Da Bruxelles a Roma. Come nasce (e perché serve) l’Istituto cyber del Dis

Nulla è perduto. L’Istituto italiano di cybersicurezza (Iic), stralciato dalla bozza di bilancio dopo un braccio di ferro fra il premier Giuseppe Conte, Pd e Cinque Stelle, tornerà con un maxi-emendamento alla manovra, assicurano fonti di maggioranza.

Di tregua si tratta dunque e non di rottura definitiva. Quella fondazione per la cybersecurity che, nella prima versione della bozza (ex art. 104), sotto il coordinamento della presidenza del Consiglio e del Dis, si prefiggeva il compito di “promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica”, vedrà la luce, salvo colpi di scena.

Lo stop a Conte, che lunedì i ministri dem Dario Franceschini e Lorenzo Guerini hanno invitato a desistere, è infatti uno stop politico, sul metodo molto più che sul merito. Al Nazareno non hanno apprezzato di aver appreso la notizia “a cose fatte” venerdì scorso, né di trovare il nuovo istituto cyber fra le pieghe della bozza di bilancio.

Dell’annuncio last-minute si è risentito anche il Copasir presieduto dal leghista Raffaele Volpi che infatti ha convocato questo mercoledì in audizione il direttore del Dis Gennaro Vecchione. Un incontro, spiegano persone vicine al comitato, cordiale e disteso, in cui il generale ha spiegato come l’istituto sia una garanzia per la sicurezza nazionale e non un vezzo di Palazzo Chigi.

L’idea in effetti parte da lontano: era presente già nel Piano nazionale cyber del 2017, quando ai vertici del Dis c’era il prefetto Alessandro Pansa. Allora però l’istituto era stato disegnato con un impianto semi-privatistico, e sotto il controllo esclusivo dell’intelligence. Non c’era invece quella vigilanza politica del premier e dei ministri Cisr che c’è oggi e che, spiegano i promotori, è una garanzia in più per la tutela dell’interesse nazionale.

D’altra parte il tempismo dell’iniziativa non è casuale. L’Italia si appresta a ricevere nel 2021 i fondi del Next generation EU per la ripresa post Covid-19. Una porzione non secondaria di quei fondi europei sarà destinata agli Stati membri per rafforzare la loro sicurezza cibernetica.

Fatta eccezione per l’European Defence Fund, concentrato sulla tecnologia militare nel comparto Difesa, sono due i canali di spesa previsti dal framework Ue: Horizon e Digital Europe. Nei prossimi cinque anni una parte dei fondi a loro destinati (2 miliardi di euro dal Digital Europe, 2,8 miliardi di euro da Horizon Europe) sarà veicolata per creare l’European Cybersecurity Competence Center.

Si tratta di un centro di ricerca Ue che, recita la proposta della Commissione, “applicherebbe un approccio comprensivo nel supporto alla cybersecurity in tutta la catena di valore, dalla ricerca all’applicazione e lo sviluppo delle tecnologie chiave”. Ma avrebbe anche il ruolo di “favorire il dialogo con il settore privato, le organizzazioni di consumatori e altri stakeholder rilevanti, aiutato dall’istituzione di un comitato industriale e scientifico”.

L’idea è quella di un polo aggregatore per indirizzare la spesa cyber fra gli Stati membri e raccogliere le best practice delle compagnie private europee per trovare una via a quella “sovranità digitale” annunciata dalla Commissione di Ursula von der Leyen, dal Cloud al 5G fino all’Intelligenza artificiale. Un modello a metà strada fra l’esperienza israeliana, dove pubblico, privato, ricerca e intelligence sono uniti in un unico intreccio, e quella della Mitre Corporation statunitense, un ente senza scopo di lucro che coordina i progetti di investimenti nel settore fra diversi dipartimenti e agenzie.

C’è solo un problema: l’Eu Competence center ha bisogno di un “network” di centri europei, uno per Stato membro, con cui lavorare. L’Italia, ad oggi, non ne ha uno. Niente centro, niente fondi europei per la cybersecurity. Questo, non qualche poltrona, è il vuoto che la fondazione del Dis e del governo si candida a colmare.