Come creare un campione italiano di Iot e cybersecurity? Lo spiega Contini (DP)

Nei giorni di CyberTech Europe 2022, la tappa romana della convention globale sul mondo cyber, abbiamo parlato con Claudio Contini, CEO di DigitalPlatforms, una società nata nel 2018 attraverso l’unione di aziende specializzate in Internet of Things e Cybersecurity. Dopo l’acquisizione di Selta, impiega oltre 400 lavoratori specializzati e stima di superare quest’anno i 60 milioni di fatturato. La missione aziendale è sostenere la trasformazione digitale dei gestori delle infrastrutture critiche nei settori energia/utilities, telecomunicazioni e trasporti, Difesa e Pubblica Amministrazione.

Una delle ultime operazioni è la joint venture con Asc27 per tecnologie Internet of Things di tipo industriale.

Asc27 è una start-up molto promettente nel panorama italiano, focalizzata sull’Artificial Intelligence – applicata a prodotti di livello governativo e mission critical. L’obiettivo è mettere in sicurezza le tecnologie alla base delle infrastrutture critiche nel mondo dei gestori delle reti e della Difesa. Noi crediamo che la cybersecurity del futuro debba essere basata sull’IA e debba essere inserita fin dalla loro progettazione dentro gli oggetti che digitalizzano le infrastrutture fisiche. Fino a due o tre anni fa ci si concentrava sugli antivirus, oggi dobbiamo proteggere e ridisegnare quegli elementi che sono “annegati” nelle nostre infrastrutture e che diamo per scontati ma che in realtà spesso ne costituiscono il ventre molle.

Scontiamo l’approccio da “pompieri” che intervengono in caso di crisi e non da ingegneri che disegnano, a partire dai componenti base, infrastrutture che siano sicure in tutti i nodi che la compongono. Come si fa a garantire questa sicurezza in tutti i passaggi?

Viviamo in un mondo in cui servono i pompieri perché scoppiano incendi da tutte le parti – ed è un’azione meritoria, necessaria, indispensabile – ma siamo seduti su oggetti industriali che in alcuni casi sono pre-digitali. Certe tecnologie hanno dei cicli di vita dentro le infrastrutture che possono arrivare a 10-15 anni, anche per ragioni economico-finanziarie. E sicuramente esprimono delle vulnerabilità.

C’è dunque il tema di mettere sotto controllo le filiere: oggi lavoriamo su strati di tecnologie troppo spesso prodotti non si sa dove, non si sa quando e adottati non si sa da chi. Parliamo di sotto-sistemi di sotto-sistemi acquistati da gestori di infrastrutture che all’epoca non avevano tutte le competenze, e le priorità, che hanno oggi. Quindi noi ci concentriamo nel creare un campione italiano di queste tecnologie che sia hands on, che abbia il governo della filiera fino ai componenti.

Cosa vuol dire in concreto?

Che magari la resistenza la compriamo in Cina, il chip da un distributore italiano, ma ci guardiamo dentro e lo “puliamo”, ci accertiamo che non abbia backdoor, non sia stato riscritto malevolmente e in prospettiva lo riscriviamo con nostri firmware affinché sia pulito. Una necessità ovviamente non solo per gli attori della Difesa ma ormai anche per le aziende della pubblica amministrazione e per i gestori di infrastrutture che fanno parte del perimetro esteso di cybersicurezza nazionale. La capacità di progettare insieme ai clienti, e di realizzare i prodotti nelle nostre fabbriche, tutte in Italia, ci consente di garantire, molto più di altri, il controllo su quello che produciamo.

In questa crisi globale della supply chain, avere delle società nazionali o comunque sotto il controllo del governo che si facciano carico, per quanto possibile, di una parte delle forniture, è fondamentale. Perché tutto il sistema funzioni è necessario che le linee guida e le indicazioni emanate sotto la direzione dell’Agenzia per la cybersicurezza nazionale siano seguite da tutti i soggetti. Oggi la sfida è di completare l’applicazione di questo sistema non solo alle aziende della PA (abbiamo visto il caso Kaspersky), ma a tutto l’insieme delle aziende private che gestiscono le infrastrutture critiche, che sono di un ordine di grandezza superiore rispetto al comparto della Difesa.

