Di sicurezza cibernetica si parla solo quando accade un clamoroso fatto di hackeraggio nonostante decine di milioni di italiani utilizzino ogni giorno computer e smartphone. Il guaio è che l’importanza della sicurezza cibernetica non viene colta neanche dai vertici di moltissime aziende che continuano a sottovalutarla. Ecco perché “bisogna finalmente capire che la minaccia cyber non è il futuro, ma è qualcosa di assolutamente attuale”, come dice il presidente del Copasir, Giacomo Stucchi (nella foto), e perché “senza consapevolezza della minaccia non andiamo da nessuna parte”, come sottolinea il prefetto Adriano Soi.
I SERVIZI “MENO” SEGRETI
Stucchi e Soi sono stati tra i relatori del convegno sulla “Cyber security in Italia, cosa cambia con il Dpcm Gentiloni”, organizzato dall’agenzia di stampa Cyber Affairs in collaborazione con la società di comunicazione Hdrà e moderato da Michele Pierri, direttore di Cyber Affairs. Il decreto dell’attuale presidente del Consiglio ha ridisegnato l’architettura normativa relativa alla cyber security contenuta nel Dpcm firmato da Mario Monti nel gennaio 2013. Si sa che il trasferimento della responsabilità del Nucleo di sicurezza cibernetica dal consigliere militare di Palazzo Chigi al Dis, cioè al vertice dei servizi segreti, è una delle novità più importanti: Soi, che dopo anni nell’intelligence oggi è docente di Security studies alla scuola “Cesare Alfieri” dell’università di Firenze, ha rilevato che questo passaggio di responsabilità per la prima volta trasforma i servizi segreti da qualcosa di “nascosto” a componente integrata con le altre amministrazioni dello Stato con le quali dovrà necessariamente interloquire.
SPENDERE SUBITO I FONDI
Punto centrale della nuova normativa, infatti, è la responsabilità della sicurezza cibernetica in capo a un vicedirettore del Dis che secondo Stucchi “dovrà avere competenze e qualità adamantine diventando il garante della sicurezza nazionale”. Il decreto Gentiloni e l’imminente pubblicazione sulla Gazzetta ufficiale del nuovo Piano per la sicurezza nazionale dimostrano la delicatezza e l’attualità di un tema bipartisan e il leghista Stucchi non a caso ha precisato che sul contributo dato alla stesura del Dpcm Gentiloni il Comitato parlamentare che sovraintende ai servizi segreti ha deciso all’unanimità. Ora però si deve passare all’attuazione pratica delle norme e, per esempio, agli investimenti. Si ricorderà, infatti, che dopo gli attentati di Parigi del novembre 2015 vennero stanziati 150 milioni di euro proprio per la cyber security di cui 15 furono subito trasferiti alla Polizia postale e gli altri 135, destinati all’intelligence, invece sono rimasti bloccati per un anno: “Dal 1° gennaio questi soldi sono spendibili – ha detto Stucchi – e mi auguro che vengano spesi”.
UNA LEGGE PER RAZIONALIZZARE I CERT
Se dubbi giuridici sono stati sollevati sulla natura di un decreto amministrativo, qual è un Dpcm, per regolare una norma tanto delicata e con così tante implicazioni, una legge sarà necessaria per razionalizzare il settore dei Cert, i Computer emergency response team. L’ha rilevato Corrado Giustozzi, esperto dell’Agenzia per l’Italia digitale per il Cert della Pubblica amministrazione, che ha messo il dito nella piaga dei finanziamenti ricordando che la responsabilità della cyber security in capo ai servizi segreti non è una novità in Gran Bretagna, dove da sempre dipende dal Gchq che però può contare su 800 milioni di sterline.
LA RESPONSABILITÀ DELLE AZIENDE
Come si comportano le aziende? Male. “Finché gli amministratori delegati non capiranno che è loro la responsabilità aziendale riguardo alla cyber security, non ci sarà consapevolezza dell’argomento” ha detto Soi. In aggiunta Valerio Pastore, presidente di Boole Server, azienda che si occupa di protezione di dati aziendali, ha ricordato che fino a qualche anno fa nei bilanci non erano neanche previsti i fondi per la sicurezza, ma anche branche della Pubblica amministrazione si accorgono che i loro dati sono stati rubati solo quando li vedono sul web. È proprio il concetto di sicurezza integrata quello che deriva dal Dpcm e dal passaggio di responsabilità al Dis, punto centrale per Nunzia Ciardi, direttore della Polizia postale. “La normativa va bene, ma occorre altro: occorre la cultura”, ha aggiunto. Tra un anno, entro l’estate del 2018, l’Italia dovrà recepire la direttiva europea Nis (Network and information security) che, oltre a migliorare la capacità di cyber security degli Stati e la cooperazione, comporterà numerosi obblighi, a cominciare dalla denuncia degli incidenti da parte degli operatori di servizi essenziali e dei fornitori di servizi digitali: “Un danno sia per l’immagine – ha detto Ciardi – sia per il responsabile della sicurezza la cui testa sarà la prima a cadere”. La concreta applicazione della direttiva Nis sarà per l’Italia il punto di svolta.