Cybersicurezza in Montenegro: criticità e dubbi sulla nuova legge

Un disegno di legge sulla sicurezza informatica in Montenegro fa sorgere interrogativi sulla sovrapposizione delle competenze, l’applicabilità e il rischio di ingerenza politica in un settore sempre più strategico

(Originariamente pubblicato da Balkan Insight , il 2 ottobre 2044)

La nuova proposta di legge sulla cybersicurezza rischia di confondere i confini tra competenze di diverse istituzioni incaricate di contrastare le minacce informatiche, al contempo spianando la strada a interferenze politiche.

A lanciare l’allarme sono gli esperti, preoccupati per la proposta legislativa su cui il parlamento di Podgorica dovrebbe essere chiamato ad esprimersi entro la fine dell’anno. Se dovesse ottenere il via libera del parlamento, il nuovo testo di legge, approvato dal governo a maggio, andrebbe a sostituire la normativa in materia di sicurezza informatica attualmente in vigore, risalente al 2010.

Secondo Marash Dukaj, ministro montenegrino della Pubblica amministrazione, la nuova legge contribuirà a creare un cyberspazio sicuro, in linea con gli standard dell’UE, anche per prevenire attacchi informatici come quello dell’agosto 2022 che aveva fatto crollare gran parte dell’infrastruttura IT della pubblica amministrazione del Montenegro.

Tuttavia, gli esperti mettono in guardia sul fatto che la proposta di legge è formulata in modo tale da far sorgere interrogativi sulla ripartizione delle competenze tra due organismi responsabili della cybersicurezza.

Nello specifico, si tratta dell’Unità di risposta agli incidenti informatici (CIRT), che dovrebbe garantire la sicurezza informatica della pubblica amministrazione, e della nuova Agenzia per la cybersicurezza che, pur occupandosi della protezione dei sistemi IT esterni all’amministrazione statale, dovrebbe rendere conto del proprio operato al governo.

“In pratica, le responsabilità dell’Agenzia potrebbero sovrapporsi a quelle del CIRT, rendendo disfunzionale il sistema per la protezione dagli attacchi informatici e per l’accertamento delle loro cause”, spiega Ivan Vujović dell’Agenzia per le comunicazioni elettroniche e i servizi postali del Montenegro (EKIP), un ente regolatore indipendente fondato nel 2001.

Anche Branko Džakula, esperto di sicurezza informatica, denuncia la vaghezza della definizione dei ruoli degli organismi previsti dal disegno di legge.

“Il CIRT dovrebbe concentrarsi esclusivamente sulla protezione delle infrastrutture statali, mentre l’Agenzia potrebbe avere un ruolo più ampio nella difesa di un cyberspazio che includa anche il settore privato”, spiega Džakula. “Tale ripartizione contribuirebbe ad aumentare l’efficienza, rafforzare il coordinamento tra i due organismi ed evitare conflitti di competenza e sovrapposizione dei ruoli”.

L’esperto esprime perplessità anche sulla possibilità di applicare effettivamente la legge.

“Osservando l’indice di cybersicurezza, il Montenegro è ben al di sotto della media UE, anche per via dell’annoso problema della scarsità di risorse finanziarie, tecniche e umane – sottolinea Džakula – ed è discutibile se il settore pubblico e quello privato possano applicare le nuove norme in modo adeguato”.

Un disegno di legge “allineato” alla direttiva UE del 2022

Secondo l’ultimo Global Cybersecurity Index , pubblicato dall’Unione internazionale delle telecomunicazioni, il Montenegro presenta un livello di sicurezza informatica “in via di stabilizzazione”, collocandosi nella terza delle cinque categorie, insieme a paesi come Bulgaria, Macedonia del Nord e Ucraina.

Tra i paesi ex jugoslavi, a fare meglio del Montenegro sono la Croazia, dove si registra un livello di cybersicurezza “avanzato” (nella stessa categoria troviamo anche Albania, Israele e Svizzera), e soprattutto la Slovenia e la Serbia, classificate tra i paesi “modello” (insieme a paesi come Gran Bretagna, Germania, Francia, per citarne alcuni).

La vulnerabilità del Montenegro era emersa nell’agosto del 2022, quando i server del governo erano stati colpiti da un ransomware in grado di bloccare e criptare i dati e i file della vittima, richiedendo poi un pagamento per sbloccarli e decriptarli.

L’attacco aveva mandato in tilt i server di alcuni ministeri, dell’Agenzia delle entrate e delle dogane, nonché i tribunali.

Nel frattempo un gruppo hacker chiamato “Cuba-Ransomware” ha rivendicato l’attacco, ma le autorità montenegrine non hanno mai ufficialmente identificato i responsabili. Nel gennaio 2023 la polizia montenegrina ha ricevuto un rapporto dell’FBI, che però non è ancora stato pubblicato.

Dalla sua creazione nel 2012, il CIRT opera in seno alla Direzione per la protezione dei dati segreti. Il direttore della Direzione è nominato dal ministro della Difesa ed è responsabile della sicurezza dell’intero cyberspazio del Montenegro.

