Nella brevità che caratterizza i siti web, cercherò di sviluppare il vasto tema della “governance per una cybersecurity nazionale”, inquadrandolo da un diverso punto di vista, quello della sicurezza come strumento gestionale, connaturato e caratterizzante ogni progetto ICT complesso. È necessario, innanzitutto, sviluppare due temi che ritengo chiave: “contenuto” e “perimetro” della cybersecurity.
IL CONTENUTO
Veniamo agli aspetti di “contenuto”. La crescita esponenziale della rete internet, sostenuta dalla diffusione sempre più spinta di prodotti e servizi tecnologicamente evoluti, crea a livello sistemico grandi opportunità di sviluppo e innovazione. Il cosiddetto cyberspazio – caratterizzato da velocità, automazione e risorse innovative – ha cambiato l’economia e i nostri stili di vita, in modo radicale e definitivo, diventando una delle leve su cui gli stati basano le proprie prospettive di crescita futura.
Tutto ciò ha però determinato, come contropartita, l’avvento di nuove vulnerabilità capaci di mettere a repentaglio la serenità di intere nazioni. Il cybercrime, nascondendosi dietro l’anonimato della rete e sfruttando il progresso tecnologico, determina la nascita di nuove forme di illegalità. D’altra parte, con un pizzico di ironia, non possiamo esimerci dal sostenere che l’innovazione non riguarda solo gli aspetti positivi del vivere, anche il crimine si evolve e innova.
Quindi, è ormai assodato che il cybercrime è tra i rischi da tenere maggiormente sotto controllo per evitare situazioni di crisi in un momento di estrema fragilità delle economie e dei mercati. Questi rischi si affiancano oggi alle più tradizionali sfide di crescita e sviluppo: demografia, globalizzazione, sfruttamento delle risorse. Al punto che l’autorevole fonte dei Lloyds di Londra, nel recente “Risk Index”, classifica il cybercrime come uno dei 3 principali rischi del nostro tempo, rapidamente passato dalla 11° posizione in graduatoria (2011) alla 3° posizione (2013).
IL PERIMETRO
Per quanto attiene gli aspetti di “perimetro”. Tengo sempre a sottolineare che la cybersecurity non è un “prodotto” acquistabile come fosse un domopak, una pellicola di alluminio, che avvolge con facilità qualsiasi progetto ICT. La cybersecurity deve essere parte pregnante di un progetto ICT. Ma ciò non basterebbe. La cybersecurity non può neanche può limitarsi alle componenti ICT dei soli comparti difesa, sicurezza e dell’intelligence community, già presidiate dalle strutture nazionali preposte, ma deve interessare l’intero universo gestionale delle soluzioni ICT.
Se parliamo di progetti complessi ICT, parliamo allora di “Agenda Digitale Italiana”. La strategia della Commissione europea “Europa 2020” – al cui interno si sviluppa l’ADI – mira a (1) rendere liberamente disponibili i dati delle amministrazioni; (2) incentivare trasparenza, responsabilità ed efficienza della PA; (3) stimolare innovazione e crescita economica. Entro la data del 2020 dovranno essere portati a compimento tanti, e diversi, obiettivi. Tra questi, l’uso sociale della tecnologia, la realizzazione delle reti di nuova generazione e, più in generale, l’alfabetizzazione digitale.
Evidentemente, la sicurezza delle informazioni gioca un ruolo di primissimo piano all’interno di questa strategia di approccio, non solo come task specifico ma anche come elemento pervasivo di tutte le iniziative in corso
ACQUISTARE BENE, COMUNE DENOMINATORE TRA ICT E CYBERSECURITY
Come si fa allora “cybersecurity gestionale” nella nostra Italia federale? Nell’Italia degli 11.000 CED pubblici, dei 10.000 Enti, delle 32.000 stazioni appaltanti. Nell’Italia dove la spesa diretta ICT pubblica vale 5,3 miliardi di euro l’anno. Nell’Italia dai molteplici modelli gestionali: amministrazioni che “fanno”, amministrazioni che “affidano in-house”, amministrazioni che “acquistano servizi”. Nell’Italia dove il CAD è minuzioso ma non strategico, descrivendo “bit e byte” ma non requisiti minimi per fare un CED pubblico.
Esiste un comune denominatore per gestire “ICT e cybersecurity”… occorre acquistare. Acquistare bene da un punto di vista amministrativo, Acquistare con competenza da un punto di vista delle tecnicalità. L’acquisto, e quindi la “gara” per il settore pubblico, va interpretata come progetto complesso, nesso di collegamento tra idea e risultati. Gli acquisti sono il cardine necessario per ogni progetto.
