Il 19° Congresso del partito Comunista cinese dello scorso ottobre ha messo esplicitamente in luce una realtà che appariva già chiara alla maggior parte degli osservatori: ogni aspetto riguardante la politica, l’economia, la difesa e persino la cultura della Repubblica Popolare Cinese deve essere in qualche modo ricondotto alla protezione e all’espansione degli interessi nazionali.

Tale approccio coinvolge, di conseguenza, anche il piano nazionale di cyber security, il cui sviluppo, secondo quanto formulato nel relativo documento strategico pubblicato nel 2016, è stato concepito con lo scopo di «salvaguardare gli interessi del Paese nell’ambito della sovranità, sicurezza e sviluppo del cyberspazio».

È necessario tenere in considerazione che la terminologia impiegata nei Paesi occidentali per indicare il “cyberspazio” e la “cyber security” non ha un vero e proprio riscontro nel lessico impiegato dai cinesi per riferirsi a questi ambiti. In Cina, infatti, viene inteso come “cyber” tutto ciò che ha a che fare con le reti e con l’informazione in senso ampio; ne consegue che la cyber security viene concepita da Pechino come l’insieme delle operazioni relative alla sicurezza delle informazioni (che siano militari, governative, industriali, ma anche relative ai singoli cittadini), nell’ottica del soddisfacimento di una vasta gamma di obiettivi di carattere nazionale.

La sicurezza nazionale

Il fatto che il tema della sicurezza nazionale rappresenti uno dei fulcri intorno a cui è stata sviluppata la strategia cinese di cyber security è dimostrato dalla crescente importanza acquisita dal cyberspazio nell’ambito delle operazioni del People Liberation Army (PLA).

In seguito alla ristrutturazione dell’apparato militare cinese, avvenuta a partire dal dicembre 2015 per volere del presidente XI Jinping (che ora può fregiarsi anche del titolo di Comandante in capo delle Forze Armate), gli aspetti relativi alla sicurezza informatica – o per meglio dire «dell’informazione» – sono stati individuati come un «importante fattore di crescita per le capacità di combattimento degli esponenti della PLA», tanto da introdurre nuove unità come la cosiddetta Forza di Supporto Strategico (SSF), con compiti di supporto alla difesa dei sistemi informatici.

Il Libro bianco della Difesa della Cina del 2015 introduce i concetti di «guerra in condizioni informatizzate» e di «difesa attiva», delineando lo spazio cyber come «nuovo dominio della sicurezza nazionale». Secondo quanto riportato nel Libro Bianco, la Cina intende «accelerare lo sviluppo di una forza informatica al fine di potenziare le sue capacità nell’ambiente del cyberspazio», in modo da «contrastare le grandi crisi informatiche, garantire la sicurezza nazionale e la sicurezza dell’informazione e mantenere la sicurezza nazionale e la stabilità sociale».

Poiché, come si è detto, il concetto di sicurezza cyber coincide in qualche modo con quello di sicurezza delle informazioni in senso ampio, nell’idea di «difesa attiva» sviluppata dalla Cina ricadono anche tutte le operazioni di intelligence relative alla raccolta di informazioni sulle capacità cyber dei propri avversari; nonché tutte quelle operazioni legate alle PSYOP (psychological operations) e più in generale alla guerra psicologica, come dimostrano ad esempio le numerose azioni di ingegneria sociale condotte “colpendo” dipendenti di aziende straniere tramite l’impiego di fake profile costruiti ad arte sui social media.

Spionaggio e controspionaggio aziendale

In questo quadro si delinea una sovrapposizione tra gli obiettivi connessi a interessi nazionali differenti. L’impegno del governo cinese per diminuire progressivamente la dipendenza nei confronti dei competitor stranieri (soprattutto per quanto riguarda il know-how e le soluzioni tecnologiche nella sfera dell’information technology – IT) è infatti finalizzato ad accrescere la posizione di sovranità del Paese tanto a livello economico che politico.

Tale indirizzo è supportato anche dallo sviluppo di policy e standard specifici (ad esempio in materia di crittografia e sistemi operativi), che permettono alla Cina di muoversi in maniera parallela rispetto agli standard internazionali, che risultano spesso inapplicabili ai regolamenti e alle politiche nazionali cinesi in tema di sicurezza IT.

La cosiddetta Network Security Law cinese, entrata in vigore nel giugno 2017, definisce lo standard per la raccolta e il trattamento delle informazioni personali e per la protezione della privacy individuale. Interessante notare il fatto che, come dichiarato dal governo cinese, la legge non ha esclusivamente lo scopo di tutelare la protezione degli interessi dei singoli cittadini che operano nel cyberspazio, ma anche di salvaguardare la sovranità e la sicurezza nazionale nell’ambito dello stesso. In tal senso, non viene operata una vera e propria distinzione, in termini di ciò che viene definito come «dato sensibile», tra le informazioni relative ai singoli cittadini e quelle relative alla sicurezza nazionale.

La protezione dei dati viene inoltre garantita attraverso l’archiviazione su server domestici, fatto che determina alcune problematiche per le imprese straniere operanti in Cina. Esse, infatti, si troverebbero costrette a dover “cedere” ai data center cinesi i dati da esse trattati, onde evitare di incorrere in accuse penali e nel pagamento di multe salate (fino a un milione di yuan), esponendosi però al tempo stesso al rischio di attività di spionaggio industriale state-sponsored.