Bene che l’esecutivo sia dotato di strumenti giuridici e operativi per intervenire nelle politiche pubbliche di cybersecurity. Ma bisogna rivedere le strategie e il rapporto con le multinazionali extracomunitarie che governano la tecnologia della sicurezza delle informazioni. L’analisi di Andrea Monti, professore incaricato di Digital Law nell’università di Chieti-Pescara
Agli albori della cybersecurity italiana accadeva spesso che nei convegni di settore ci fosse qualche relazione che preconizzava catastrofi epocali (dalla caduta di aerei alla paralisi dei sistemi di alimentazione energetica di intere città) causate dagli “hacker”. Queste profezie millenariste suscitavano dubbi e perplessità ma, alla prova dei fatti, si sono rivelate sostanzialmente corrette.
Eventi che hanno tragicamente guadagnato le prime pagine dei giornali, come il caso Boeing 737 Max o quello della Colonian Pipeline, non sono stati causati dagli “hacker” ma da clamorosi errori di programmazione software o da azioni criminali. Ciononostante, siamo arrivati al punto in cui l’assenza di un’adeguata attenzione alla sicurezza delle informazioni è causa diretta di danni all’incolumità delle persone.
Non siamo ancora ad un livello tale da compromettere irrimediabilmente (o, comunque, con facilità) la sopravvivenza di Stati e individui, ma —come evidenzia da ultimo quanto pubblicato su queste pagine – l’astratta possibilità è diventata una probabilità concreta.
Gli esecutivi dei Paesi più sviluppati e le istituzioni europee hanno preso finalmente consapevolezza dell’importanza di questo tema. Hanno annunciato finanziamenti e la creazione di entità governative —in Italia è stata di recente istituita l’Agenzia per la cybersicurezza— per affrontare il problema. Tuttavia, ora come allora, la risposta delle istituzioni è di dubbia efficacia perchè, quanto all’Italia, trascura il ruolo condizionante dell’industria tecnologica extracomunitaria sulla definizione delle politiche pubbliche di sicurezza informatica.
Le conseguenze della fine dell’IT italiana
Il blocco dello sviluppo dell’industria italiana nel comparto IT causato in modo particolare dallo smembramento di Olivetti e dall’incapacità di gestire tempestivamente il tema dello scorporo della rete in rame ha consegnato il Paese nelle mani dell’industria tecnologica straniera.
Il risultato, evidenziatosi in tutta la sua magnitudo nel corso della pandemia, è che comparti essenziali del servizio pubblico, dalla giustizia, alla scuola, ai servizi delle pubbliche amministrazioni, sono gestiti non solo con tecnologie sottoposte alla proprietà industriale e intellettuale di soggetti privati e non italiani, ma anche tramite esternalizazione di servizi resi da soggetti sui quali il controllo pubblicistico è fortemente attenuato.
L’assenza di scelte di politica pubblica sul tema della sicurezza di software e apparati ha avuto come conseguenza il radicarsi di approcci che, protetti da un’applicazione rigida della normativa sulla proprietà intellettuale e industriale, hanno invaso il mercato con prodotti nei quali la sicurezza non era in cima alle priorità di progettazione. Si potrebbe quasi giungere ad affermare che, con buona pace del “data protection by design” imposto dalla normativa comunitaria, l’attuale approccio alla sicurezza delle informazioni sia ancora quello di “tappare buchi” piuttosto che quello di costruire navi senza falle.
Nel corso degli anni, di conseguenza, si è creato un groviglio tecnologico e amministrativo talmente intrecciato da rendere impossibile gestire in modo efficace la sicurezza delle informazioni in questi settori.
Il mercato della sicurezza delle informazioni
Un altro elemento da prendere in considerazione è il modo in cui funziona il mercato della sicurezza delle informazioni in Italia. Sono poche le strutture istituzionali che, pur con i limiti appena evidenziati, gestiscono in totale autonomia la sicurezza delle proprie infrastrutture. Penetration Test, Vulnerability Assessment, Red Teaming e tutti gli altri servizi dai nomi esotici sono erogati da un numero alcquanto limitato di soggetti, mentre le scelte infrastrutturali si stanno orientando verso la migrazione anche di servizi essenziali verso sistemi cloud che saranno anche super controllati, ma che rimangono pur sempre privati.
A questo bisogna aggiungere che il controllo sulla governance effettiva dei fornitori non è sempre ispirato a criteri di “italianità”. In altri termini, un conto è avere come fornitore una società di diritto italiano ma posseduta, a vario titolo, da soggetti stranieri, un altro conto è utilizzare una società italiana di diritto italiano.
