Non solo cyber, così riformiamo l’intelligence. Parla Franco Gabrielli

“Non dobbiamo fare presto, ma fare prima”. Franco Gabrielli lo ripete più volte. La sicurezza nazionale non è solo una gara di velocità. È un orizzonte che si sposta di continuo, e richiede il giusto mix di visione e realismo. Il sottosegretario di Stato con delega all’intelligence e alla sicurezza, già capo della Polizia e della Protezione civile e prefetto di Roma, ci accoglie nel suo ufficio a Palazzo Verospi. I primi sei mesi al governo con Mario Draghi sono stati tutto fuorché ordinaria amministrazione. Sotto la sua regia come autorità delegata agli 007 è stata costruita un tassello alla volta la nuova Agenzia per la cybersicurezza nazionale (Acn), la struttura che vigilerà sulla resilienza cibernetica dell’Italia. Una riforma, spiega Gabrielli in questa intervista a Formiche.net, che risponde a un’emergenza, l’ondata di attacchi cyber portata dalla pandemia. Ma riflette anche un progetto di ampio respiro per riordinare le competenze e valorizzare le professionalità dell’intelligence italiana.

Perché proprio ora serve l’Agenzia?

In verità è un’esigenza sentita da almeno dieci anni. La resilienza cibernetica del nostro Paese ha bisogno di una struttura appositamente dedicata. La nascita dell’agenzia serve a fare chiarezza e rimettere ordine fra le diverse competenze.

A partire dall’intelligence, cui la direttiva Gentiloni del 2017 ha affidato la responsabilità della difesa cibernetica del Paese. Un errore?

Non un errore, ma una scelta figlia delle circostanze, così come delle sollecitazioni da parte dell’Ue. Quando ho ricevuto il mio attuale incarico ho apprezzato in negativo una serie di fibrillazioni nel comparto per la collocazione al suo interno di un compito, la difesa cyber, percepito come confliggente con la missione delle agenzie.

Quindi?

Quindi abbiamo deciso, con il fondamentale impulso del presidente del Consiglio e la collaborazione del Copasir e delle altre commissioni parlamentari, di dar vita a una riforma per razionalizzare la governance. E mettere un argine, fra l’altro, a una certa bulimia istituzionale: basti pensare che nel 2018 sono state istituite 23 autorità nazionali Nis (Network and information systems, ndr). Oggi ce ne sarà solo una, all’interno dell’agenzia.

Cos’altro non ha funzionato?

C’è stata una eccessiva sovrapposizione di diverse istituzioni che ha inevitabilmente creato un percorso a due velocità. Penso al dl 105/2019 che ha inaugurato il “perimetro cyber”. Il centro di controllo collocato al Mise doveva assumere settanta ingegneri informatici ma non è mai decollato. Il Csirt (Computer incident response team, ndr), che invece era sotto la supervisione del Dis, ha vissuto un’evoluzione molto più rapida.

Nell’ultimo anno c’è stata una crescita esponenziale di attacchi cibernetici in Italia. L’ultimo, il ransomware che ha colpito i server della regione Lazio, ha messo nel mirino i dati di sei milioni di persone. Come spiega questa escalation?

La pandemia ha allargato esponenzialmente la platea digitale, aumentando di conseguenza l’esposizione al rischio cyber. Gli attacchi ransomware sono solo una faccia della medaglia, preoccupante per l’aumento vertiginoso nell’ultimo anno. Secondo i dati di un osservatorio indipendente il fatturato di queste gang di ricattatori del web è passato da undici miliardi di dollari nel 2020 a venti miliardi solo nei primi sei mesi del 2021.

Cosa farà l’Agenzia per difendere le infrastrutture italiane?

Si occuperà della resilienza cibernetica dei soggetti essenziali per la sicurezza dello Stato, pubblici e privati. Una necessità fotografata dai numeri. Quando il ministro Colao, che ha un retroterra professionale di successo nel settore privato, sottolinea che il 95% dei server della Pubblica amministrazione italiana presenta criticità, lancia un allarme che va preso sul serio. E qui faccio un’ulteriore premessa.

Prego.

L’Agenzia non sarà la panacea di tutti i mali né la soluzione di tutti i problemi. La resistenza del sistema Paese alle aggressioni nel dominio cibernetico non si realizza in qualche mese e neanche in qualche anno, è un percorso che vedrà il contributo fondamentale di altri apparati, dalle forze di polizia, cui spetta la cosiddetta cyber-investigation, alle operazioni di cyber-intelligence del comparto. Anche per questo è previsto un tagliando del Parlamento nell’ottobre del 2022. In questo momento stiamo lavorando ai quattro regolamenti attuativi del decreto.

