L’Italia intende puntare forte sulla digitalizzazione, finora un obiettivo non pienamente centrato che pesa sullo sviluppo economico. Al tempo stesso, si lavora per rendere più sicuro lo spazio cibernetico, in continua espansione.
Da questo punto di vista, tra il vecchio e il nuovo esecutivo, entrambi guidati da Giuseppe Conte, ci sono degli elementi di continuità e altre novità recentemente introdotte che necessiteranno di riflessioni che attengono alla governance di questi settori e all’ottimizzazione delle competenze.
Se la Penisola vorrà davvero diventare una ‘smart nation’, come lo stesso presidente del Consiglio ha detto nel suo discorso per la fiducia alla Camera, dovrà innanzitutto avere ben chiare il quadro, composito, delle sfide che lo attendono.
LA CYBER SECURITY
Con il decreto per il rafforzamento del Golden Power (che modifica misure di controllo, poteri di veto, obblighi di notifica e di istruttoria per l’esercizio dei poteri speciali anche per le reti) decaduto e con l’implementazione del nuovo Perimetro nazionale di sicurezza cibernetica, come si vedrà in seguito, ancora lontana, l’Italia – evidenziano gli esperti – rischia di non avere gli strumenti legislativi e operativi per scongiurare i rischi posti da vulnerabilità nelle nuove reti.
Da tempo gli Stati Uniti avvertono gli alleati dei pericoli derivanti dall’adozione di apparati cinesi. Tuttavia, nonostante questa campagna di sensibilizzazione, l’Italia ha dato finora a questi timori una risposta interlocutoria, frutto di diverse visioni in seno alla passata maggioranza gialloverde (con i pentastellati più vicini alla Cina e la Lega contraria a un’entrata dei colossi di Pechino nelle nuove reti).
Oggi ci si trova in una fase di stallo, nella quale il citato ‘passo di lato’ sul Golden Power per le reti (solo mitigato, nel primo CdM del Conte 2, dall’esercizio dei poteri speciali su alcune delle notifiche presentate dalle telco) si coniuga all’attesa circa l’operatività del Cvcn, il Centro di Valutazione e Certificazione Nazionale istituito presso il Mise che dovrebbe, nelle intenzioni, controllare che hardware e software da utilizzare in settori critici non abbiano falle. Si tratta di passi che chi opera nel settore ritiene urgente compiere, tanto più che l’Italia, a differenza di altri Paesi, ha deciso di non escludere a priori player come Huawei e Zte, come invece chiedeva l’amministrazione Usa, ma di basare le sue decisioni su un’analisi tecnica delle apparecchiature.
Un’altra delle priorità per il nuovo esecutivo è quella di proseguire sul percorso, già tracciato, verso la piena attuazione della Direttiva europea Nis. Partita la comunicazione formale, gli oltre 450 Operatori di servizi essenziali (Ose) individuati – ossia organizzazioni pubbliche e private che garantiscono i servizi indispensabili nei settori energia, trasporti, bancario, infrastrutture dei mercati finanziari, sanitario, fornitura e distribuzione di acqua potabile – hanno tra i quattro ed i dodici mesi di tempo, a seconda delle rispettive specificità, per uniformarsi alle linee guida per la gestione dei rischi e la prevenzione e mitigazione degli incidenti. Le autorità competenti – – ha spiegato il Dis, designato punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi – li assisteranno per facilitare l’applicazione delle misure. Un parametro, quello della compliance, che guiderà poi le stesse autorità Nis nello svolgimento delle attività ispettive loro affidate.
Più lungo, infine, il percorso che attende il neonato Perimetro cyber approvato con un disegno di legge il 19 luglio in Consiglio dei ministri.
Si tratta di un testo che mira ad assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle PA, degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato” e “dal cui malfunzionamento o interruzione, anche parziali” possa “derivare un pregiudizio per la sicurezza nazionale”.
