Prima di esaminare i singoli articoli ed illustrare eventuali ipotesi di modifica del Decreto cyber, desidero sottolineare quattro aspetti.
La rivoluzione tecnologica non si è limitata a creare soltanto il V Dominio sulla cui analisi da quasi un ventennio si concentra l’attenzione della Dottrina militare e delle Scienze Strategiche. A seguito di una acuta intuizione del generale Dempsey all’epoca (2011) Chief of Staff delle Forze Armate degli Stati Uniti si è colta con sempre maggiore lucidità la grande trasversalità e pervasività della rivoluzione digitale che investe la società nel suo complesso: dalla vita quotidiana alla sanità, dai processi industriali alla pubblica sicurezza, dal traffico aereo all’auto a guida autonoma, dalla Sicurezza Nazionale alla Difesa.
In conseguenza di ciò i rischi e le minacce connesse al cosiddetto “lato oscuro” (Isaac Ben Israel nel 2013) della rivoluzione tecnologica in area Ict interseca in modo trasversale l’insieme dei domini, rendendo più labili e confusi tre confini tradizionali: politica interna ed estera, ambito civile e militare, pubblico e privato (per esempio Infrastrutture critiche).
Le importazioni di reti prodotti, componenti e servizi da imprese provenienti da paesi extracomunitari dove è assente lo Stato di diritto costituisce di per sé un forte di rischio che il legislatore deve prendere in considerazione. Non mi riferisco soltanto alle interferenze, all’azioni di influenza o agli attacchi rivolti a “rubare” ( o meglio copiare) importanti scoperte e conquiste appartenenti al patrimonio scientifico, tecnico, militare e industriale pregiato e sensibile del nostro Paese.
Nei regimi politici dove non opera lo Stato di diritto e caratterizzati da gravi opacità nella governance è molto più probabile il rischio di manipolazioni, intrusioni, penetrazioni e azioni criminali di vario tipo con enormi difficoltà di attribuzione. Per quanto ci riguarda, le ingerenze esterne extra Ue e i meccanismi intrinseci alla rivoluzione digitale potrebbero in un futuro non lontano rendere di di difficile attuazione alcune disposizioni della nostra Costituzione. In queste settimane la ricerca che sto conducendo si sofferma (sia pur in forma ancora preliminare ) su una decina di articoli della Carta: 6, 9, 14, 15, 33, 36, 37, 41, 42, 47, 48.
Da queste sommarie considerazioni derivano i seguenti suggerimenti. La sovranità digitale – persino nel caso del Firewall cosiddetto “Muraglia Cinese” – per essere veramente tale necessita di una cooperazione internazionale mirata di paesi confinanti e/o alleati. Pertanto il Decreto Legge dovrebbe fare esplicito e vincolante riferimento alle disposizioni di Cyber Security e Cyber Defense adottate (o in sede di adozione) in ambito Ue e Nato. La Commissione conosce assai meglio del sottoscritto la collaborazione Nato/Ue che in campo Cyber se non erro sta procedendo positivamente e rapidamente a livello tecnico.
L’impatto trasversale e pervasivo della rivoluzione digitale è tale che non ha senso affidare i meccanismi relativi alla sicurezza cibernetica nazionale ad un singolo Ministero e tanto meno al Mise che non ha competenze primarie in materia di Sicurezza, ma ha viceversa la funzione fondamentale di stimolare la crescita, l‘innovazione, le start up (come ben sapete sempre più spesso usate come cavallo di troia per le intrusioni), l’occupazione, la ricerca e lo sviluppo. Viceversa le finalità del Decreto Legge in oggetto sono essenzialmente rivolte alle materie della Sicurezza Nazionale, della Pubblica Sicurezza e della Difesa con connessioni alle normative di sicurezza a livello Europea e Atlantico (ruolo Maeci).
A mio modesto avviso anche a seguito del recentissimo Decreto di istituzione del Dipartimento Digitale della Presidenza del Consiglio gli strumenti della Sicurezza Nazionale Cibernetica non possono che fare riferimento (compresa ovviamente la vigilanza) alla Presidenza del Consiglio, d’intesa (e con il più ampio) coinvolgimento dei Ministeri della Difesa, degli Interni nonché per le sue competenze specifiche del Ministro degli Esteri e degli Affari Europei.
Occorre ripensare l’approccio alle misure di sicurezza rivolte alle imprese private e/o partecipate o controllate dal pubblico siano esse fornitrici della Pubblica Amministrazione e/o delle Infrastrutture critiche o del nuovo elenco previsto dal Decreto. Interventi ex-post e test in corso di bandi e gare aperte pongono delicati problemi di legittimità e in ogni caso le iniziative che si inseriscono nei processi hanno generalmente scarso successo, salvo semmai ispezioni e controlli tecnici a sorpresa non di routine. L’autorità pubblica ha viceversa il compito di indicare ex ante le direttive, gli standard, gli obblighi di notificazione degli incidenti e i divieti sulla base di informazioni tecniche elaborate in Italia, a livello Ue e Nato (ed anche da Stati membri e alleati). Se la Francia per ipotesi scopre una vulnerabilità, non è che l’Italia deve ripartire da zero.
Per quanto riguarda lo strumento occorre dare uno sguardo anche a quanto realizzato o in corso di realizzazione negli altri paesi. Da una rapida rassegna possiamo ipotizzare che nell’ordinamento italiano lo strumento più adatto (per la sua snellezza operativa e per il suo carattere essenzialmente tecnico) ed anche come agile raccordo con il punto unico di contatto previsto dalla Nis sia l’istituzione di una Agenzia di Valutazione ai sensi della legislazione 1999 e seguente. In pratica Il Cvcn si trasformerebbe utilmente in Avcn presso la Presidenza del Consiglio, titolare della Sicurezza Cibernetica Nazionale e connesse funzioni di vigilanza sulla Agenzia.
L’assunzione del personale cosi come è prevista dal Decreto con i vincoli previsti sia per il reclutamento esterno che sia per il reclutamento interno (utilizzo di personale civile e militare) è in palese contraddizione con gli obiettivi del provvedimento in sede di conversione. A queste condizioni l’insuccesso è assai probabile. Lo Stato deve assumere o reclutare al proprio interno chi gli serve con (funzionari e dirigenti) e offrire retribuzioni non troppo lontane dalle competenze e dalle esperienze professionali necessarie per i difficili compiti assegnati.
Una ultima considerazione di carattere terminologico. L’espressione Perimetro è fuorviante e fonte di incomprensione. Lo so bene che l’uso è metaforico, ma nel linguaggio comune e sui media può a mio avviso portare ad una notevole incomprensione. L’universo digitale è pluridimensionale senza considerare le molteplici ed ibride vulnerabilità interne alle organizzazioni. Pertanto sarebbe a mio avviso più chiara una espressione tipo dominio di Sicurezza Cibernetica Nazionale o comunque un termine giuridico più pertinente.
