Un ponte per una cooperazione fra pubblico e privato, fra mondo della ricerca e i technology provider. Ecco perché serve un Istituto italiano cyber. Il commento del professor Roberto Setola, direttore del Master in Homeland Security all’Università Campus BioMedico di Roma
L’introduzione nelle bozze della Legge di Bilancio dell’idea di creare l’Istituto italiano di cybersicurezza (Iic) ha sollevato un dibattito ricco di spunti al quale diversi studiosi ed esperti hanno contribuito sviscerando il tema nelle diverse declinazioni fornendo, nella quasi totalità dei casi, un giudizio positivo circa l’utilità e l’opportunità di questa istituzione.
Questo giudizio nasce, da un lato, dalla constatazione della crescente problematica legata alla minaccia cyber. Dall’altro, dalla necessità di migliorare la cooperazione pubblico-privata.
Chiunque si occupi, anche solo in modo saltuario, di cybersecurity ha potuto prendere coscienza di come negli ultimissimi anni non solo gli attacchi cyber siano diventati sempre più numerosi, ma anche del fatto che gli stessi aumentino costantemente di sofisticazione e che, in aggiunta ad attività perpetrate da gruppi criminali, vi è un numero significativo di azioni che sono condotte da gruppi state-sponsored con finalità geopolitiche.
Gli interventi normativi che si sono susseguiti negli ultimi anni, direttiva Nis e Perimetro nazionale di sicurezza cibernetica in primis, hanno delineato per gli utenti maggiormente critici gli assetti organizzativi, gli obblighi e le sanzioni con l’obiettivo di indurre/imporre gli operatori di dotarsi di un livello di cybersecurity adeguato alla crescente minaccia.
Un’efficace politica di cybersecurity non può però essere fondata solo sull’esistenza di una normativa cogente in quanto occorre intervenire su tutta la filiera a partire dalla dimensione tecnologica (autosufficienza) fino a quella di formazione e awareness del personale (competenza). Ma soprattutto è fondamentale un’efficace cooperazione e una costante comunicazione bi-direzionale pubblico-privato oltre che privato-privato.
La costituzione dell’Iic mira a far sviluppare questa “seconda gamba”, ovvero un luogo che consenta da un lato di promuovere lo sviluppo di soluzioni e tool innovativi di cybersecurity (tecnologia) e dall’altro la costituzione di un ambiente che favorisca lo scambio di conoscenze e informazioni fra le diverse autorità pubbliche, i soggetti privati e il mondo dell’università e della ricerca (formazione).
La domanda da porsi è se quella dell’Iic sia la strada migliore per raggiungere questo obiettivo. Molti commentatori hanno risposto affermativamente a questo quesito, evidenziando che una tal iniziativa è già presente in molte nazioni estere a partire dagli Stati Uniti e da Israele. Personalmente questa argomentazione non mi entusiasma. Preferisco più ragionare sull’esperienza nazionale dell’Iit (Istituto italiano di tecnologia), che è riuscito a operare come aggregatore di realtà di ricerca frammentate creando quella massa critica che gli ha consentito non solo di primeggiare nel panorama della ricerca internazionale ma anche di sviluppare tecnologia innovativa e di attrarre/trattenere i nostri migliori cervelli. Il successo dell’Iic si misurerà, pertanto, dalla sua capacità di porsi quale elemento catalizzante delle attività portate avanti dalle diverse realtà esistenti in Italia, ovvero come un ponte che consenta un’effettiva e proficua cooperazione fra pubblico e privato, fra il mondo della ricerca e i technology provider.
Un’ultima chiosa riguarda il nome; come già evidenziato da qualcuno il termine “Istituto italiano di cybersicurezza” è un brutto ibrido italiano-inglese, perché non usare il termine cybersecurity?
