Sono molti anni che, come addetti ai lavori, ci occupiamo dello sviluppo di soluzioni made in Italy per la cyber-security. La domanda di partenza è: esiste una soluzione cyber italiana e ha senso proporla? Per adesso, si è capito che esiste e che è formulata sotto tanti punti vista, da piccole medie imprese fino ai grandi player, tutti operanti su grandi temi. Tra questi, spiccano la crittografia, i big data, l’analisi comportamentale, l’analisi dei malware, le contromisure tecnologiche, la security by design anche nell’IoT, e altro ancora. Tutto questo risponde alla domanda nazionale, sia dal punto di vista del comparto intelligence sia da quello del ministero della Difesa e degli altri dicasteri, considerando per il momento solo la parte pubblica. Assodato dunque un certo grado di dialogo tra domanda e risposta, occorre ora andare oltre, interrogandoci sui passi successivi.
Il recente G7 dei ministri dell’Interno, tenutosi a Ischia a ottobre, ha visto la partecipazione dei cosiddetti Over the top (Ott). I sette ministri hanno incontrato Facebook, Microsoft, Google per potersi confrontare. Ciò pone un’altra domanda fondamentale: come interagire fra Stati e aziende del settore delle comunicazioni nella cornice del G7? La risposta esige, in ogni caso, una riconsiderazione dei confini, una nuova definizione rispetto ai confini politici e geografici che riguarda la possibilità di sicurezza degli Stati. Da un lato, infatti, gli Ott sembrano ridisegnare i confini politici all’insegna della “connexiology”, ossia dei legami di connettività. Dall’altro, gli Stati e i governi iniziano a identificare nella “sicurezza” un paradigma innovativo da garantire, attraverso il quale attrarre business e investimenti dall’estero.
Anche l’Italia può proporsi come “Stato sicuro”, cosa su cui altri Paesi stanno facendo importanti investimenti, dove l’aggettivo “sicuro” implica una serie di vantaggi e di garanzie per un business, genericamente inteso che potrebbe decidere di investire anche dall’estero. Su questo c’è bisogno di aiuto, principalmente da parte dello Stato, e quindi dalla base politica. Deve essere il governo a decidere che la sicurezza può avere rilevanza strategica anche per gli aspetti economici che ne possono derivare, oltre che per la garanzia dei cittadini, delle imprese e delle istituzioni. La richiesta al mondo politico è di favorire l’industria italiana della cyber-security. Di favorirla in qualunque modo, concedendo agevolazioni e defiscalizzando.
C’è poi bisogno di alleanze e di piani strategici, dove le grandi aziende riescano a trascinare le più piccole, perché proprio le piccole realtà non sempre hanno voce all’interno del meccanismo decisionale. Esistono Paesi che investono da anni nell’Information technology (IT) e nella cyber-security perché in questi hanno visto un valore strategico per l’innalzamento delle loro capacità economiche, industriali, scientifiche, militari e non solo. Questi Paesi risultano oggi più equipaggiati, hanno investito in maniera consistente, e sono comunque favoriti nell’applicare prezzi molto competitivi se non addirittura aggressivi. Tuttavia, occorre domandarsi se il risparmio che essi consentono nell’immediato valga il conseguente abbandono del controllo della propria sicurezza sul territorio cyber: assodato che il cyber-space è ormai un vero e proprio territorio, come terra, aria, acqua e spazio, dove si possono perpetrare crimini e azioni comparabili a conflitti o a parti di essi, dobbiamo pensare alla sicurezza in questo territorio con le stesse propensioni, le stesse “ansie”, le stesse attitudini (come Stato e come cittadini) che applichiamo da secoli alla sicurezza fisica sugli altri territori.
Occorre infine lavorare sul tema della partnership pubblico-privato: non è possibile pensare alla sicurezza senza “inventare” dei meccanismi di cooperazione tra pubblico e privato. È quello che abbiamo fatto con il sistema di protezione civile, all’indomani di tragedie nazionali dovute a minacce naturali: abbiamo creato un sistema scalabile, basato sulla prossimità, sulla ripartizione delle competenze tra tutti gli attori (pubblici, centrali e locali, e privati), sulla sussidiarietà; e questo sistema funziona, nella gestione delle crisi, in modo corretto, efficiente ed efficace. Possiamo immaginare di replicare queste best practice nella gestione della sicurezza cyber nazionale dove il governo ha già intrapreso impegni importanti con l’architettura nazionale e con l’emanazione del quadro strategico e dei piani relativi. Da qui la necessità di aiutarci reciprocamente e, nel farlo, di tenere conto che il ragionamento è finalizzato al servizio dello Stato, è mirato a garantire a tutti una maggiore sicurezza e, infine, servirà ad attrarre business nel nostro Paese.
Luisa Franchina è presidente dell’Associazione italiana esperti in infrastrutture critiche, Aiic, e consigliere scientifico della Fondazione Icsa