la difesa cibernetica, per migliorare la preparazione degli enti nazionali chiamati ad operare il tale settore, nonché per incrementare la cooperazione e lo scambio di informazioni sulla minaccia cibernetica a livello internazionale. Il Cyber Defence Pledge racchiude in sé la consapevolezza della stretta interconnessione tra difesa e resilienza, e del ruolo fondamentale che le infrastrutture nazionali giocano nella capacità dell’Alleanza di svolgere la sua missione. Il documento si fa inoltre portatore di un’ottica olistica della difesa cibernetica, che mira coinvolgere enti governativi, il settore privato e il mondo accademico in uno sforzo congiungo diretto ad aumentare la resilienza degli alleati. 

Se a livello teorico il legame tra resilienza nazionale e difesa degli alleati sembra essere chiaro, più nebulosa è l’interazione della spesa in tali ambiti. Nel 2014, i Paesi NATO, in una spinta per una migliore ripartizione degli oneri tra le due sponde dell’Atlantico, si sono impegnati a dedicare il 2% del PIL nazionale alle spese per la difesa. Queste ultime sono definite come le spese che un alleato effettua al fine di provvedere alle necessità delle sue forze armate, di quelle dei suoi alleati o di quelle dell’Alleanza, incluse le spese per la ricerca e lo sviluppo. Gli alleati possono inoltre rendicontare in questa voce di spesa anche le risorse investite per l’acquisizione di mezzi e tecnologie militari che possono avere un’applicazione anche nel mondo civile, a patto che la valenza militare di tali componenti possa essere quantificata².

Applicando questa logica di rendicontazione alle spese per la difesa cibernetica si scopre che probabilmente solo i costi per l’acquisizione di capacità e tecnologie militari possono essere inseriti direttamente tra le voci delle spese nazionali per la difesa, e contribuire quindi al raggiungimento dell’obiettivo del 2%. Sembrano escluse da tale rendicontazione le risorse investite per il rafforzamento delle infrastrutture critiche e delle reti a livello nazionale, a meno che non siano di natura militare, nonché gli sforzi volti a incrementare la resilienza nazionale. 

Una zona grigia è rappresentata dai costi indiretti per la difesa cibernetica, come quelli relativi alle attività e capacità civili che possono avere implicazioni anche in ambito militare, oppure i costi connessi alla formazione del personale o allo sviluppo di politiche. A tale proposito, in diversi Paesi della NATO, la responsabilità politica generale in materia di sicurezza cibernetica, e quindi il compito di elaborare adeguate politiche nel settore,ricade su enti civili, come ad esempio il Presidente del Consiglio nel caso Italiano³, il Ministero degli affari economici e delle comunicazioni in Estonia⁴, oppure il National Security Council negli Stati Uniti⁵. Questo potrebbe fare propendere per una certa legittimità, seppure non per un’automaticità, dell’inserimento di alcune spese dell’ambito civile nella rendicontazione delle spese per la difesa.

Come visto in precedenza, l’architettura della difesa cibernetica si compone di un ampio ventaglio di settori e attinge a diversi bacini di risorse. Tuttavia, non tutte le risorse investite nella difesa cibernetica possono essere considerate come spese per la difesa in ambito NATO, né le risorse investite dagli alleati per incrementare la resilienza a livello nazionale sembrano tradursi direttamente in spese per la difesa. Alcuni alleati auspicano che il legame intrinseco tra resilienza e difesa possa riflettersi in una maggiore permeabilità tra risorse assegnate all’uno e all’altro ambito, nonché in una rendicontazione più flessibile delle spese per la difesa. Altre voci, invece, mirano a mantenere le capacità maturate in ambito civile separate dal budget assegnato alla difesa, in modo da garantire un rispetto più stringente da parte degli alleati dell’obiettivo del 2%. Una discussione in merito sembra essere già cominciata a livello nazionale e in seno all’Alleanza. 

Il contenuto di questo articolo riporta le opinioni personali dell’autore, e non riflette le opinioni ufficiali della NATO.