Da dove nasce la rivoluzione cyber annunciata dal sottosegretario Gabrielli? Quali possono essere gli sviluppi? Il modello tedesco e la necessità di una nuova legge. L’analisi del prefetto Adriano Soi e Luigi Martino (UniFi)
Il sottosegretario Franco Gabrielli, Autorità delegata per l’intelligence, lo ha detto chiaro e tondo: è giunta l’ora che il Dis venga alleggerito del gravoso complesso di funzioni e attività riguardanti la sicurezza cibernetica italiana (più precisamente ha parlato di resilienza, vale a dire della capacità del Paese di fronteggiare crisi cibernetiche di varia natura e gravità, eliminandone le cause, mitigandone gli effetti, contenendo i danni, e ripristinando al più presto le funzionalità interrotte).
Cosa c’entrano i servizi segreti con tutto ciò? Poco, quasi niente, ma fu proprio quel “quasi” che otto anni fa indusse governo Monti, pressato da Nato e Unione europea per il grave ritardo italiano nel settore, a “incastrarli” – sì, proprio loro, che per mestiere non devono mai farsi vedere e men che meno incastrare – e a depositare sulle loro spalle di cirenei di lungo corso il compito di costruire l’ossatura dell’“architettura istituzionale deputata alla tutela della sicurezza nazionale relativamente alle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali” – queste le parole dell’articolo 1 dell’ormai ben noto, almeno agli specialisti, Decreto Monti, che nel gennaio 2013 fissò i termini della prima “Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”. Parole che, non certo per caso, riprendono quelle usate dal legislatore nell’estate del 2012 per integrare l’elenco dei compiti assegnati all’intelligence dalla riforma del 2007, stabilendo che “il Presidente del Consiglio dei ministri, sentito il Comitato interministeriale per la sicurezza della Repubblica, impartisce al Dipartimento delle informazioni per la sicurezza e ai servizi di informazione per la sicurezza direttive per rafforzare le attività di informazione per la protezione delle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali”.
Eccolo qui il “quasi” di cui parlavamo prima: in virtù di questa norma di legge, l’intelligence era il soggetto istituzionale meno distante da quella sorta di “buco nero normativo” che la sicurezza cibernetica costituiva allora nell’ordinamento giuridico italiano. Certo, l’indicazione legislativa si riferiva ad “attività di informazione” per la protezione delle infrastrutture critiche ma, si sa, la necessità rende i governi creativi e quindi la direttiva Monti appese a questo “gancio” normativo la definizione, in prima battuta, del sistema di governo della nostra sicurezza cibernetica, coinvolgendovi, oltre allo stesso presidente del Consiglio dei ministri, alcuni dei soggetti di primo piano del Sistema di informazione per la sicurezza della Repubblica (il Cisr e il suo organismo di supporto tecnico, presieduto dal direttore generale del Dis).
L’operazione funzionò e poiché perdurava la disattenzione politica nei confronti del varo di una legge che distinguesse con chiarezza gli attori e i confini delle attività tecnico-amministrative di sicurezza cibernetica rispetto a quelle a quelle più propriamente riconducibili alla cyber-intelligence, dopo quattro anni di vigenza del Dpcm Monti si giunse alla sua sostituzione con un analogo provvedimento del governo Gentiloni, che confermava l’impostazione originaria e ampliava significativamente il ruolo di alcuni soggetti del Sistema di informazione per la sicurezza della Repubblica (nuovi compiti al direttore generale del Dis, chiamato fissare le linee di azione per la sicurezza cibernetica, costituzione del Nucleo per la sicurezza cibernetica nell’ambito del Dis, gestione delle crisi di natura cibernetica, eccetera).
