L’aggiornamento della strategia nazionale di cyber security, l’attuazione della Direttiva Nis e la proposta di un codice di condotta internazionale sul comportamento degli Stati nello spazio cibernetico che l’Italia proporrà al G7 sono alcune delle sfide in tema di sicurezza informatica con le quali dovrà confrontarsi il neo primo ministro Paolo Gentiloni.
Il precedente inquilino di Palazzo Chigi, Matteo Renzi, aveva tra i suoi progetti quello di procedere a una revisione del Dpcm del 2013 recante “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. A gennaio di quell’anno, l’allora presidente del Consiglio Mario Monti sottoscrisse, insieme con i ministri che componevano il Comitato per la Sicurezza, un decreto presidenziale sulla cyber security. Si trattò del primo passo ufficiale in materia. Di fatto si scelse un framework classico, già sperimentato in altre nazioni, che vede in cima alla piramide il presidente del Consiglio e i ministri che compongono il Comitato per la sicurezza della Repubblica (Cisr) e a cui sono demandati i compiti di indirizzo politico-strategico. Ad essi, infatti, spetta la definizione della strategia nazionale di cyber security (delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico e nel Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali), nonché l’emanazione delle conseguenti direttive d’indirizzo.
Ora, a qualche anno di distanza e in virtù della rapida evoluzione delle minacce informatiche, quei documenti andrebbero aggiornati. La revisione, a cui già si lavorerebbe da mesi, spiegano addetti ai lavori, potrebbe mettere nero su bianco che l’Italia – in linea con quanto emerso nel summit Nato di Varsavia che ha riconosciuto il cyber spazio come un dominio operativo al pari di terra, mare, aria e spazio extra atmosferico – acquisirà capacità di difesa informatica ‘attiva’,
Non è ancora chiaro, invece, se il nuovo governo intenderà agire anche sul lato del “coordinamento”, perseguendo il progetto – accarezzato dal precedente esecutivo e dibattuto dagli esperti – di insediare presso la Presidenza del Consiglio una struttura che possa avere un ruolo di coordinamento sulla cyber security e che doveva fare capo o prevedere un ruolo di consulenza, secondo le intenzioni dell’ex premier Renzi, dell’amico manager e imprenditore Marco Carrai.
Uno dei modelli discussi negli scorsi mesi prevedeva che la nuova struttura assumesse le prerogative del Nucleo per la sicurezza cibernetica (Nsc), che oggi dipende dall’Ufficio del consigliere militare della Palazzo Chigi, cioè dalla persona che consiglia il primo ministro su tutto ciò che concerne la difesa della Penisola.
Un tale organismo avrebbe puntato su alcune priorità, come il rafforzamento degli apparati informatici della Pubblica amministrazione (laddove non ci sono ancora scelte condivise), dei vari Cert e della partnership tra settore pubblico e privato. Ciò non avrebbe tolto a nessun ministero o ente le proprie competenze, e non avrebbe avuto impatti o sovrapposizioni con le attività del Comparto intelligence, che è l’unico deputato a gestire segreti di Stato anche sul versante elettronico (la legge 124 del 2007 stabilisce che i Servizi siano i soli a potersi occupare di attività d’intelligence in materia cyber, salvo intervento legislativo).
In ogni caso, rilevante per ogni eventuale progetto di riforma è l’avvicendamento che c’è stato in alcuni ministeri e sottosegretariati chiave. Con lo spostamento di Marco Minniti da autorità delegata per la Sicurezza della Repubblica al ministero dell’Interno (e il conseguente incarico ad Angelino Alfano, passato dal Viminale alla Farnesina), Gentiloni ha tenuto per sé le deleghe all’intelligence. Mentre Minniti, grazie al suo nuovo ruolo, ora seguirà anche le attività svolte dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (Cnaipic), l’unità specializzata interna al Servizio di polizia postale e delle comunicazioni dedicata alla prevenzione e repressione dei crimini informatici diretti ai danni delle infrastrutture critiche nazionali.
Ad attendere il neo presidente del Consiglio c’è poi il dossier che riguarda l’attuazione di quanto stabilito nella Direttiva europea Network and Information Security (Nis). Quest’ultima prevede di imporre un livello minimo di sicurezza per le tecnologie, le reti e i servizi digitali, garantendo parità di condizioni tramite norme armonizzate e obbligherà tutti gli Stati membri, società Internet, piattaforme di e-commerce, social network e servizi in materia di trasporti, banche e assistenza sanitaria, oltre agli operatori delle principali infrastrutture, di garantire un ambiente digitale sicuro e affidabile.
Dalla sua pubblicazione, avvenuta nei mesi scorsi, gli Stati membri dell’Ue hanno 21 mesi di tempo per recepirla e 6 mesi per identificare gli operatori di servizi essenziali e strategici e i fornitori di servizi digitali previsti dalla direttiva. Oltre che per adempiere a una serie di misure in parte già realizzate dal nostro Paese, come la creazione di uno o più Csirt (Cert) e la definizione di una strategia nazionale per la cyber security.
Sul fronte G7, destinato a tenersi nella Penisola nel 2017, il governo italiano presenterà invece la proposta di un codice di condotta internazionale sul comportamento degli Stati nel cyber spazio. Un progetto che Gentiloni ha seguito in prima persona in qualità di ex ministro degli Esteri e che è stato delineato a Cyber Affairs da Gianfranco Incarnato, vice direttore generale per gli affari politici e direttore centrale per la sicurezza, il disarmo e la non proliferazione del Ministero degli Affari Esteri e della Cooperazione Internazionale.
La proposta italiana, ha specificato l’esponente del Maeci, punterà non tanto sulla definizione di un trattato internazionale – che “ha tempi di ratifica molto lunghi, almeno 10-12 anni”, e quindi “non è adatto ai tempi di risposta rapidi richiesti da questo dominio e dall’evoluzione delle tecnologie e delle minacce in ambito informatico”, ma su uno specifico codice di condotta condiviso dalle nazioni e da esperti in momenti diversi. Quanto agli step che dovrebbero portare alla condivisione del codice, Incarnato ha detto che “entro la fine di dicembre avremo una bozza, da dare a gennaio ai partner G7 per una revisione che lo implementi e modifichi in alcuni aspetti. Auspicabilmente, ad aprile contiamo di negoziare e finalizzare il testo, che dovrebbe passare da una approvazione preliminare dei ministri degli Esteri dei Paesi G7, e poi dal disco verde del summit del 26 e 27 maggio a Taormina. Ci adopereremo inoltre per consultare anche Stati che non fanno parte del gruppo delle sette potenze, in modo da raccogliere reazioni e commenti di più ampia portata e il massimo consenso possibile, in vista di un decisivo passaggio in sede di Nazioni Unite, per dare a queste norme un carattere mondiale”.