Farà capo al premier e sarà al di fuori del sistema intelligence (con cui parlerà). L’agenzia cyber annunciata dall’autorità delegata degli 007 Gabrielli rivoluzionerà la governance italiana (con la benedizione del Quirinale). Ecco come
Una nuova agenzia cyber, al di fuori del sistema intelligence. La proposta lanciata dal sottosegretario con delega alla Sicurezza e all’Intelligence Franco Gabrielli è piovuta sul comparto come un fulmine a ciel sereno. Cosa si cela dietro la riforma della governance cyber italiana? L’esigenza di trovare una nuova e più razionale divisione dei compiti è in realtà percepita da tempo. Dagli addetti ai lavori ma anche e soprattutto dalle aziende che lamentano la sovrapposizione di interlocutori istituzionali. L’input politico però parte dal colle più alto, il Quirinale.
Per capirne la genesi bisogna risalire alla vicenda dell’Istituto italiano di cybersicurezza (Iic), la fondazione metà pubblica e metà privata dapprima inserita nella manovra di bilancio dal governo Conte-bis e poi stracciata all’ultimo dopo una dura polemica sul metodo e sul merito all’interno della maggioranza.
L’istituto doveva fare da raccordo alla rete dei centri di “competenza cyber” dell’Ue per coordinare gli investimenti per il digitale e la cybersecurity nel Recovery Fund. Allo stop di dicembre contribuì il “fuoco amico” di una parte delle due agenzie degli 007 italiani, Aisi ed Aise, per il sospetto che l’Iic prendesse la forma di una terza agenzia cyber controllata dal Dis.
Il can-can, politico e istituzionale, non è piaciuto neanche un po’ al Colle. Tant’è che nella mission di Gabrielli, approdato dai vertici della Polizia alla guida dell’intelligence con il governo Draghi, c’era in origine l’intento di separare del tutto dal Dis la governance cyber. Le cose però sono andate diversamente.
Su Formiche.net Luigi Martino e Adriano Soi hanno ben ricostruito la confusione normativa nata nel 2011 quando l’allora governo Monti, pressato da Nato e Ue, decise di affidare al Dis la “protezione cibernetica e la sicurezza informatica nazionali”. Un’eccezionalità che si è protratta di governo in governo, da Letta a Gentiloni fino a Conte. Eppure il lavoro ha dato i suoi frutti.
Come il Perimetro di sicurezza nazionale cibernetica, la rete dei centri di controllo (Cvcn) dell’equipaggiamento tech coordinata dal Dis e costruita prima per decreto legge (il decreto cyber) poi con una serie di dpcm, pronta a diventare operativa entro la fine del 2021, applaudita dal Nis Cooperation Group dell’Ue e dal Dipartimento di Stato Usa. O ancora il lavoro sulla rete 5G, con il contributo (decisivo) del Dis alla stesura del “5G Toolbox”, le linee guida dell’Ue per gli Stati membri.
Ora però c’è bisogno di una svolta per razionalizzare questo sforzo, e distinguere gli ambiti di intervento. Da un lato, sotto l’egida dei Servizi e, in parte, della Difesa, la “cyber defense”. Intesa come “cyber-intelligence”, cioè raccolta di informazioni da parte di Aisi e Aise, ma anche “cyber operation”, ovvero l’insieme delle operazioni (come un attacco hacker) per neutralizzare gli aggressori della sicurezza nazionale.
Dall’altro la “cyber-resilience”, ovvero il lavoro non “intel” che oggi comprende il “sistema perimetro”, il sistema Csirt (Computer security incident response team) e, più in generale, le istituzioni che fanno capo alla direttiva “Nis” dell’Ue. A questo si somma la “cyber-investigation” che invece spetta a Polizia postale, Carabinieri e Guardia di Finanza.
L’agenzia di cui ha parlato Gabrielli si collocherebbe dunque al di fuori del perimetro Dis (con cui comunque ci sarebbe un coordinamento) e, almeno nelle intenzioni, dovrebbe far capo alla presidenza del Consiglio. Trova un precedente eloquente al di là delle Alpi, nell’Annsi (Agence nationale de la sécurité des systèmes d’information), l’agenzia per la cybersecurity francese creata nel 2009 che riporta direttamente al primo ministro e al Segretariato nazionale per la difesa e la sicurezza (l’equivalente del Cisr italiano). Non è chiaro se richiederà un intervento sulla legge quadro del comparto, la 124 del 2007, procedura che, però, comporterebbe un notevole allungamento dei tempi.
Si occuperebbe della “cyber-resilience”, cioè del sistema di sicurezza costruito intorno al perimetro cyber non senza qualche ritardo dovuto alla pandemia, verificando fra le altre cose l’affidabilità dell’equipaggiamento 5G. Ma avrebbe anche un altro compito fondamentale: spendere i fondi europei per la ripresa dedicati alla cybersecurity. Una missione che, per costituzione, non spetterebbe al Dis, una struttura che si regge prevalentemente su fondi nazionali. Senza contare che i fondi Ue comportano delle ispezioni che, per ovvie ragioni, sarebbero problematiche a Palazzo Dante.
Resta un nodo da sciogliere: cosa ne sarà dell’Iic? Il nome forse cambierà, ma l’obiettivo rimane lo stesso. A inizio maggio la Commissione Ue pubblicherà il regolamento “Cybersecurity act”. Tutti gli Stati membri, Italia inclusa, dovranno indicare un “centro di competenza nazionale” collegato all’ “EU Cybersecurity competence center” di Bucarest entro la fine del 2021. Un istituto che metta insieme il mondo della ricerca, delle imprese e della sicurezza nazionale per accelerare gli investimenti in innovazione e sicurezza cyber.
La Francia, ad esempio, ha già indicato il suo nel “Campo cyber” di 25.000 metri quadri che sorgerà a Parigi entro la fine dell’anno. In Italia, grazie anche alla proposta di Gabrielli, che con la creazione di un’agenzia ad hoc sottrarrebbe al centro la veste di “terza agenzia dei Servizi” che tanto ha fatto infuriare il dibattito politico a dicembre, restano due opzioni sul tavolo.
La prima è di distinguere nettamente il centro dall’agenzia, con una fondazione che si prenda carico della ricerca tech e faccia da acceleratore di start-up delle aziende nel settore, con un coinvolgimento di primo piano dell’agenzia (proprio come a Parigi l’Annsi nel Campo Cyber). La seconda è invece di procedere per step, inglobando in un primo momento le due realtà in una sola istituzione per poi dividerle l’anno prossimo. La rivoluzione cyber è iniziata, un passo alla volta.