L’Agenzia sarà fuori dal comparto intelligence?

Sì, ma comunque nell’alveo della sicurezza nazionale. Rendere il sistema resiliente agli attacchi cibernetici è la precondizione per la sicurezza. Per sventare un furto in un appartamento è necessario prima rafforzare la struttura con un sistema di allarme. E assicurarsi che chi lo programma sia una persona di fiducia.

L’anno scorso il governo Conte-bis voleva istituire l’Istituto italiano di cybersicurezza (Iic). Cosa cambia fra l’Agenzia e la fondazione proposta dall’ex premier?

La differenza è sostanziale. Quella fondazione sembrava piuttosto uno spin-off dell’intelligence con la missione di gestire i fondi europei per la cybersicurezza e presentava peraltro una struttura molto arzigogolata, a metà fra pubblico e privato, con un sistema di controlli con diverse complessità operative. All’interno delle due agenzie, Aise e Aisi, non sono mancate incomprensioni e anche insofferenza verso uno strumento che rafforzava ulteriormente le prerogative del Dis nel campo della cybersecurity.

Scendiamo nei dettagli: quante persone lavoreranno nell’agenzia cyber?

Una settantina di professionisti è già pronta a trasferirsi dal Dis, il Mise e l’Agid, arriveremo a trecento persone nel breve periodo. Ma nel medio l’obiettivo è avvicinarci a mille, cioè a un numero simile a quello delle agenzie di Francia e Germania.

Gli stipendi saranno equiparati a quelli di Banca d’Italia. Perché?

È il giusto trattamento economico per attirare professionalità che altrimenti metterebbero a disposizione le loro competenze per il settore privato. Se riusciremo a richiamare dall’estero anche un solo ingegnere di talento sarà una vittoria. Ci sarà grande turn-over, creeremo una forza lavoro specializzata che poi potrà trovare spazio in altri ambiti della PA.

Un compito chiave dell’agenzia sarà completare il Perimetro di sicurezza nazionale cibernetica, già costruito sotto la regia del Dis. Due anni fa un rapporto del Copasir ha lanciato l’allarme sulla presenza di fornitori cinesi nella rete 5G italiana, alleati come Stati Uniti e Regno Unito hanno disposto un bando dalla rete. Il perimetro è sufficiente?

Disporre un bando non è semplice, perché in Europa non esiste una posizione unitaria, fra chi preme per stringere le maglie, chi vuole allargarle e chi, invece, rimanda in là il problema. Ma un bando, soprattutto, non è sufficiente: dobbiamo indicare un’alternativa. Questa è una delle missioni cruciali dell’Agenzia: lavorare per l’autonomia tecnologica, che è necessariamente una prospettiva europea. Il perimetro cyber avrà il compito non solo di difendere, ma anche di far crescere le piccole e medie aziende nazionali nel settore digitale.

Se l’agenzia si occuperà della difesa, ai Servizi resta l’attacco. Crede che serva istituire una terza agenzia, oltre ad Aisi ed Aise, per la cyber-intelligence?

Assolutamente no. Già nel 2007, quando è stata completata la riforma del comparto con la legge 124, ritenevo come orizzonte più ovvio la creazione di un’unica agenzia per l’intelligence italiana. Nel mondo cyber, così come nell’Ecofin, la distinzione fra interno ed esterno non esiste.

Negli ultimi tempi si è tornato a parlare di riforma della 124. Bisogna rimetterci mano?

Un aggiornamento è necessario. Premetto che si tratta di una legge parlamentare, approvata da uno schieramento unanime, e dunque spetterà al Parlamento la prima parola. La 124 ha avuto un compito importante, riequilibrare il sistema realizzato con la legge 801 del 1977, con un servizio generalista, il Sismi, e uno un po’ meno performante, il Sisde.

Perché l’ipotesi di un servizio unico fu scartata?

Credo che allora, come adesso, si facesse difficoltà ad accettare l’idea di una sola agenzia per il timore che questa possa accentrare il potere nelle sue mani, diventando una sorta di “Spectre”. Ma sono timori infondati, se a questa struttura si affianca un più rigido sistema di bilanciamenti e controlli. Io sono convinto che avremo sempre più bisogno di un apparato di intelligence forte, performante, affrancato da altri apparati che con l’intelligence non hanno nulla a che vedere.

Come la National Security Agency americana?

Difficile importare dall’estero un modello prescindendo dalle condizioni storiche e normative. Spesso si guarda giustamente, ad esempio, all’esperienza israeliana, senza ricordare che Israele è una nazione in guerra da settant’anni. L’eccellenza per loro non è un’opzione, è una necessità. Deve esserlo anche per il nostro Paese.