Cinque anni fa, in Italia si parlava poco di sicurezza cibernetica e così, quando il 24 gennaio 2013 vide la luce quello che è ormai passato alla storia come il “decreto Monti”, a molti sembrò uno sparo nel buio. In realtà quel provvedimento – che per la prima volta dettava indirizzi per la protezione cibernetica e la sicurezza informatica nazionale – era il frutto di una faticosa semina parlamentare, iniziata nel 2010, quando il Copasir (il Comitato parlamentare che controlla i servizi di informazione) aveva approvato una relazione sulla sicurezza cibernetica e la difesa delle infrastrutture critiche.
Nel documento, si rilevava la necessità di istituire una struttura di coordinamento presso il presidente del Consiglio dei ministri o l’autorità delegata alle informazioni per la sicurezza nazionale, ridefinendo attività, competenze e responsabilità di quelle esistenti, per dotare il Paese di un impianto strategico-organizzativo di vertice, capace di esercitare una leadership adeguata e dettare linee politiche per il contrasto alle minacce e il coordinamento tra gli attori interessati. Su una linea sostanzialmente analoga si collocò la mozione Ramponi, Gasparri, Finocchiaro, approvata al Senato nel maggio 2012, che impegnava il governo a costituire presso la presidenza del Consiglio dei ministri “un Comitato interministeriale per l’indirizzo e il coordinamento strategico in materia di sicurezza dello spazio cibernetico”.
Si ravvisava, in sostanza, la necessità di una legge che istituisse un’autorità di governo dotata di incisivi poteri di indirizzo politico-strategico per coordinare le attività pubbliche e private volte alla sicurezza cibernetica. In quel finale di legislatura, particolarmente convulso per le urgenze della crisi economica, non si trovò spazio per una legge dedicata alla costruzione di un sistema di sicurezza cibernetica che mettesse il nostro Paese al passo con quanto avveniva in altri Stati occidentali. Venne più facile approfittare di un disegno di legge in itinere – quello che ritoccava importanti aspetti del nuovo sistema di informazione per la sicurezza della Repubblica – per inserirvi un comma secondo cui “il presidente del Consiglio dei ministri, sentito il Comitato interministeriale per la sicurezza della Repubblica, impartisce al Dipartimento delle informazioni per la sicurezza e ai servizi di informazione per la sicurezza direttive per rafforzare le attività di informazione per la protezione delle infrastrutture critiche materiali e immateriali con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali”.
Molto meno di quello che era stato auspicato, ma abbastanza per recepire una delle indicazioni parlamentari prima ricordate, individuando nel vertice politico del sistema di informazioni per la sicurezza il soggetto istituzionale destinato a esercitare la leadership politico strategica in materia di sicurezza cibernetica. Dall’inizio del 2013 ad oggi, a questo esile “gancio” legislativo è stata appesa una nutrita serie di provvedimenti amministrativi recanti sia linee strategico-organizzative, sia norme di indirizzo e coordinamento: due direttive sulla protezione cibernetica e la sicurezza informatica nazionale (il decreto Monti, prima ricordato, e quello Gentiloni, che lo ha sostituito circa un anno fa); il Quadro strategico nazionale per la sicurezza dello spazio cibernetico, i due Piani nazionali varati per attuarlo e un’ulteriore direttiva del presidente del Consiglio a sostegno di tale attuazione.
Completano il quadro lo stanziamento di 150 milioni di euro e la recente nomina di un vice direttore del Dipartimento delle informazioni per la sicurezza delegato agli affari della sicurezza cibernetica. In campo legislativo, invece, si sono avute due novità: sul piano interno, un decreto legge ha attribuito al Cisr poteri per la gestione delle crisi di sicurezza nazionale, comprese, dunque, quelle di natura od origine cibernetica; sul piano europeo, ha visto la luce la direttiva Nis sulla sicurezza delle reti e dei sistemi informativi dell’Unione, che dovrà essere recepita entro il 9 maggio prossimo, sulla base della legge delega approvata dal nostro Parlamento lo scorso autunno. È un passaggio decisivo di cui il governo, quali che ne siano il colore o la natura, dovrà approfittare per confermare a livello legislativo molte delle misure varate con gli atti amministrativi prima ricordati: si pensi a quelle che impongono obblighi ai privati o che prevedono l’istituzione di uffici pubblici, come il centro di valutazione e certificazione nazionale dei prodotti da impiegare per il funzionamento di reti, servizi o infrastrutture.
Insomma, è giunto il tempo di dare maggiore stabilità e forza giuridica all’ingegnoso castello di carte amministrative su cui poggia il sistema di governo della sicurezza cibernetica italiana, ben sapendo che, anche dopo tale passo, la strada da fare per tradurlo in concreta realtà operativa non sarà breve.