Su questo quadro di norme organizzative fissate da una fonte debole come il Dpcm, si sono poi inserite le norme “forti”, perché di carattere legislativo: il recepimento della direttiva Nis, la legge 133 del 2019, che istituisce il “Perimetro di sicurezza nazionale cibernetica”, e infine il regolamento europeo Cybersecurity Act, ora fase di attuazione. Questo quadro normativo di derivazione mista (europea e nazionale) ha messo ancor più in evidenza la “stranezza” del sistema intelligence-centrico dell’Italia. Per esempio, per quanto concerne la direttiva Nis, si è venuto a creare una condivisione di prerogative e duplicazioni di ruoli tra varie “autorità competenti” e il Dis ha acquisito un ruolo di coordinamento e di scambio di informazioni anche non classificate che, in alcuni casi confligge con la natura dei servizi di intelligence, per i quali il segreto è un dogma.
La stessa legge che istituisce il “Perimetro” individua una doppia natura istituzionale del Dis inteso non solo come coordinatore e collettore di informazioni su incidenti e attacchi cyber subiti dai soggetti perimetrati, ma anche come “ispettore” verso tutti quei soggetti della Pubblica amministrazione che sono inclusi nel perimetro. Anche in questo caso, emerge chiaramente un ruolo del tutto “suppletivo” dell’intelligence, certamente lontano dal suo ruolo naturale che è quello di raccogliere informazioni per prevenire eventuali azioni dannose contro asset strategici del nostro Paese.
D’altronde, la necessità di creare un approccio olistico alla cybersecurity rispecchia anche l’agenda europea che, tra le altre cose, prevede la creazione di centri di competenza nazionali di cybesecurity che dovranno coordinarsi con il centro di competenza europeo da poco istituito a Bucarest. L’obiettivo dell’Unione europea è stabilire un meccanismo di coordinamento tra gli Stati Membri al fine di concentrare gli investimenti nello sviluppo industriale, nella tecnologia e nella ricerca sulla cybersecurity. Alla luce dell’attuale assetto italiano, il Dis dovrebbe coordinare anche il centro di competenza nazionale, con un ulteriore aggravio rispetto alla pianificazione e coordinamento dei programmi di industriali, tecnologici e di ricerca.
Interessante l’esempio della Germania che lo scorso anno si è dotata di un’agenzia, staccata dal Bsi tedesco e dotata di un budget di 412 milioni di euro, che si occuperà, tra le altre cose, di “coordinare la ricerca innovativa sulla sicurezza informatica e contribuire a trasformarla in approcci praticabili per combattere le minacce informatiche per la sicurezza tedesca”. Potrebbe essere un modello da considerare quando ci si muoverà lungo la strada indicata dal sottosegretario Gabrielli.
In conclusione: non siamo certo nuovi al fenomeno dell’affastellarsi nel tempo di norme di diversa efficacia giuridica, che si saldano tra loro a comporre quadri di disciplina per forza di cose incompleti o sovrabbondanti, poco chiari o non del tutto coerenti. La sicurezza cibernetica italiana è un esempio tra i tanti e, fortunatamente, il sistema messo in piedi nell’arco di quasi dieci anni ha retto, grazie anche all’impegno degli appartenenti all’intelligence, chiamati fin qui a operare in un campo tecnico-amministrativo con funzioni di coordinamento interministeriale che non sono certamente al centro delle loro missioni istituzionali. L’attenzione del sottosegretario Gabrielli al problema e la capacità di inquadrarlo correttamente sono di ottimo auspicio per l’avvio un iter legislativo rapido e largamente condiviso, che porti in tempi ragionevoli all’approvazione di una nuova organizzazione di sicurezza cibernetica nazionale, in cui la creazione di un soggetto tecnico-amministrativo di riferimento – verosimilmente un’agenzia vigilata dalla Presidenza del Consiglio dei ministri – permetta di restituire alle loro originarie funzioni le componenti del Sistema di informazione per la sicurezza nazionale fin qui impegnatesi – con innegabili e significativi risultati – nella difficile opera di impostazione dell’“architettura” di sicurezza cibernetica nazionale.
