(nostra traduzione da ASPI The Strategist)
Il cyber-spionaggio economico, ovvero il furto di informazioni commerciali sensibili tramite mezzi informatici per ottenere un guadagno commerciale, è una minaccia invisibile ma persistente per le economie nazionali. Poiché sempre più Stati utilizzano strumenti informatici per ottenere vantaggi economici e strategici, un numero crescente di Paesi, in particolare le economie emergenti, sono vulnerabili.
In risposta, i membri del G20 hanno concordato nel 2015 che nessun Paese dovrebbe impegnarsi nel furto di proprietà intellettuale (PI) tramite il cyber per ottenere un guadagno commerciale.
Ciò ha portato alla speranza che gli Stati potessero fornire garanzie che le loro attività nel cyberspazio non cercassero PI straniera per ottenere un vantaggio economico sleale, che potessero fornire ai titolari di PI un quadro protettivo e che potessero raggiungere un livello di maturità della sicurezza informatica per la protezione dei settori ad alta intensità di PI.
Purtroppo, la realtà è diversa. Il numero di operazioni informatiche che prendono di mira le forme private è quadruplicato dal 2015. Poiché le capacità tecnologiche diventano centrali per il potere nazionale, gli Stati sono sempre più alla ricerca di scorciatoie per la competitività. Le operazioni informatiche sembrano offrire un mezzo efficace e attraente.
Il passaggio al cyber-spionaggio mirato alle economie emergenti è evidente nei dati analizzati dall’ASPI. Il nostro primo rapporto, State-sponsored Economic Cyber-espionage for Commercial Purposes: Tackling an invisible but persistent risk to prosperity, ha rilevato che nel 2014 il 60% dei casi di cyber-spionaggio segnalati riguardava le economie avanzate. Nel 2020, questa proporzione si è invertita e le economie emergenti sono ora al centro della maggior parte delle campagne.
Due rapporti di follow-up fanno luce su come i Paesi affrontano questa crescente minaccia. In State-sponsored Economic Cyber-Espionage: Assessing the preparedness of emerging economies to respond to cyber-enabled IP theft, abbiamo valutato la preparazione di 11 importanti economie emergenti per contrastare il furto di IP tramite il cybercrime: Argentina, Brasile, Colombia, India, Indonesia, Malesia, Messico, Perù, Filippine, Thailandia e Vietnam. Questi Paesi rappresentano alcune delle economie innovative in più rapida crescita al mondo. Molti di essi stanno rapidamente espandendosi in settori ad alta intensità di conoscenza come la biotecnologia, la produzione avanzata e i servizi digitali. Tuttavia, i risultati del rapporto sono preoccupanti.
La maggior parte dei Paesi dell’Asia meridionale, del Sud-est asiatico e dell’America Latina non riconosce le minacce informatiche ai settori dell’innovazione e della conoscenza come un problema importante. Questa posizione si riflette a livello politico-diplomatico, dove nessun governo di un’economia emergente ha preso in considerazione queste minacce all’innovazione. L’Indonesia, l’India e il Brasile, durante le loro presidenze del G20, si sono astenuti dall’includere il furto di proprietà intellettuale tramite il web nell’agenda del forum.
Quando le autorità dell’Asia meridionale e sudorientale e dell’America Latina hanno rafforzato le loro capacità di indagare e perseguire i casi di furto di proprietà intellettuale, ciò è stato dovuto agli sforzi per conformarsi agli standard dell’Organizzazione mondiale del commercio. Ma la maggior parte dei governi fatica a essere all’altezza delle aspettative in termini di sicurezza e rispetto della proprietà intellettuale di fascia alta, in particolare quando i casi riguardano segreti commerciali e informazioni aziendali sensibili e quando si ritiene che gli autori delle minacce operino da giurisdizioni straniere.
Sebbene nessuna economia sia al sicuro dal rischio di spionaggio economico informatico, alcune sono bersagli più probabili e altre sono più preparate a resistere alla minaccia. Difendersi dallo spionaggio economico informatico è un esercizio che consiste nell’abbinare una risposta con una valutazione continua del profilo di rischio di un’economia.
Nel nostro secondo rapporto, State-sponsored Economic Cyber-espionage: Governmental practices in protecting IP-intensive industries, abbiamo esaminato le misure che i governi di varie parti del mondo hanno adottato per difendere i loro gioielli economici e altre importanti industrie ad alta intensità di conoscenza dalle minacce informatiche.
In particolare, nell’ottobre 2023 i capi delle principali agenzie di sicurezza e intelligence dei Five Eyes sono apparsi insieme in pubblico per la prima volta. Di fronte a un pubblico della Silicon Valley, hanno definito la Cina una “minaccia senza precedenti” per l’innovazione in tutto il mondo. A ciò ha fatto seguito, nell’ottobre 2024, una campagna pubblica, Secure Innovation, che rispecchiava sforzi simili da parte dei governi europei e giapponesi.
Tuttavia, le industrie ad alta intensità di proprietà intellettuale non sono tenute agli stessi livelli di protezione e controllo della sicurezza delle agenzie governative o dei fornitori di infrastrutture critiche, nonostante rappresentino la maggior parte della crescita del PIL, dell’innovazione e dell’occupazione futura.
Difendersi dal cyber-spionaggio economico è complesso. Si tratta di difendersi da altri Stati o da gruppi che operano con il loro consenso. Questi attori tendono ad essere ben forniti di risorse o isolati dalle conseguenze. In prima linea in queste attività informatiche dannose ci sono aziende private e pubbliche, grandi e piccole, nonché laboratori di ricerca e università. Sono la prima linea di difesa contro molte minacce informatiche, compresi gli attori sponsorizzati dagli Stati.
I governi possono e devono svolgere un ruolo di primo piano nella definizione di standard per rendere l’ecosistema dell’innovazione di un Paese più sicuro dal punto di vista informatico e della proprietà intellettuale. Ciò comporta il rafforzamento dei meccanismi di applicazione nazionali. La questione deve essere rilanciata anche in forum come l’Organizzazione mondiale del commercio, l’Assemblea generale delle Nazioni Unite e le riunioni ministeriali nell’ambito di organizzazioni come il Quad e l’Associazione delle Nazioni del Sud-est asiatico. Gli interventi devono concentrarsi su misure che prevengano il furto di proprietà intellettuale. Dopotutto, una volta rubata, la proprietà intellettuale è rubata per sempre, insieme a tutti gli investimenti in ricerca e sviluppo effettuati fino a quel momento.
