“La normativa prevista dal decreto Monti del 2013 è da rivedere completamente e forse serve un nuovo decreto che lo sostituisca. Quattro anni di sviluppo tecnologico sul fronte della cyber security equivalgono a 50 anni nel mondo reale”. Giacomo Stucchi, 48 anni tra un mese, leghista e presidente del Copasir, il comitato di controllo sui servizi segreti, aspetta le notizie dagli Stati Uniti prima di esprimere un giudizio approfondito sull’inchiesta che il 10 gennaio ha portato all’arresto dei fratelli Occhionero, accusati di spiare migliaia di soggetti, tra cui ex presidenti del Consiglio come Matteo Renzi e Mario Monti e istituzioni. Quell’inchiesta, però, ha rilanciato la discussione sul sistema di sicurezza informatica in Italia, che ebbe una prima organica normativa con un decreto del presidente del Consiglio, nel 2013 appunto Mario Monti. A Formiche.net Stucchi spiega la situazione e anticipa il possibile nuovo percorso “perché, se anche finora non abbiamo preso nessun gol, gli attaccanti avversari migliorano sempre la loro performance”.
Presidente Stucchi, al Copasir è in corso da mesi un’indagine sulla sicurezza informatica (di cui il vicepresidente, Giuseppe Esposito, è proponente e relatore assieme ad Angelo Tofalo). La vicenda Occhionero influenzerà i vostri lavori?
Ci stimola a individuare altri soggetti da audire. Nel frattempo, entro fine mese visiteremo la struttura della nostra intelligence deputata alla cyber defence per valutarne direttamente il funzionamento e il livello di organizzazione e di difesa, come abbiamo già fatto in passato con altre strutture. E’ una sfida continua e le persone preposte sono qualificate, capaci e pronte ad affrontare gli attacchi che possono arrivare da hacker strutturati o indirizzati da governi stranieri.
Si lamenta una mancanza di coordinamento, eppure nel decreto Monti è previsto un organismo collegiale di coordinamento che supporta il Cisr (Comitato interministeriale per la sicurezza della Repubblica) e che è presieduto dal direttore del Dis. Non funziona?
Credo che l’impianto previsto dal decreto sia superato e nella sostanza abbia prodotto poco. E’ necessario rivedere completamente il tutto e sostituirlo, riscrivendo il decreto alla luce delle necessità emerse negli ultimi tempi. I quattro anni trascorsi dal gennaio 2013 a oggi equivalgono a un’era geologica in termini informatici, sono come 50 anni del mondo reale.
Dunque vanno riviste anche le competenze che oggi sono del consigliere militare del presidente del Consiglio?
Va rivisto tutto.
In un convegno del settembre scorso il prefetto Alessandro Pansa, direttore del Dis, parlò della necessità di un progetto nazionale di cyber security. E’ a questo che state pensando?
Il concetto è che vanno definite nuove procedure che disciplinino una serie di rapporti tra pubblico e privato le quali, se sommate, rappresenterebbero la spina dorsale della nostra sicurezza cibernetica. Pubblico e privato insieme significa ministeri e strutture della pubblica amministrazione, grandi aziende e ricerca universitaria.
Finora com’è andata la collaborazione pubblico-privato?
Se si deciderà di modificare il decreto Monti per quanto riguarda questo aspetto sarà proprio per aver constatato che qualcosa non ha funzionato o è partito solo a livello embrionale. Bisogna prenderne atto e cambiare indirizzo.
I soldi a disposizione: dei 150 milioni stanziati con la legge di Bilancio 2016 per la cyber security dopo gli attentati di Parigi, 15 andarono alla Polizia postale e 135 sono ora a disposizione dei Servizi grazie a un decreto del 6 settembre scorso, come confermò l’allora ministro dell’Interno, Angelino Alfano. Angelo Tofalo, membro del Copasir per il Movimento 5 Stelle, a Formiche.net ha parlato della necessità di 2 miliardi.