L’Italia ha fatto grossi passi in avanti rispetto al passato per costruire una base di norme comuni. Poi però c’è la dimensione europea, quella internazionale, quella della guerra. Il governo può creare un’architettura, ma non può controllare cosa succede fuori. Voi come vi muovete davanti a queste minacce globali, mancando un meccanismo internazionale integrato?

Noi operiamo in stretto raccordo con gli organismi governativi. Siamo soprattutto un solution provider: portiamo ai nostri clienti, nel settore della Difesa e delle infrastrutture, le nostre tecnologie. In alcuni casi agiamo come system integrator, ma sotto stretto controllo ed estrema selettività, lavorando con un sottoinsieme davvero ristretto di fornitori e ambienti di provenienza.

Parlando di messa in sicurezza del sistema, in questa fase di guerra e attacchi ransomware più o meno civili, cioè con scopi non solo economici ma anche politici, mettiamo a disposizione sia a livello italiano che a livello Nato, le tecnologie Tempest (standard militare che consente di proteggere l’hardware critico dalle intercettazioni, ndr) e di hardening (ridurre la superficie di vulnerabilità di un device, di fatto l’equivalente Tempest nel settore civile) degli apparecchi usati dai nostri clienti, per gestire e proteggere i loro dati. Abbiamo recentemente vinto la gara del ministero dell’Interno e di Sogei per la “tempestizzazione”.

Stiamo portando queste capacità in ambito Nato, tenendo presente che in questo campo siamo la più grande fabbrica italiana e uno dei principali player europei. Questa capacità va nella direzione, nel nostro piccolo, di concorrere a un sistema europeo di attori che facciano economie di scala e di scopo, superando la frammentazione che esiste tra i diversi Paesi dal punto di vista dei sistemi di difesa. Lo dico anche da cittadino che crede nell’alleanza euro-atlantica: dobbiamo superare questo legame della “storia di provenienza” e cominciare a pensare ad alleanze europee e occidentali.

In che modo?

Ci sono tre assi nel sostegno ai gestori delle infrastrutture in questo percorso di trasformazione che non può essere istantaneo: un operatore elettrico di grandi dimensioni che deve modificare le tecnologie all’interno di tutta la rete può metterci anni. Quindi servono ancora i cosiddetti pompieri, serve agire d’anticipo sulle regole e gli standard che verranno emanati in futuro – molti hanno già iniziato a inserirli nei loro bandi di gara – e infine serve completare l’implementazione di un sistema riconosciuto di certificazione dei processi e delle tecnologie, offerto da soggetti che garantiscano il rispetto delle norme e la tracciabilità dei componenti.

Nelle grandi utilities e telco, la figura di riferimento che gestisce le operation technologies ora viene spesso affiancata dal CISO (Chief Information Security Officer), e questa dialettica contribuisce in modo costruttivo ad accelerare questo processo di trasformazione. Noi abbiamo certificazione e qualifica di assessor nel mondo civile e militare e adesso stiamo realizzando il primo laboratorio di testing cyber dei prodotti IoT. Vogliamo contribuire alla creazione di queste strutture di coordinamento tra gli attori della filiera. 

Come sta andando l’integrazione di Selta? Non era certo un boccone piccolo da digerire.

L’acquisizione è stata completata a settembre 2021 dopo un lungo percorso visto che si trovava in amministrazione straordinaria dal 2019. Abbiamo trovato una bella realtà, molto solida, in possesso di rilevanti tecnologie, competenze e certificazioni e di un elemento critico ancorché poco visibile proprio a supporto di queste infrastrutture critiche. Selta ha Terna tra i principali clienti, le sue tecnologie solo tuttora utilizzate per gestire la rete ad alta tensione che alimenta l’infrastruttura ferroviaria delle Ferrovie dello Stato. Selta fa parte di quelle medie e grandi aziende italiane che per decenni hanno rappresentato l’ossatura del sistema industriale italiano e per una serie di motivi avevano perso smalto o focalizzazione  ma che invece costituiscono ancora un elemento fondamentale della nostra industria manifatturiera e tecnologica.

