Nella futura architettura cyber nazionale un ruolo strategico fondamentale spetta alla formazione perché il livello cyber del Paese non maturerà per decreto. Le università hanno dimostrato di essere disponibili, ma non è sufficiente. L’analisi del professor Michele Colajanni (Università di Bologna)
Tutti hanno commentato in modo entusiastico le parole del sottosegretario alla Presidenza del Consiglio, prefetto Franco Gabrielli. Mi permetto di unirmi al coro in quanto la sequenza delle tre priorità delineano, come è gusto che sia, la strada italiana alla sicurezza e resilienza cyber.
Tra i passaggi fondamentali, mi preme sottolineare la premessa focalizzata sugli aspetti culturali e di consapevolezza che sottendono il tema cyber. “È necessario partire da qui”, “è la precondizione per avere la capacità di affrontare i temi della nuova frontiera, nuova per modo di dire” ha sottolineato il prefetto con consapevole ironia. In un mondo che corre da trent’anni, il nostro Paese cammina e si ritrova all’ultimo posto in Europa proprio nella dimensione fondamentale che riguarda le competenze digitali (“Capitale umano” dell’indice DESI 2020). Un grido di allarme che risuona nel potente editoriale sul “Futuro tradito” (Formiche, febbraio 2021). Una verità che ci viene ribadita da qualsiasi indicatore, incluso il Belfer National Cyber Power Index di Harvard che misura le capacità cyber di 30 Paesi: risultiamo penultimi, subito dopo la Lituania e prima dell’Egitto. Non è la posizione che ci competerebbe.
Il Prefetto ribadisce con forza la seconda direzione strategica nella necessità di rafforzare la resilienza cyber del Paese. Un’inevitabile conseguenza della nuova società digitale che richiede strutture all’altezza di una situazione dove le nostre aziende private e organizzazioni pubbliche sono bersagliate da minacce persistenti, anonime, asimmetriche e transnazionali. In tale contesto emergenziale, il prefetto riconosce lo straordinario ruolo di supplenza svolto dal comparto dell’intelligence, quanto l’importanza del passaggio verso una stabilità operativa. Come in tutte le gestioni delle emergenze a lui ben note, c’è un tempo per la risposta immediata e un tempo per la ricostruzione.
Nell’esegesi delle sue parole, mi distinguo leggermente dai primi commenti che ho colto, in quanto non mi sembra che il prefetto abbia mai fatto riferimento a un’unica mega-agenzia digitale. Sarebbe di complessa realizzazione e gestione, oltre al fatto che accumulerebbe un potere difficilmente compatibile con uno Stato democratico. Il termine cybersecurity è passato da un chiaro obiettivo legato alla protezione delle informazioni all’inclusione di qualsiasi elemento di difesa digitale. Non è chiaro e condiviso se la cybersecurity sia un fine o un mezzo, quanto sia prevenzione e quanto difesa da aggressioni fino alla ritorsione, se debba prevalere la privacy a tutela del cittadino o la necessità informativa per la protezione del Paese e per il contrasto alla criminalità informatica. Da tali ambiguità, sono scaturiti conflitti di competenze in tutti gli Stati che hanno provato a delineare un’architettura per la cybersecurity nazionale.
I Paesi più maturi, inclusi Stati Uniti e Israele, sono oramai alla seconda o terza ristrutturazione in pochi anni, indice di un problema di non facile soluzione. La complessità induce a scelte tranchant, quale l’errore di racchiudere tutte le competenze e problematiche cyber in un’unica struttura nazionale. È un errore che nasce anche dall’interpretazione dello spazio digitale come quinta dimensione, al di fuori delle altre realtà, e non come elemento pervasivo di tutte le realtà. In un mondo completamente digitale, tale struttura diventerebbe un moloch destinato a crescere a dismisura, mentre è opportuno che la cybersecurity nazionale rimanga competenza di tutte le organizzazioni esistenti. Il prefetto ha delineato la strada italiana distinguendo molto bene le diverse anime cyber. La cyber defense, la cyber intelligence e la cyber investigation sono da tenere nell’alveo pubblico nell’ambito delle organizzazioni già esistenti, magari da potenziare nelle competenze e nelle collaborazioni, ma non da svuotare a pro di un pericoloso moloch omnicomprensivo.
“La resilienza cyber del Paese è altro”, ha sottolineato il prefetto. Riguarda la continuità operativa dei servizi delle principali aziende private e organizzazioni con le quali è giusto e opportuno interloquire per definire regole che siano applicabili nell’interesse di tutto il Paese. Dopodiché, tali regole andranno fatte rispettare da un ente regolatore nell’ambito della Presidenza del Consiglio dei ministri, ma al di fuori del comparto dell’intelligence che ha altre priorità. Cristal clear si ribadiva in un famoso film.
Rimane da affrontare il contesto pubblico, perno fondamentale del Pil Paese, che è corretto tener separato dagli obiettivi di resilienza del settore privato per un duplice motivo. Il grado di sicurezza cyber della Pa è, con poche eccezioni tra cui la Banca d’Italia, molto più immaturo del livello raggiunto dalle aziende private incluse nel perimetro cyber, pertanto alla Pa deve essere dato il tempo e il modo per crescere. Inoltre, lo Stato non può sanzionare i propri dirigenti senza aver fornito loro le risorse adeguate a rispettare gli obiettivi preposti. Le famose Misure minime di sicurezza dell’Agid sono state emanate a costo zero senza investimenti in sensibilizzazione, competenze, managerialità, tecnologie cyber. Consci di tale carenza, lo Stato non ha previsto sanzioni e quindi si è ricaduti nell’errore delle leggi manifesto ben segnalate dal Prefetto. Si potrebbe ripartire da qui, senza grandi rivoluzioni.
Con investimenti nella giusta direzione, l’Agid potrebbe svolgere l’analogo ruolo della futura agenzia cyber rivolta alla resilienza privata: promozione, regole e controllo. In questa architettura cyber nazionale, un ruolo strategico fondamentale spetta alla formazione perché il livello cyber del Paese non maturerà per decreto, ma solo se vi sarà un numero adeguato di persone con visione strategica, competenze manageriali, tecniche e legali, adeguati mezzi strumentali, in quest’ordine di priorità. Le università hanno dimostrato di essere disponibili, ma non è sufficiente. Ci sono da sensibilizzare e istruire 60 milioni di connazionali, meno le poche decine di migliaia già formate. Non tradire il futuro parte da qui.
