Dopo il via libera della Camera all’Agenzia per la cybersicurezza nazionale, il sottosegretario Mulè indica i prossimi passi: “Operativa già a settembre”. Sulla legge 124: “Problema che va ricondotto a livello governativo e sul quale è necessaria una bella rinfrescata”
“Un’altra pietra nella costruzione dell’architettura nazionale di difesa e sicurezza cibernetica”. Così Giorgio Mulè, sottosegretario alla Difesa, ha salutato il via libera della Camera al disegno legge di conversione del decreto che istituisce l’Agenzia per la cybersicurezza nazionale.
Sottosegretario, ora la palla passa al Senato. Poco più di due settimane di tempo per la conversione, visto che il decreto legge scade il 13 agosto. Il governo è ottimista?
Il governo per sua natura dev’essere ottimista, è l’ottimismo della volontà. E con la volontà che caratterizza l’ottimismo del governo bisognerà fare in modo che prima della pausa estiva il decreto sia validato anche dal Senato.
La Camera ha detto sì con voto pressoché unanime, con la sola astensione di Fratelli d’Italia che pur ritiene opportuna la nascita dell’Agenzia.
L’istituzione dell’Agenzia è condivisa ampiamente dai partiti. Non ci sono problemi politici. Non è la riforma della giustizia, per capirci. È un percorso già tracciato che ora deve soltanto conoscere l’ultima tappa con il voto del Senato. Il tempo c’è, la volontà anche. Il problema non è del governo bensì del Paese, che deve al più presto dotarsi di questa Agenzia e fare in modo che già a settembre si possano fare i passi necessari, con gli otto decreti attuativi, a cominciare dalla nomina del direttore.
Quando sarà operativa l’Agenzia?
L’Agenzia partirà immediatamente dopo la conversione della legge al Senato. Immagino, credo e spero, a ragion veduta, che pochissimi giorni dopo l’approvazione il governo sarà in grado di esprimere, dalla presidenza del Consiglio, direttore e vicedirettore. Dopo quel momento si formeranno le direzioni e il personale transiterà dai ruoli attuali nelle amministrazioni all’Agenzia. Quindi, già a settembre l’Agenzia potrà essere operativa.
Già con gli otto decreti?
Per gli otto decreti ci sono tempi serrati. L’Autorità delegata in primis, con il supporto di tutte le amministrazioni, sta già lavorando per non farsi trovare impreparata. Per quanto riguarda i temi di mia competenza al ministero della Difesa, tra cui la formazione, siamo già più che pronti per conferire all’Agenzia quanto va devoluto.
Nella discussione in Aula sono emerse proposte che sottintendevano una volontà di apportare modifiche alla legge 124 del 2007 che ha ristrutturato i nostri servizi segreti e dato vita al Copasir. Se ne parla molto e da tempo, ma il dibattito parlamentare fatica a decollare. Serve un’iniziativa del governo com’è stato con l’Agenzia?
Quello che sicuramente bisognava fare intanto era mettersi al passo con i tempi e creare l’Agenzia. Soltanto ieri il presidente statunitense Joe Biden ha detto che presto potrebbe scatenarsi un vero e proprio conflitto armato a seguito dei cyber-attacchi. Per questo, dotarsi dell’Agenzia è un’emergenza vera dal punto di vista strategico. Poi, abbiamo senz’altro il problema della 124 che a mio giudizio dev’essere ricondotto a livello governativo: su questo, come su tante altre leggi, ritengo sia necessario passare una mano di vernice per dargli una bella rinfrescata.
Questo si tradurrebbe anche in una nuova ristrutturazione dei servizi segreti?
Non abbiamo più i servizi che, come nella seconda metà del XX secolo, possono avere una vita lunga, di 30-40 anni. Oggi devono obbedire a cambiamenti molto più repentini e necessitano di una flessibilità nell’organizzazione e nei compiti che non può essere più a lunga gittata. Quindi, con serenità e senza nessun tipo di approccio per destrutturare, vanno soltanto messi in condizione di essere all’altezza del tempo che devono vivere.
E la cyber-intelligence deve trovare una sua dimensione all’interno di questo scenario?
Con coraggio e con linearità, bisogna uscire dall’equivoco che non ha forse troppo più senso parlare soltanto di cyber-defense, ma anche di cyber-attack. Laddove il mandante di un cyber-attacco viene individuato, il nostro apparato deve essere messo in grado di contrattaccare. In particolare laddove venissimo colpiti e diventassimo un target da parte di potenze straniere o di gruppi ben individuati di terroristi del cyber-spazio.
Perché parla di contrattacco e non attacco?
Parlo di contrattacco perché trovo assurdo che l’Italia si metta ad attaccare indiscriminatamente hacker o gruppi di hacker in giro per il mondo. Una volta individuata la minaccia e risaliti al terminale della minaccia, e questo sia per gli attacchi hacker sia per quelli di tipo ransomware per esempio, bisogna essere in grado di neutralizzarla. Né più né meno di quello che si fa negli scenari tradizionali della guerra convenzionale, visto che ci troviamo davanti a una situazione pericolosa quanto un conflitto armato.
A proposito di ransomware, è stato approvato un ordine del giorno presentato da due suoi colleghi di partito, Roberto Rosso e Maria Tripodi, per la creazione all’interno dell’Agenzia di una task force dedicata al monitoraggio, alla prevenzione, al contrasto del fenomeno.
È un ordine del giorno che saluto con soddisfazione. Il ransomware rappresenta la nuova prossima frontiera. I riscatti non vanno pagati, dunque serve la capacità, innanzitutto, di fare un’azione di deterrenza. Ma laddove qualcuno dovesse pagarli serve avere la capacità di risalire, attraverso le criptovalute, a chi ha originato l’attacco per neutralizzarlo.