Nei periodi di grande emergenza, come quella che stiamo purtroppo vivendo a causa del Covid-19, cercare soluzioni rapide, concrete e soprattutto efficaci a problematiche complesse è il ruolo – non certo agevole – a cui è chiamato ogni governo. In questo genere di situazioni, l’urgenza può portare a concentrarsi soprattutto su misure “tattiche”, rischiando però di perdere di vista il quadro più ampio e quello legato alle eventuali ricadute delle misure adottate nel medio-lungo periodo.
In questo frangente, l’art. 75 del Decreto-Legge “Cura-Italia” mira giustamente ad agevolare e sburocratizzare il più possibile le procedure di acquisto nella pubblica amministrazione e nelle autorità amministrative indipendenti volte allo sviluppo dei sistemi informativi utili alla diffusione del lavoro agile e dei servizi in rete per l’accesso di cittadini e imprese. Una misura senz’altro lodevole, che tuttavia, così come attualmente disciplinata, rischia di far perdere di vista due temi fondamentali, quello della sicurezza nazionale e quello della sicurezza delle informazioni di tutti i cittadini. Infatti, nessuna previsione all’interno della norma dedica la giusta attenzione al tema – ormai imprescindibile – della verifica dei livelli di sicurezza cibernetica dei prodotti e servizi che la pubblica amministrazioni andrà a breve ad acquistare.
Eppure, è proprio durante le situazioni di emergenza (come quella che stiamo vivendo) e nei periodi di recessione economica (come quella che quasi certamente vivremo nel prossimo futuro), che diventa ancora più evidente il rischio di veder barattare proprio la sicurezza nazionale e quella delle informazioni di tutti i cittadini con l’inutile “moneta”, ad esempio, della convenienza basata sul principio del minor costo.
Principio che, purtroppo, rappresenta ancora il cardine di riferimento in caso di approvvigionamenti tecnologici, nonostante sia sotto gli occhi di tutti come la sicurezza nazionale e delle informazioni, in una società sempre più iper-connessa, passino ormai obbligatoriamente attraverso la sicurezza cibernetica dei sistemi, dei prodotti e dei servizi acquistati, ivi compreso nel caso della pubblica amministrazione.
Un tema, questo, messo in risalto anche recentemente dal nostro Comparto Intelligence, che all’interno della sua recente “Relazione sulla politica dell’informazione per la sicurezza” evidenzia come, nel 2019, sia stata proprio la pubblica amministrazione italiana ad aver sofferto il maggior numero di attacchi cibernetici ai propri sistemi. Infatti, ben il 73% del numero complessivo degli attacchi registrati dai nostri servizi segreti ha colpito proprio il settore pubblico e, in particolar modo, i ministeri e gli enti regionali, provinciali e comunali, ovvero i soggetti destinatari del contenuto dell’art. 75 del decreto-legge “Cura-Italia”.
Per di più, di recente, attraverso il decreto-legge n. 105 del 21 settembre 2019, il nostro governo – in maniera molto lungimirante – ha previsto la creazione di un “Perimetro di Sicurezza Nazionale Cibernetica” proprio per assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati da cui dipenda l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche.
La normativa sul “Perimetro di Sicurezza Nazionale Cibernetica” disciplina che – entro il 21 settembre 2020 – vengano definite le procedure, le modalità e i termini a cui dovranno attenersi le amministrazioni pubbliche, gli enti, gli operatori nazionali pubblici e privati, così come le centrali di committenza alle quali essi fanno ricorso (Consip S.p.A. o i soggetti aggregatori, ivi comprese le centrali di committenza regionali), ogni qual volta intendano procedere all’affidamento di forniture di beni, sistemi e servizi Ict destinati a essere impiegati sulle reti, sui sistemi informativi e per l’espletamento dei servizi informatici rientranti all’interno di questa normativa.
Tuttavia, data la situazione di emergenza e il contenuto dell’art. 75 del decreto-legge “Cura-Italia”, potrebbe essere una leggerezza di non poco conto – che potremmo pagare già nel medio periodo – non prendere oggi in considerazione – in maniera strutturata – anche la sicurezza cibernetica dei prodotti e dei servizi di cui la nostra pubblica amministrazione ha urgente bisogno per superare questo periodo di crisi.
Una soluzione concreta a questo problema potrebbe essere, allora, quella di anticipare al prima possibile – per non dire oggi stesso – l’entrata in vigore almeno di quelle procedure, modalità e termini previsti dal Perimetro di Sicurezza Nazionale Cibernetica per le amministrazioni pubbliche e soprattutto per le centrali di committenza alle quali essi fanno ricorso. Ciò, al fine di evitare che gli acquisti in emergenza previsti dal decreto-legge “Cura-Italia” – sicuramente necessari – non tengano in giusta considerazione la sicurezza cibernetica e quindi, ancora una volta, la sicurezza nazionale e quella delle informazioni di tutti i cittadini.