Bisogna distinguere bene. I soldi della legge di Bilancio 2016 sono spendibili dal 1° gennaio di quest’anno, ma ci si era già mossi prima di averne la materiale disponibilità e permettono all’intelligence di fare cose positive. Se invece parliamo di piano nazionale per la cyber security dobbiamo comprendere tutti gli attori e ognuno deve contribuire per la propria parte. Se un’azienda privata decide di far parte del piano non può pensare di avere una serie di benefici senza contribuire anche economicamente.
Che tempi prevede per la nuova normativa cyber? Ce la fate in questa legislatura?
Per una struttura come quella attuale i tempi di adeguamento potrebbero essere lunghi soprattutto se si dovesse utilizzare una legge ordinaria; invece se la struttura fosse diversa, non ingessata, agile, attuabile anche con norme di rango inferiore, i tempi potrebbero essere brevi. Mi auguro che dal governo arrivi una proposta rapida per riuscire a definire il tutto in pochi mesi.
Le intenzioni sono bipartisan?
Sulla necessità di attualizzare la normativa sulla cyber security siamo tutti d’accordo, poi bisognerà vedere il contenuto della proposta.
In un’intervista a Panorama all’inizio del 2013 l’allora direttore del Dis, Giampiero Massolo, disse che l’anno precedente un’azienda italiana aveva subito mille attacchi cyber al giorno e solo quando si rese conto di non farcela chiese aiuto all’intelligence. Si possono quantificare gli attacchi che aziende private e istituzioni subiscono?
Più un’azienda è grande, più attacchi subisce. Inoltre, ci sono aziende di nicchia che hanno minore capitalizzazione rispetto ai grandi gruppi, ma che detengono informazioni preziose e sono a loro volta oggetto di innumerevoli tentativi quotidiani, dall’hacker singolo a quello governativo. Gli attacchi sempre più numerosi ci preoccupano e con l’evoluzione tecnologica è sempre più difficile per un portiere non prendere gol. Finora non abbiamo subito nessun gol, ma gli attaccanti hanno performance sempre maggiori, per esempio concentrando una serie di indirizzi Ip su un unico obiettivo creando un fronte di fuoco difficile da sopportare.
Un’azienda “sensibile” riesce a difendersi?
Chi è in difficoltà sa che può chiedere un supporto. Le aziende più importanti sono strutturate in modo adeguato, altre hanno bisogno di perfezionarsi sulla difesa. Tutte si adeguano tecnologicamente, in alcuni casi forse non c’è la consapevolezza di dover fare uno sforzo in più. Non bisogna dimenticare che quel tipo di investimento è molto costoso.
C’è bisogno anche di una maggiore collaborazione tra le strutture operative, cioè tra Difesa, Polizia, Servizi?
E’ necessaria anche se sono quotidianamente impegnate in un lavoro comune e dunque un collegamento costante tra loro c’è.
Che idea si è fatto dell’inchiesta Occhionero?
Finché non avremo i dati dagli Stati Uniti, dove sono basati alcuni server, non riusciremo a capire il reale perimetro della vicenda e ci vorrà del tempo. Si è parlato di 18 mila account, ma ci sono soggetti con più email e dunque il numero reale delle persone coinvolte è inferiore. Le intenzioni sono una cosa, i risultati un’altra. Sul fatto poi che agissero di propria iniziativa o per conto di qualcuno, per ora posso solo rilevare che il malware usato era vecchissimo, tanto che neanche gli antivirus più moderni riescono a intercettarlo. Come Copasir aumenteremo la frequenza delle audizioni: esauriti i soggetti istituzionali, stiamo ascoltando i professori esperti del settore e poi toccherà ai privati. Non dimentichiamo, però, che il Comitato non dev’essere mai monotematico: un’emergenza cyber non può farci dimenticare il terrorismo o la criminalità organizzata.
