Bisogna lanciare al più presto l’Agenzia per la cybersicurezza nazionale (Acn). Parola di Franco Gabrielli, autorità delegata all’Intelligence e già capo della Polizia, che in audizione alla Camera lancia un allarme: la sicurezza cibernetica della struttura pubblica è in una situazione “critica”
L’Italia deve lanciare al più presto l’Agenzia per la cybersicurezza nazionale (Acn). Dalla Camera, di fronte alle commissioni Affari Costituzionali e Trasporti riunite, il sottosegretario con delega all’Intelligence e alla Sicurezza Franco Gabrielli lancia l’allarme: “La struttura cibernetica pubblica presenta fortissime criticità”.
A Montecitorio il responsabile degli 007 italiani ed ex capo della Polizia ha spiegato perché bisogna accelerare con l’agenzia, nata sulla spinta del governo Draghi per rimettere in ordine le competenze per la cybersecurity dell’intelligence e dare un indirizzo ai fondi comunitari per la cyber nel Recovery Fund.
Un’agenzia che non nasce “contro niente e nessuno”, ha chiarito fin da subito Gabrielli, smontando le polemiche che ne hanno accompagnato la nascita. L’Acn, inaugurata con un decreto ad hoc approvato a inizio giugno, darà vita a un polo nazionale per la sicurezza cyber che sarà collegato ai “Centri di competenza cibernetica europei”, la rete di centri nazionali che dovrà convogliare i fondi europei per il settore, a partire dai 4 miliardi di euro dei programmi Horizon Europe e Digital Europe.
Il decreto è già al vaglio del Parlamento. Di qui l’appello di Gabrielli: bisogna fare presto. Una volta convertito in legge, ha detto, “comincerà in maniera significativa un percorso di costruzione che ovviamente dovrà avere tempistiche fortemente compresse”. L’Italia, sulla cybersecurity, è in ritardo. Per avere un’idea basta fare un confronto con i vicini di casa: Germania e Francia. “In Germania l’agenzia sulla cybersecurity ‘ha visto le sue origini nel 1991 e oggi dispone di circa 1.200 persone, mentre la ‘Francia ha un’agenzia che è operativa dal 2009 e ha oltre 1000 dipendenti, l’Annsi”.
Del ritardo è complice la pandemia, ma solo in parte. Sul banco degli indiziati c’è anche una burocrazia farraginosa, procedure troppo lente per una materia che evolve di continuo. Lo dimostra la vicenda del “Perimetro cyber”, il sistema dei centri di controllo dell’equipaggiamento tecnologico introdotto dal governo Conte-bis che, a due anni di distanza, non ha ancora visto la luce. Tanto che, ha ricordato il sottosegretario, ad oggi “non solo non è operativo, ma gli ingegneri che dovevano iniziare a lavorarvi non sono ancora stati assunti”. “Non possiamo più permetterci di perdere tempo su una tematica che può non viaggiare alla velocità della luce ma non può viaggiare alle tempistiche a cui siamo abituati”, ha aggiunto l’ex capo della Protezione civile.
Poi un appello al Parlamento: in sede di discussione e approvazione del decreto, sarebbe opportuno evitare di aprire un dibattito parallelo sulla riforma della legge 124 che nel 2007 ha riformato l’intelligence italiana perché “l’Agenzia non c’entra niente”.
È questo uno dei punti più discussi intorno alla nuova struttura che si occuperà della resilienza cibernetica italiana. Che è stata pensata fin dall’inizio con l’obiettivo di sollevare il comparto intelligence, e in particolare il Dis (Dipartimento per l’informazione e la sicurezza) dall’onere della cybersecurity.
Una competenza che fu affidata agli 007 ai tempi del governo Monti e poi rafforzata con il governo Gentiloni “per necessità”, ha ammesso Gabrielli. ”Io credo che l’agenzia non sarà un elemento di indebolimento del comparto intelligence ma di rafforzamento perché questo tornerà a svolgere una funzione di intelligence per la sicurezza nazionale negli ambiti e nei contesti che gli competono”.
“La situazione del comparto con riferimento al tema della cybersicurezza era assolutamente critica – ha aggiunto – Si era creato un meccanismo ipertrofico in capo al Dis che stravolgeva completamente la 124 e lo spirito della 124. E aveva prodotto e stava producendo grandissime fibrillazioni all’interno del comparto”. Per ragioni simili era nato un polverone intorno all’introduzione nella manovra di bilancio a dicembre dell’Istituto italiano di cybersicurezza (Iic), una fondazione pubblico-privata disegnata dal governo Conte-bis per gestire i fondi del Next generation Eu.
Affossata all’ultimo dalla stessa maggioranza, aveva suscitato forti critiche anche all’interno del comparto, ha spiegato in audizione Gabrielli: le due agenzie, Aisi ed Aise, temevano infatti che dietro alla fondazione di Conte si celasse una terza struttura all’interno del comparto con competenze e prerogative proprie. Di qui l’esigenza, anzi l’urgenza di portare al di fuori dell’intelligence la cyber-security e la “cyber-resilience”, ovvero l’interlocuzione del mondo istituzionale con le imprese di settore, per lasciare ai Servizi le “operazioni cyber”, perché “a volte l’attacco può essere il modo migliore per garantire la difesa”, e al Viminale e alla Giustizia la “Cyber-investigation”, cioè la persecuzione dei crimini cibernetici.
Nel percorso che porta alla nuova agenzia, ha garantito l’autorità delegata alla Camera, il Parlamento non sarà comunque scavalcato. Così si spiega l’inserimento nel decreto da parte del governo di diversi riferimenti al ruolo di controllo e di supervisione del Copasir, il comitato parlamentare di vigilanza sui Servizi. Da parte loro, i parlamentari delle commissioni riunite nel loro parere sul decreto hanno ammonito il governo da un ricorso eccessivo allo strumento del Dpcm per una materia così sensibile, sottolineando la necessità di una riflessione “sulla collocazione dei Dpcm nel nostro sistema delle fonti”.