La complessa materia degli acquisti pubblici è, oggi, regolata da oltre 700 articoli di legge e dal bando al contratto passano in media 15 mesi. Le stazioni appaltanti fanno spesso bandi di bassa qualità che vengono poi annullati dai ricorsi, alimentando ritardi nei progetti, opacità e sprechi nella gestione degli affidamenti senza gara, rallentando dinamismo e innovazione del Paese. É molto diffusa una prassi di spesa pubblica guidata da logiche di somministrazione anziché di innovazione, razionalizzazione e sviluppo.
La polverizzazione delle responsabilità sugli acquisti, la loro complessità tecnica, il quadro normativo complesso e mutevole, le forti pressioni del territorio, la riduzione di personale della PA, le difficoltà dei rarefatti controlli, tutto ciò incide negativamente su efficacia ed efficienza degli appalti.
Sintetizzando, oggi, in Italia esistono troppi uffici acquisti e molte leggi e regole. Funziona…?
Forse ancora non al meglio se con i più recenti dettati normativi si è avviata la trasformazione del sistema nazionale degli approvvigionamenti pubblici che riallineerà l’Italia al resto d’Europa mediante l’aggregazione della domanda, per le grandi gare, nelle centrali acquisti. I benefici dell’aggregazione, già consolidati in molti Paesi, accessibili anche all’Italia saranno – per amministrazioni, imprese e cittadini – razionalizzazione della spesa, semplificazione e digitalizzazione delle procedure, riduzione dei tempi, crescita della qualità delle forniture, sostenibilità delle commesse, nuove opportunità per operatori innovativi ed efficienti, buona spesa delle tasse, politica industriale di sviluppo, fiducia nello Stato.
Tutto questo è, e soprattutto sarà, “acquistare bene”.
IL RUOLO DEGLI APPALTI PUBBLICI
Consip è la centrale acquisti nazionale per beni e servizi. Oggi Consip gestisce 15mld€ di contratti vigenti, 16mld€ di gare in corso, 20mld€ di consultazioni del mercato, 8mld€ di acquisti sulle piattaforme elettroniche, 430.000 transazioni elettroniche annue (36% degli acquisti pubblici avviene su piattaforme Consip). 7mld€ di risparmi annui: ogni dipendente Consip genera 22mln€ di risparmi annui: quanto occorre per far funzionare un ospedale.
Su questi numeri – e la rilevanza che hanno per il Sistema Paese – vanno inquadrati principi e regole, che non vogliono solo caratterizzarsi per tecnicismi amministrativi, ma anche per buon senso comune.
Le iniziative portate avanti sui temi del “cloud computing” o del “sistema pubblico di connettività” – rientranti nel più ampio portafoglio di supporto all’Agenda Digitale – possono portare efficienza, efficacia e risparmi sia alle amministrazioni sia alle imprese. Tuttavia questi risultati possono essere realizzati solo qualora opportunamente indirizzati i temi della sicurezza che, su queste progettualità, sono particolarmente rilevanti.
Tutto ciò premesso rende evidente che, la cybersecurity rappresenta un ambito che deve essere attentamente regolato, recependo stimoli e indicazioni da tutti gli altri comparti nazionali. É quindi da ritenere di fondamentale importanza che l’Italia si doti – come sta rapidamente facendo – di linee guida e approcci standardizzati, sia in ambito governativo sia in ambito delle infrastrutture critiche, generando quindi stimolo allo sviluppo e alla diffusione di queste tipologie di servizi.
CONCLUSIONI
Volendo riassumere quanto detto finora, la “aggregazione delle organizzazioni degli acquisti” vuol dire “qualificazione della domanda e dell’offerta” che, a sua volta, vuol dire “sviluppo industriale” per arrivare, infine, ad “occupazione”. Tutto parte dalle riforme strutturali per arrivare alla Trasformazione Digitale del Paese. E la cybersecurity è attore coinvolto e preminente di questo percorso di cambiamento.
Quindi, missione di Consip è riportare fiducia nello Stato non solo per acquistare bene, al riparo da sprechi e corruzione, ma per definire masse critiche di contratti contendibili per garantire mercati vitali e competitivi, innovazione sviluppo, occupazione e buona spesa delle tasse. Ma non solo questo, per i temi di oggi, fornire anche il solo strumento per abilitare la Trasformazione Digitale del Paese, affinché la cybersecurity sia nel progetto Paese e non la stagnola che dovrebbe cercare di proteggerlo.
L’intervento di Domenico Casalino (AD Consip) in occasione del summit sulla Cyber Security organizzato dalla rivista Formiche insieme all’Atlantic Council