Perché la sicurezza aziendale può essere la chiave del futuro partenariato pubblico-privato nell’arena cibernetica. Il commento di Andrea Chittaro, presidente di Aipsa, e del professor Roberto Setola, direttore del master in Homeland Security presso il Campus bio-medico di Roma

Nella sua intervista dell’altro giorno, il sottosegretario Franco Gabrielli ha palesato l’opportunità di creare una struttura nuova, fuori del perimento del comparto intelligence, per gestire il tema della cyber security superando la logica emergenziale che molto spesso ha guidato le scelte in Italia in tema di sicurezza. Una struttura che, collocata all’interno della Presidenza del Consiglio dei Ministri, possa approcciare in modo olistico il problema della sicurezza informatica cooperando con gli altri ministeri competenti e con gli operatori privati.

Questa dichiarazione rappresenta una vera rivoluzione rispetto all’attuale contesto che ha visto con la Direttiva Nis e con il Perimetro di sicurezza nazionale cibernetica l’individuazione nel Dis quale struttura di riferimento e coordinamento. Ma come recentemente rimarcato anche dal prefetto Adriano Soi durante la sua lezione al Master in Homeland Security, il ruolo dell’intelligence è quello di raccogliere le informazioni non quello di definire regole e standard.

Lo stesso Gabrielli, nel riconoscere il prezioso lavoro di supplenza fatto dal comparto dal 2017 a oggi in materia di cybersecurity, ha evidenziato come il problema della sicurezza sia più esteso e complesso, necessitando di soluzioni più strutturali in grado di approcciare la materia con un’ottica di resilienza integrata per il Paese e per i singoli attori pubblici e privati che siano. La complessità e l’integrazione dei sistemi tecnologici e la varietà delle minacce rende, infatti, necessarie strategie di difesa altrettanto integrate, che vedono, da un lato una forte cooperazione pubblico-privato, dall’altro il superamento delle strutture a silos per poter gestire il tema della sicurezza nella sua totalità.

Interessante notare come la centralità della resilienza, ovvero della capacità di sviluppare strategie in grado di prevenire, proteggere, gestire e rimediare a un evento avverso, abbia dignità anche nelle due proposte di direttiva che la Commissione europea ha emanato contemporaneamente lo scorso 16 dicembre in tema di cybersecurity (la cosiddetta Nis-2) e in tema di sicurezza delle infrastrutture critiche (denominata Direttiva sulla resilienza delle entità critiche).

Il fatto che attualmente la Presidenza del Consiglio gestisca, oltre agli aspetti emergenziali con la Protezione civile, sia le problematiche connesse con la sicurezza cyber sia quelle legate alla sicurezza economica con la Golden power e quelle delle infrastrutture critiche, inquadra l’iniziativa di Gabrielli come una occasione unica per dare vita anche in Italia a una moderna struttura unitaria di coordinamento su una tematica, quella della complessiva sicurezza infrastrutturale del Paese, che attualmente risulta frammentata e, sovente, di non agevole attribuzione. Ciò consentirebbe di raggiungere un doppio obiettivo: da un lato migliorare la capacità del Paese di far fronte alle minacce per le sue infrastrutture potendo operare in modo olistico) e dall’altro semplificare e favorire una migliore cooperazione pubblico privato. Infatti, una delle maggiori problematiche che si evidenzia nella gestione degli aspetti di sicurezza è che mentre i soggetti privati stanno modificando le loro organizzazioni per favorire la presenza di una struttura unitaria a cui sono conferiti tutte le responsabilità connesse con la sicurezza, nel pubblico l’interlocuzione continua ad avvenire con una molteplicità di attori ognuno dei quali indica modalità e strumenti di cooperazione differenti. Con il risultato di duplicazioni e aggravi di oneri per gli operatori senza però un effetto benefico la collettività. Il che si traduce sia in efficienze dal punto di vista della tutela degli utenti e della popolazione che in una minore competitività per il Sistema Paese.

Quanto poi al riferimento a “luoghi” dove il partenariato pubblico-privato in una materia così delicata come la sicurezza nazionale e degli asset strategici possa avvenire in modalità trasparenti, formalizzate, con ruoli individuati e definiti, da tempo Aipsa, propone verso tutti i propri stakeholder istituzionali un modello dove venga valorizzata e riconosciuta la figura del security manager ma, più in generale, delle organizzazioni di sicurezza aziendale, dotate di quelle competenze e attribuzioni utili a farne l’interlocutore unico per i diversi comparti di cui si compone l’ecosistema di sicurezza nazionale.

La riflessione esternata dal sottosegretario Gabrielli è sì una dichiarazione dirompente, ma non una vera novità. La maggior parte dei Paesi occidentali ha, infatti, da tempo attuato soluzioni di coordinamento in grado di approcciare in modo all-hazard le diverse minacce per gli operatori di infrastrutture critiche in stretta cooperazione con le diverse strutture competenti per materia. Alcuni esempi sono il Cisa americano, il Cnpic spagnolo, il Cpni inglese il Public safety Canada. Non si tratta di “copiare” le soluzioni adottate in altre nazioni, che mal si adattano alla realtà italiana, ma cogliere l’opportunità per sviluppare una strategia nazionale di sicurezza che veda in un’unica agenzia l’elemento di coordinamento e indirizzo. È fondamentale, però, che la nuova struttura non sia una aggiunta al già complesso panorama italiano, ma un elemento di effettiva razionalizzazione e impulso che possa mettere a fattor comune le eccellenze pubbliche e private esistenti in Italia per favorire lo sviluppo di iniziative che concretamente possano contribuire a rafforzare il benessere dei cittadini, la competitività delle aziende e la sicurezza del Paese.

È altrettanto fondamentale, per altro, che questa iniziativa maturi in tempi celeri sia perché il livello di minaccia a cui le nostre infrastrutture sono esposte è crescente sia sul versante cyber che su quello indotto dai mutamenti climatici, ma anche sotto il profilo delle conseguenze economiche della pandemia che ha impoverito sia imprese che fasce significative di popolazione con rischi connessi tanto al tentativo di acquisizione dei nostri asset strategici da parte di soggetti esteri che della possibilità di infiltrazioni malavitose. La presenza di questa struttura potrebbe consentire di operare all’interno dei finanziamenti provenienti dal Pnrr introducendo fin dalle fasi di progettazione dei vari interventi un’ottica di resilienza consentendo in questo modo di recuperare in modo significativo il gap di sicurezza infrastrutturale che scontiamo rispetto ad altri Paesi.

Condividi tramite