L’Ue non spende abbastanza in cybersecurity: la percentuale degli investimenti è ferma da quasi cinque anni, spiega l’Enisa. L’avvocato Mele avverte: “Senza protezione delle infrastrutture non c’è evoluzione tecnologica”. E l’Italia è ancora indietro sul Competence Centre
“Appare evidente come ancora non sia chiaro ai nostri politici che senza protezione delle infrastrutture non c’è evoluzione tecnologica”. A sostenerlo, intervistato da Formiche.net, è Stefano Mele, partner dello studio legale Carnelutti e presidente della Commissione cibernetica del Comitato atlantico italiano.
Mele sfoglia il rapporto sugli investimenti in tema di sicurezza delle reti e dei sistemi informativi pubblicato ieri dall’Agenzia dell’Unione europea per la cybersecurity (Enisa) sulla base di un’indagine che ha coinvolto 251 organizzazioni pubbliche e private di diversi Paesi, tra cui Italia, Germania, Spagna, Francia e Polonia.
Dal via libera alla direttiva Nis “sono passati quattro anni e mezzo”, continua Mele. “Un lungo periodo in cui, per giunta, la tecnologia ha compiuto balzi da gigante e la nostra società ha fatto sempre più affidamento sulle infrastrutture tecnologiche per la crescita economica, per l’erogazione di servizi essenziali e per molto altro”. Ma dal 2016 la percentuale di investimenti in information security da parte degli operatori di servizi essenziali e dei fornitori di sevizi digitali è rimasta pressoché invariata, attorno al 6%, si legge nel rapporto. “Non si può fare affidamento sulle infrastrutture tecnologiche rinunciando all’information security”, avverte Mele. “Le due cose non possono essere separate: se punti sulla digitalizzazione devi contestualmente e inevitabilmente investire anche sulla information security e sulla cybersecurity”.
Dal rapporto si evidenzia un ulteriore dato: gli investimenti pianificati nell’Unione europea in questo settore strategico sono il 41% in meno rispetto agli Stati Uniti. Ma secondo Mele è un errore soffermarsi troppo su questo paragone: “Sicuramente l’Unione europea deve aspirare a diventare un grande attore come gli Stati Uniti. Ma non siamo gli Stati Uniti d’Europa, o almeno non lo siamo ancora: l’Unione europea ha preso sul serio la materia della cybersecurity e la creazione di un mercato unico digitale soltanto con la Cyber strategy del 2017. È normale che siamo quindi molto al di sotto degli Stati Uniti d’America”, spiega. E a queste considerazioni ne somma altre due: l’Unione europea produce “pochissima tecnologia se paragonata agli Stati Uniti ma anche ad altre nazioni più piccole come Israele”; “negli Stati membri c’è ancora moltissima ignoranza da parte della politica sulla enorme esigenza di cybersecurity che deve accompagnare qualsiasi investimento tecnologico”. Quelle “lacune culturali e impedimenti di varia natura” all’implementazione della direttiva Nis di cui ha parlato Juhan Lepassaar, direttore esecutivo dell’Enisa, presentando il rapporto.
Non sembra dunque un caso che per ospitare lo European Cybersecurity Competence Centre, l’agenzia che coordinerà gli sforzi europei in materia di sicurezza delle reti e gestirà i fondi comunitari, sia stata scelta la Romania. Paese che sugli investimenti e sulla sua attrattività molto ho scommesso per la sua candidatura (oltre che sul criterio di ripartizione geografica, come spiegato da Formiche.net). “Senza investimenti in digitalizzazione e sicurezza si perdono occasioni importanti”, continua Mele. “Come quella dello European Cybersecurity Competence Centre”, che ieri ha ricevuto il via libera del trilogo europeo Parlamento-Consiglio-Commissione e “che significa posti di lavoro, finanziamenti, attenzione e rilevanza a livello europeo”.
Non c’era nessuna città italiana tra le sette finalista per ospitare il nuovo polo cyber europeo. Ma la sua creazione richiede l’attivazione di una rete di analoghi centri nazionali. “Tra gli obiettivi dell’Istituto italiano di cybersicurezza (stralciato dal bilancio dopo un braccio di ferro tra il presidente del Consiglio Giuseppe Conte, Partito democratico e Movimento 5 stelle, ndr) c’era l’apertura del Competence Centre al suo interno. Ora, al netto delle discussioni politiche, l’Italia deve allinearsi a quanto richiesto dall’Unione europea, cioè creare la sede italiana dello European Cybersecurity Competence Centre. E l’Istituto italiano di cybersicurezza potrebbe essere la sua sede naturale, caratterizzandosi come un vero e proprio fondo di venture capital in ambito tecnologico”.