Il nuovo disegno di legge prevede invece che il CIRT passi sotto il controllo del ministero della Pubblica amministrazione, limitandosi a proteggere solo i sistemi informatici dell’amministrazione statale.

Secondo Dušan Polović, capo della Direzione per le infrastrutture, la sicurezza informatica, la digitalizzazione e i servizi elettronici, la nuova proposta di legge è abbastanza allineata alla Direttiva NIS 2 dell’UE, approvata nel novembre 2022 per aumentare il livello comune di cybersicurezza dell’Unione.

“Lo scopo della nuova legge – spiega Polović – è di recepire il più possibile la Direttiva NIS 2, considerando gli obblighi del Montenegro nel processo di adesione all’UE. La legge rientra nel capitolo 10 [società dell’informazione e media] che il Montenegro intende chiudere il prima possibile”.

Rischi di interferenza politica

Il nuovo disegno di legge è in contrasto con la Strategia per la sicurezza informatica del Montenegro per il periodo 2022-2026 , secondo cui il CIRT – anziché in seno al ministero della Pubblica amministrazione, come previsto dalla nuova legge – dovrebbe operare all’interno di una nuova Agenzia per la cybersicurezza, concepita come organismo ombrello responsabile della sicurezza informatica dello stato.

Dušan Polović sostiene che il passaggio del CIRT sotto il controllo del ministero della Pubblica amministrazione sia “assolutamente necessario, razionale ed efficiente”.

Il disegno di legge prevede che il capo della nuova Agenzia per la cybersicurezza venga eletto dal Consiglio dell’Agenzia stessa, composto dal presidente e altri quattro membri nominati dal governo.

A proporre il presidente del Consiglio sarà il ministero della Pubblica amministrazione, mentre l’Università del Montenegro, la Camera di commercio, l’Accademia montenegrina delle scienze e delle arti e l’Agenzia proporranno ciascuna un membro, che poi dovrà essere approvato dal governo.

Branko Džakula mette in guardia sul fatto che il processo di nomina previsto dal disegno di legge rischia di portare alla politicizzazione della nuova Agenzia per la cybersicurezza, considerando che tutte e quattro le istituzioni coinvolte sono vicine al governo e dipendono dai finanziamenti pubblici.

“Dato il ruolo cruciale che l’Agenzia svolgerà nella protezione delle infrastrutture statali e di un cyberspazio più ampio, è fondamentale che la sua composizione si basi su competenza, esperienza e imparzialità, e non su criteri politici”, sottolinea Džakula.

Secondo l’esperto, il processo di selezione dovrebbe essere “trasparente e rigoroso” per garantire la nomina di esperti con comprovata esperienza in ambito di sicurezza informatica.

“Le nomine politicamente motivate – avverte Džakula – rischiano di compromettere la credibilità e l’efficienza dell’Agenzia”.

L’anno scorso, nel corso di un dibattito pubblico sul nuovo disegno di legge, alcuni esperti e organizzazioni che si occupano della sicurezza informatica hanno chiesto che nel consiglio della nuova Agenzia per la cybersicurezza venisse incluso almeno un esperto indipendente. Il ministero però ha respinto la richiesta.

Dušan Polović, dal canto suo, assicura che la nuova Agenzia avrà “uno staff professionale e ben pagato”, immune dalle ingerenze politiche.

Preoccupazioni sui poteri di vigilanza

Branko Džakula solleva dubbi anche sulla privacy, visto che il disegno di legge attribuisce ampi poteri ai supervisori dell’Agenzia per la cybersicurezza nella valutazione della sicurezza informatica di un ente, compreso l’accesso a tutti i dispositivi e dati richiesti.

Vi è il timore che la nuova legge si discosti dalla normativa vigente in materia di protezione dei dati personali, secondo cui i dati personali non possono essere trattati in un contesto più ampio di quello necessario per un dato scopo.

“È fondamentale bilanciare il rafforzamento della cybersicurezza e la tutela del diritto alla privacy – spiega Džakula – quindi occorre garantire che i poteri di vigilanza siano chiaramente definiti per evitare potenziali abusi e controlli eccessivi”.

Interpellata dai giornalisti di BIRN, l’Agenzia per la protezione dei dati personali e il libero accesso alle informazioni ha affermato di non aver ricevuto il disegno di legge per una revisione e di non essere mai stata ufficialmente contattata in merito dal ministero della Pubblica amministrazione.

Il costo della legge

Stando alle stime del ministero delle Finanze, l’applicazione della nuova legge sulla sicurezza informatica costerà alle casse dello stato circa 2,6 milioni di euro. Cifra che sorprende gli esperti in un paese, come il Montenegro, che dispone di risorse umane e finanziarie assai limitate.

Secondo Branko Džakula, la creazione di nuovi organismi, come quelli previsti dal disegno di legge, rischia di portare ad uno spreco di risorse del tutto inutile.

“Sarebbe più razionale istituire all’interno dell’Agenzia per la cybersicurezza un dipartimento speciale per la protezione delle istituzioni dello stato, garantendo così un miglior coordinamento e risparmio di risorse”, conclude l’esperto.