Quando si pensa a un paese in via di sviluppo, ad esempio un paese del continente africano, raramente la cybersecurity viene evocata come una delle sfide prioritarie, ma potrebbe essere esattamente questo il caso.
Il numero di utenti di Internet cresce in modo vertiginoso nel mondo, soprattutto grazie al tasso di crescita degli utenti in Asia e in Africa. Sono, infatti, i paesi in via di sviluppo a registrare il maggiore tasso di crescita della penetrazione Internet. L’azienda Ovumone stima che entro il 2022 oltre 1 miliardo di cittadini africani avrà accesso ad Internet, ponendo importanti sfide alla gestione della sicurezza da parte dei governi.
Si afferma spesso che il cyber domain non conosce confini, questo è vero se si considera che i rischi, e le opportunità, nel cyberspace sono intrinsecamente globali. Tuttavia, i confini si riflettono in questo domain in quanto gli stati non sono egualmente capaci di cogliere le opportunità e di fronteggiare i rischi di Internet.
Infatti, se alcuni ovvi vantaggi della connettività sono nuove forme di commercio, produzioni più efficienti e transazioni più rapide., è anche vero che per poter godere di questi servizi è necessario disporre di infrastrutture, di quadri giuridici, di competenze e di sistemi di governance che, nella maggior parte dei casi, i paesi in via di sviluppo non possiedono.
Stimare in che misura gli stati siano effettivamente pronti a garantire servizi digitali efficienti e sicuri è uno degli obiettivi di indicatori come l’ITC Development Index, che misura i progressi e le potenzialità delle varie nazioni in materia di infrastrutture di comunicazione. Un digital divide fra Nord del mondo e Sud del mondo è del tutto evidente.
L’aumento nel numero di utenti di Internet non si traduce, nella maggior parte dei paesi in via di sviluppo, nell’attenzione istituzionale alla cybersecurity che sarebbe richiesta per garantire i benefici della connettività limitandone i rischi. Le conseguenze sono critiche.
Cybercrime
Hamadoun Toure, ex Segretario Generale della International Telecommunications Union (ITU), ha affermato che: «Al momento, i cyber criminali vedono l’Africa come un rifugio in cui poter operare illegalmente con impunità». I paesi africani sono, infatti, sia vittime sia fonti di importanti e frequenti fenomeni di criminalità informatica. Secondo la Società di consulenza Serianu, il cybercrime è costato alle economie africane 3,5 miliardi di dollari solo nel 2017. In particolare, le perdite sarebbero ammontate a 649 milioni di dollari per la Nigeria, 210 milioni di dollari per il Kenya e 157 milioni di dollari per il Sud Africa.
Nello sfruttare una percepita impunità, le attività illegali sono cresciute in Africa a un ritmo ben più alto che in qualsiasi altra parte del mondo. Si sono registrati oltre 24 milioni di incidenti causati da malware nel 2016, le sole Istituzioni finanziarie del Ghana hanno riportato, esclusivamente nel 2016, 400.000 malware e 280.000 incidenti causati da botnet.
I cyber criminali capitalizzano sul fatto che il settore della cybersecurity, in Africa, soffre della cronica carenza di oltre 100.000 esperti. Inoltre, la limitata esperienza degli utenti ha fatto in modo che, nel 2010, l’80% dei computer usati in Africa fossero infettati da virus o malware. Tali computer possono, in seguito,essere usati per lanciare attacchi informatici anche al di fuori dell’Africa, verso le nazioni sviluppate.
Non sarebbe un caso, quindi, che alcune imprese di paesi industrializzati considerino le transazioni originate in Africa come potenzialmente a rischio: la Nigeria si classifica, nell’indagine di “CyberSource”, come la nazione più rischiosa al mondo per le transazioni online.
Cyber Capacity Building
Il Cyber Capacity Building (CCB) è un termine ampio che include tutte quelle azioni miranti a incrementare la capacità degli stati di beneficiare della connettività limitandone i rischi. Tali azioni possono riguardare la stesura di policy, consulenze legali, addestramento delle forze di polizia e campagne di sensibilizzazione dirette ai cittadini.
Questo supporto, fornito da Stati industrializzati a quelli in via di sviluppo, permette ai riceventi di migliorare le proprie prestazioni, mentre gli stati donatori riuscirebbero a rendere il cyber domain un domain più stabile e sicuro. Gli interessi degli stati donatori, tuttavia, non si limiterebbero a questo, infatti il CCB è anche un importante strumento di politica estera, attraverso il quale rafforzare governi amici e diffondere standard tecnici e valori. La battaglia per la diffusione degli standard e dei valori assume un significato ancora maggiore se si considera che alcuni stati africani sono definiti swinging states, in quanto sarebbero capaci, attraverso il voto nelle organizzazioni internazionali, di influenzare l’esito dell’opposizione fra un modello di Internet occidentale e un modello di Internet sovrano, basato su quello cinese e russo.