Il caso Crypto AG spiega esattamente quali sono i problemi connessi alla sottovalutazione del tema della governance e, soprattutto, del controllo sulle tecnologie utilizzate in ambiti istituzionali. Nella vicenda della società svizzera controllata dai servizi statunitensi e tedeschi il problema era “limitato” alla compromissione di comunicazioni diplomatiche e strategiche. Nello scenario che si sta progettando per la transizione digitale i rischi riguardano l’intero Paese.
Le scelte strategiche di politica pubblica
Le difficoltà di intervenire su questo stato di fatto sono state ben evidenziate dalla vicenda Huawei-TIM e dalla sua gestione problematica da parte del governo italiano. La Presidenza del Consiglio aveva abbastanza chiari gli obiettivi da raggiungere (controllo sulla sicurezza esteso fino a livello dei progetti e dei codici sorgenti software) ma non aveva strumenti normativi necessari allo scopo. Pensare di intervenire a posteriori su piattaforme software e sistemi hardware incredibilmente complessi, numerosi e diversi è sostanzialmente impossibile. Ecco perché anche la neonata Agenzia per la cybersecurity potrà svolgere un ruolo abbastanza limitato in questo ambito.
L’esperienza del caso Huawei dimostra, allora, che sono irrinunciabili alcune decisioni politiche di sistema e di lungo periodo. Quattro hanno la priorità: l’eliminazione per legge dai servizi pubblici di tecnologie sulle quali le istituzioni non possono avere un controllo pieno e totale, l’obbligo di utilizzare formati di dati standard e liberi che impediscono di essere costretti all’utilizzo di software specifici, l’obbligo per produttori e fornitori di tecnologie dell’informazione di garantire una effettiva sicurezza fin dalla fase di progettazione, la responsabilizzazione individuale e diretta di chi produce e commercializza sistemi informatici difettosi.
Dal punto di vista tecnico, queste proposte si traducono innanzi tutto nella creazione di sistemi operativi, piattaforme e applicazioni integralmente sviluppate e gestite dalla istituzioni pubbliche in funzione dei livelli di criticità di impiego grazie anche al supporto anche dei centri di ricerca universitari e da mettere a disposizione dei fornitori privati. Sarebbe, peraltro, una strategia non originale dal momento che fu adottata dagli Usa con il protocollo TCP/IP. Sviluppato in ambito universitario, messo in “pubblico dominio” e poi diventato obbligatorio per l’interazione con l’amministrazione pubblica, grazie e queste scelte politiche fu alla base della diffusione mondiale dell’internet.
Tornando all’Italia, è chiaro che, nonostante AgID abbia fatto molto, molto c’è ancora da fare verso l’autonomia della pubblica amministrazione. Una scelta strategica del genere richiederebbe anni per essere portata a compimento e si scontrerebbe, inevitabilmente, con le resistenze dei gruppi di interesse che, legittimamente, tutelano le posizioni dell’industria extracomunitaria. Si potrebbe addirittura pensare che la dipendenza dei servizi pubblici da tecnologie straniere sia così forte da non consentire nemmeno di prendere in considerazione un’ipotesi del genere. Che questa scelta sia complessa e onerosa da compiere è evidente. Allo stesso modo, però, è evidente che non è impossibile.
Altri Paesi si sono già mossi in questo senso. La Russia, per esempio, ha da tempo avviato la transizione verso sistemi operativi “liberi” e si è dotata di Astra Linux, una versione della nota versione “libera” Debian, utilizzata nei settori della difesa e dell’intelligence con la quale sta rimpiazzando software stranieri sui quali non ha controllo tecnico e giuridico. Analogamente, la Corea del Nord si è dotata di Red Star OS e la Cina ha attivato un progetto per liberarsi da software proprietario.
Non è un caso che Paesi appartenenti al blocco orientale abbiano compiuto una scelta del genere. Il segnale (geo)politico è abbastanza chiaro, come è chiara la lezione: di certo un solo Paese, come l’Italia, avrebbe difficoltà ad avviare un braccio di ferro con l’industria della tecnologie dell’informazione per ottenere la pienta tutela degli interessi nazionali. Se, tuttavia, l’Europa adottasse con decisione e rapidità un approccio del genere, gli equilibri potrebbero cambiare significativamente a vantaggio delle istituzioni.
Il Pnrr è l’occasione giusta per imporre una decisa virata alle politiche pubbliche sulla sicurezza delle informazioni per proteggere le infrastrutture critiche del Paese e ricostruire un comparto industriale che, in un passato ancora recente, faceva scuola in tutto il mondo.