Ora, al nuovo governo, spetta proseguire nello stesso solco. La misura prevede infatti che, in sei mesi, Cisr (composto tra gli altri dal presidente del Consiglio e dai ministri di Affari esteri, Interno, Difesa, Giustizia, Economia e finanze e Sviluppo economico) e Agid definiscano i criteri in base ai quali i soggetti predisporranno e aggiorneranno annualmente un elenco delle reti, dei sistemi informativi e dei servizi informatici” sensibili, al cui vaglio dovrà pensare il succitato Cvcn.
Entro dodici mesi, poi, dovranno essere definite le procedure secondo cui i soggetti individuati notificheranno gli incidenti informatici allo Csirt italiano (anch’esso da attuare e non è chiaro se e come si integrerà con Cert nazionale e Cert-PA). E, sempre entro un anno, è attesa la definizione delle misure relative ad alcuni aspetti come politiche di sicurezza, gestione del rischio, prevenzione, mitigazione e gestione di incidenti, e affidamento di forniture di beni, sistemi e servizi Ict. Entrambi i passaggi si concretizzeranno poi con Dpcm applicativi proposti dal Cisr (un capitolo a parte meriterebbe, invece, tutto quello che ruota nel mondo della Difesa, dove si lavora per una maggiore integrazione con gli alleati e dove il riferimento in ambito cyber a livello domestico è il Comando Interforze per le Operazioni Cibernetiche).
LA GOVERNANCE
A quanto detto sinora, come ha ricordato Formiche.net, è legato anche il tema della governance, tanto nelle realtà che si occupano di digitale, quanto in ambito intelligence. Con la nomina di un nuovo ministro dedicato, Paola Pisano, e con la recente istituzione presso Palazzo Chigi di un Dipartimento per la Trasformazione Digitale (che dovrebbe diventare operativo da gennaio, sostituendo il Team guidato oggi da Luca Attias e in precedenza da Diego Piacentini), sarà necessario definire competenze e coordinamento del settore, che avrà come potente strumento, partecipato da Invitalia e Cassa Depositi e Prestiti, il Fondo Nazionale Innovazione che conta su una dotazione di 1 miliardo di euro.
Anche in ambito intelligence, dove c’è già un vice direttore con delega alla cyber security, il professor Roberto Baldoni, si attendono novità. Uno dei prossimi e auspicati passaggi – ha già analizzato questa testata – dovrebbe essere, in tal senso, la convocazione del Comitato Interministeriale per la Sicurezza della Repubblica (Cisr), l’organo dal quale passano le decisioni che attengono alla sicurezza nazionale e alla governance del Comparto Intelligence.
Tra quest’ultime c’è il bisogno di incrementare ulteriormente il decisivo information sharing con partner e alleati, ma anche necessità di procedere sia alla nomina di un nuovo vicedirettore vicario del Dis dopo l’uscita di Enrico Savio (approdato al settore privato) sia alla nomina di un’autorità delegata per la Sicurezza della Repubblica. Nello scorso governo il presidente del Consiglio Giuseppe Conte decise di tenere per sé le deleghe ai servizi segreti. Tuttavia la complessità di questo momento storico e la necessità di concentrare l’attenzione sulle tante sfide cruciali per l’intelligence gli suggerirebbe oggi, di avvalersi del supporto di un delegato che possa gestire la quotidianeità dei problemi (aspetto altrettanto importante) lasciando all’inquilino di Palazzo Chigi – come peraltro dispone la legge – il ruolo di alta direzione e responsabilità generale della politica dell’informazione per la sicurezza del Paese.
LE RISORSE
Infine, al netto di questi casi, rimarcano gli addetti ai lavori, sarà ad ogni modo utile fare il punto sulle risorse da destinare perché le politiche di sicurezza già previste e quelle auspicabili possano uscire fuori da una logica di spesa ‘straordinaria’ per diventare investimenti strutturali, in un’era nella quale le minacce informatiche e le sfide poste dal digitale sono destinate a moltiplicarsi.