Gli stati donatori , nell’aiutare uno stato a sviluppare le proprie infrastrutture e le proprie policy, riuscirebbero a diffondere i propri standard, operazione necessaria per la difesa degli interessi statali nel cyberspazio.
L’assistenza può provenire da organizzazioni internazionali, da stati o da privati. Un esempio di CCB, da parte di una organizzazione internazionale, sarebbero i workshop sul tema della criminalità informatica organizzati dall’ITU nel Malawi e nelle isole Comore. Gli stati più attivi risultano essere il Giappone, che organizza corsi in Botswana e nelle Seychelles; gli Stati Uniti, che conducono workshop in Angola, nelle Mauritius e in Mozambico, infine il Regno Unito, attivo soprattutto nel law enforcement.
L’azione dei privati è maggiormente diretta allo sviluppo infrastrutturale, come nel caso degli investimenti di Google e Facebook in cavi sottomarini. Il 5G, ad esempio, è diventato un settore in cui imprese come Huawei, Rain, Vodacom, Ericsson e ZTE hanno raggiunto un ruolo di primissimo piano.
I rischi del CCB
Il settore della cybersecurity non è immune alle dinamiche classiche che delineano il rapporto fra donatore e ricevitore. Il donatore, ad esempio, per formulare progetti efficaci e mirati potrebbe necessitare di dati e di informazioni che lo stato ricevente considera sensibili. Allo stesso modo, il donatore non sarà del tutto propenso a fornire conoscenze troppo specifiche perché potrebbe temere che queste competenze rendano, in futuro, il ricevitore capace di condurre operazioni offensive.
Queste dinamiche si verificano non solo fra stati, ma anche all’interno di una stessa nazione. Il Camerun, ad esempio, nel 2016 pianificava di lanciare programmi per la diffusione di digital skills, tuttavia molti policy makers erano preoccupati che tali capacità sarebbero poi state usate per fini illeciti.
I rischi del CCB sono molteplici, ma il più importante è forse quello di favorire violazioni dei diritti umani o instabilità politica. Le tecnologie della comunicazione possono, infatti, essere fenomenali strumenti di emancipazione e democrazia, ma possono anche essere impiegate nella repressione e nella sorveglianza.
Molteplici studi durante la Primavera Araba hanno analizzato il ruolo delle ICT; altri hanno rilevato che la copertura telefonica è correlata con la violenza politica in Africa. Tecnologie come social media e telefoni permettono di creare mobilitazioni a cascata e superare molteplici problemi di coordinamento. Allo stesso tempo, però, le tecnologie consentono agli stati di condurre operazioni di sorveglianza più sofisticate. Uno studio in Siria ha dimostrato che più è alta la connettività di una regione, maggiori sono le probabilità che il governo siriano sia capace di portare a termine operazioni di precisione contro i propri avversari. Questa sarebbe una conseguenza della capacità del governo di condurre operazioni di intelligence usando le ICT.
Il CCB deve, quindi, riuscire a evitare di fornire a esecutivi autoritari gli strumenti per controllare la propria popolazione. Le stesse tecnologie, infatti, possono essere applicate, spesso lo sono, da alcuni governi per controllare e sorvegliare le opposizioni e i dissidenti. Aziende private, come Huawei, sono accusate da alcuni osservatori di aver fornito cyber capacities, poi usate da governi per condurre operazioni per la sorveglianza di massa. Questa non sarebbe solo una caratteristica di Huawei, molteplici aziende, anche europee, hanno ricevuto la stessa accusa.
Il CCB risulta essere un processo necessario, ma estremamente delicato in cui il rischio sarebbe quello di fornire strumenti di sorveglianza di massa o capacità offensive a governi autoritari.
Fonti:
Calandro, Enrico, and Nils Berglund. n.d. ‘Unpacking Cyber-Capacity Building in Shaping Cyberspace Governance: The SADC Case’, 25.
Kshetri, Nir. 2019. ‘Cybercrime and Cybersecurity in Africa’. Journal of Global Information Technology Management 22 (2): 77–81. https://doi.org/10.1080/1097198X.2019.1603527.
Langø, Hans-Inge. 2016. ‘Cyber Security Capacity Building: Security and Freedom’. Nupi Report. Norwegian Institute of International Affairs (NUPI).
Muller, Lilly Pijnenburg. 2015. ‘Cyber Security Capacity Building in Developing Countries: Challenges and Opportunities’. NUPI Report. Norwegian Institute of International Affairs (NUPI).