Siamo orgogliosi di aver partecipato al salvataggio di una realtà sana e solida nei fondamentali – le persone che ci lavorano sono un patrimonio rilevante in termini di competenze – e abbiamo dato il via a iniziative, anche di tipo misto pubblico-privato, per rafforzare ulteriormente e proteggere questo patrimonio, incrementandolo con nuove leve. C’è un bisogno di sovrapposizione di due settori industriali diversissimi tra loro: la manifattura elettronica industriale, che ora si rinnova grazie all’Internet of Things, e le attività cyber/software/piattaforme/servizi professionali. Erano totalmente separati, ma il mondo che dobbiamo tutti affrontare è un mondo in cui queste due competenze convergono, ed è necessario che cooperino per rispondere alla domanda attuale.

Com’è il panorama italiano degli investimenti? Ovviamente non siamo ai livelli americani né cinesi, ma il vostro settore è in grado di competere a livello internazionale anche grazie al tessuto di piccole e medie imprese?

Da ingegnere che ha preso un master in economia a Stanford ho avuto modo di comprendere il “miracolo” della Silicon Valley: avere alle spalle oltre 800 miliardi di budget (pubblico) della Difesa. La spinta della mano pubblica è fondamentale per assicurare un humus su cui poi si sviluppa l’innovazione. Detto questo non è vero che le economie di scala sono sempre necessarie o sufficienti. I grandi system integrator IT e della difesa si sono trasformati (anche) in contenitori di tecnologie di terzi: accelerano, stabilizzano e intermediano ecosistemi di piccole e medie imprese. Che vanno aiutate ad accedere al mercato dei capitali e sicuramente non soffocate.

In Italia beneficiamo, anche per vocazione storica, di una pluralità di aziende che possiedono rilevanti contenuti tecnologici. Se ne sono accorti anche gli investitori, che percepiscono la possibilità di creare valore stabilmente finanziando industrie innovative. Si può competere a livello internazionale, anche da PMI – noi esportiamo tra il 15-20 % del nostro giro d’affari – ma comunque in questo comparto il ruolo dei governi è importante per trattare “G2G”, government to government,  ed è un sostegno a un settore vitale, non un sussidio ad aziende che altrimenti non starebbero sul mercato.

Come si attraggono talenti in Italia?

Geograficamente l’Italia è fortunata: non siamo concentrati in una metropoli, abbiamo una ricchezza distribuita di sapere nelle università e sul territorio. I lavoratori sono nativamente stanziali: se trovano vicino casa un ambiente favorevole in cui sviluppare progetti innovativi, lo preferiscono. Noi abbiamo otto sedi e la provincia è attrattore e protettore fortissimo di talenti, se si riesce a garantire loro una prospettiva.

Cosa chiederebbe al governo italiano?

Chiederei che il finanziamento alla ricerca applicata fosse maggiormente mirato a incentivare le effettive applicazioni e ricadute industriali nel nostro sistema produttivo. In alcuni casi, come in quello delle innovazioni industriali, la promozione delle start-up si è talvolta tradotta nel solo obiettivo di giungere al closing: allo stesso modo, succede che anche le medie e grandi aziende vengano sostenute in percorsi di ricerca e sviluppo senza chiari focus sulle ricadute industriali da generare nei clienti.

Al contrario, sarebbe opportuno misurare la creazione di valore sull’applicazione industriale (e massiva) da parte delle aziende. Se il prototipo non entra nella creazione di valore industriale non si può veramente parlare di innovazione. Bisogna trovare il modo di incentivare gli utilizzatori finali all’utilizzo massivo di queste tecnologie, così da favorire la creazione di campioni nazionali.

Come nota positiva posso dirle che tra i vertici di aziende pubbliche licenziatarie (in particolare utilities energetiche) ho riscontrato una fortissima motivazione a favorire processi di acquisto su campioni tecnologici italiani – dicono: favoriamo la nostra filiera, non per motivi nazionalistici ma perché porta economie di scopo e ci consente di sviluppare innovazione differenziante (in modo collettivo) e in generale rafforza il nostro sistema. L’approccio di politica industriale di questo governo, che sta rimuovendo alcune procedure per la creazione di sistemi energetici o di raccolta di risorse, è assolutamente una cosa di cui avevamo bisogno.