L’attacco dei pirati informatici alla Regione Lazio conferma quanto sia fondamentale per un paese dotarsi di strutture e strumenti per la sicurezza cibernetica ma dimostra anche quanto l’Italia e nel complesso l’Europa siano abbastanza indietro su questo terreno con un profondo gap da colmare.
Manca un’agenzia nazionale per la cybersecurity
L’esempio più emblematico è l’assenza, ancora, di una agenzia nazionale per la cybersecurity, ma anche a livello comunitario l’azione è stata tardiva. La strategia complessiva è stata adottata dalla Commissione UE soltanto l’anno scorso e l’elemento principale, la creazione di una Joint Cyber Unit, vedrà la luce solo l’anno prossimo e con operatività nel 2023.
L’attacco alla Regione Lazio arriva a qualche giorno di distanza dal via libera della Camera al decreto legge per l’istituzione dell’agenzia nazionale della cybersecurity e ne ha accelerato l’iter. Il provvedimento ha già ricevuto anche l’ok del Senato e il governo si appresta ad accelerare su nomine e decreti attuativi. L’agenzia è stata una intuizione di Matteo Renzi quando era presidente del Consiglio ma l’ex premier molto spesso ha dato prova di non dare continuità e concretezza alla capacità di visione.
La proposta di Gabrielli
Per sette anni la sicurezza cibernetica è stata oggetto di convegni e tavole rotonde ma non c’è mai stato un momento di sintesi politica per definire una strategia e un’organizzazione anche per un approccio riduttivo: identificare la cybersecurity all’interno delle strutture di intelligence.
La svolta è recente, grazie a Franco Gabrielli, responsabile dei servizi e informazione che lancia una proposta subito condivisa dal presidente del consiglio Mario Draghi. L’idea di Gabrielli rappresenta una mezza rivoluzione nel mondo cyber, abbandonare la modalità emergenziale e creare una agenzia nazionale. La grande novità è che l’agenzia non deve far parte del modello di intelligence ma dovrà sviluppare nel Paese la capacità di reggere e resistere a minacce di varia natura. I servizi segreti si occupano soltanto di un aspetto e non della complessiva capacità di resilienza. Si tratta di una netta discontinuità rispetto al governo di Giuseppe Conte che aveva elaborato un progetto, mai approdato in Parlamento, prevedendo che l’agenzia per la cybersecurity fosse alle dipendenze del DIS (Dipartimento delle Informazioni per la sicurezza).
Un mix di competenze
Nella nuova agenzia nazionale confluiranno competenze ora riservate a diversi enti, dal Mise all’agenzia per l’Italia digitale, dalla presidenza del consiglio al dipartimento informazioni e sicurezza. Altra rilevante novità prevista nel decreto è che il sistema nazionale di sicurezza cibernetica avrà al suo vertice il presidente del consiglio dei ministri al quale è attribuita l’alta direzione e la responsabilità delle politiche di cybersicurezza. Sarà il premier a nominare e revocare il direttore generale e il vice dg della nuova agenzia limitandosi a darne informazione preventiva al consiglio dei ministri, al Copasir e alle competenti commissioni parlamentari.
Non solo sicurezza pubblica
C’è un altro aspetto rilevante che il provvedimento per l’agenzia nazionale affronta ma sarà poi la pratica quotidiana a sancirne l’efficacia. La cybersecurity non riguarda soltanto la sfera pubblica, è una questione che coinvolge l’intero Paese, ogni singolo cittadino, impresa. Per questo è di fondamentale importanza un salto di qualità nei rapporti tra pubblico e privato che dovrà fondarsi su trasparenza e correttezza.
Non è sufficiente, pertanto, l’agenzia nazionale, senza una revisione del perimetro cibernetico, delle regole per le imprese in caso di incidenti. La cybersecurity deve in via prioritaria assicurare la difesa delle infrastrutture strategiche ma l’economia sempre più digitalizzata rappresenta una vera e propria emergenza. Basti pensare al transito di dati aziendali sensibili verso i cloud e altre infrastrutture tecnologiche. Miliardi di dati che transitano ogni giorno sulla rete internet senza la garanzia che un dato con origine e destinazione Italia non sconfini durante il tragitto.
L’attacco alla Regione Lazio ha evidenziato i rischi e le difficoltà a gestire gli incidenti ma è da tempo che si assiste a una intensificazione della minaccia. L’anno scorso sono stati registrati 509 attacchi ad infrastrutture critiche mentre nel 2019 erano stati 147.
L’esempio degli altri Paesi europei
L’Italia deve quindi recuperare in poco tempo un grave ritardo rispetto ad altri paesi. In Germania ad esempio l’agenzia per la cybersecurity è stata istituita addirittura nel 1991, la Francia si è dotata dell’Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) nel 2009. Il ministro Colao recentemente ha sottolineato che il 95% dei server delle amministrazioni pubbliche non garantisce condizioni di sicurezza. Possiamo sfruttare anche le risorse del Recovery Plan che destina 620 milioni di euro per la cybersecurity di cui 241 milioni destinati all’agenzia nazionale.
Ma per colmare il gap occorre soprattutto che la sicurezza cibernetica faccia parte del patrimonio culturale e politico perché gli interventi sull’onda dell’emergenza sono scarsamente efficaci.
