Corrado Giustozzi, esperto di sicurezza cibernetica del Cert-Agid e già componente dell’advisory group dell’Agenzia Europea per la cybersecurity (Enisa), commenta il nuovo Istituto italiano di Cybersicurezza (Icc). Dal 5G all’autonomia strategica europea, come usare (al meglio) la fondazione che risponderà a Conte e agli 007 italiani
La notizia della nascita dell’Istituto italiano di Cybersicurezza (Icc) contenuta nella bozza della legge di bilancio (art. 96) ha già attirato l’attenzione degli addetti ai lavori.
La nuova fondazione (qui un quadro di Formiche.net), che agirà sotto il coordinamento del presidente del Consiglio Giuseppe Conte e del Dis (che ne decideranno la maggioranza dei componenti) si prefigge l’obiettivo di “promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica”, riuscirà nel suo intento?
Corrado Giustozzi, esperto di sicurezza cibernetica del CERT-AGID e già componente dell’Advisory Group dell’Agenzia Europea per la cybersecurity (Enisa), non nasconde qualche dubbio. “A prima vista, più che una struttura operativa, sembra una cabina di regia che dovrà garantire l’impulso delle iniziative pubblico-private. Sintomatica la scelta di una fondazione e non di un’agenzia, che si sarebbe sovrapposta alle altre già operanti”. Una prima nota stonata sul termine scelto: “Mi dispiace che sia stato usato il termine cyber-sicurezza, un brutto ibrido, in italiano sarebbe “cibersicurezza” o meglio ancora “sicurezza cibernetica” come già ampiamente e correttamente usato in tutti i documenti ufficiali”.
“Il coordinamento in capo al premier, il Dis e i ministri del Cisr (Comitato interministeriale per la sicurezza della Repubblica, ndr) giustifica il mandato molto ampio – continua l’esperto – talmente ampio da collimare, a tratti, con quello del Ministero per lo Sviluppo Economico e dell’Agid (Agenzia per l’Italia digitale, ndr), soprattutto nella promozione del digitale e nella definizione degli standard”. Tutto si giocherà sulla “leale collaborazione” fra gli altri organi del sistema di sicurezza, dice Giustozzi, “il rischio è di creare duplicati”.
L’Icc avrà però dei compiti peculiari e il tempismo con cui nasce non è casuale. La fondazione infatti avrà un rilevante compito di monitoraggio del lavoro che il Dis sta facendo per mettere in sicurezza la rete 5G da intrusioni esterne attraverso il Perimetro di sicurezza nazionale cibernetica. Un tassello in più di quell’ “ecosistema cyber nazionale” di cui già tre anni fa il vicedirettore del Dis Roberto Baldoni, capo-architetto del perimetro cyber in via di costruzione, parlava in un articolo per il Sole 24 Ore sottolineando il pericolo che l’Italia fosse “sempre più tagliata fuori da operazioni internazionali riservate a una élite di nazioni “cyber-dotate”.
“L’Icc potrà cooperare con le strutture del perimetro cibernetico – spiega Giustozzi – senza dare regole ma indirizzando gli organi tecnici, le scelte tecnologiche nel settore, specie nel 5G, offrire supporto e vigilanza”.
Un passaggio dell’articolo 96 ha un sapore più squisitamente politico. Quello che parla (96.1), fra gli obiettivi della fondazione, del “conseguimento dell’autonomia nazionale ed europea” per i prodotto informatici. Riecheggia quella “sovranità digitale” di cui la Commissione Ue di Ursula von der Leyen ha fatto una bandiera.
“Non si parla da oggi di un’iniziativa per l’autonomia europea nel digitale – commenta Giustozzi – veniva già citata nella cyber-strategy europea del 2013 che invitava gli Stati membri a creare le condizioni per la creazione di un mercato unico dei prodotti e servizi europei di sicurezza cibernetica, peccato sia rimasta in parte inattuata”.
Ma non c’è autonomia “senza un mercato unico europeo dei prodotti informatici. Per superare le frammentazioni di 28 Stati membri ci deve essere necessariamente un’iniziativa top-down, dalla Commissione. Il caso del consorzio Airbus insegna”.
