Pubblicata la strategia cyber del governo Draghi e il piano di implementazione. Alla cybersecurity l’1,2% degli investimenti lordi annui, l’Italia inaugurerà un Parco cyber per lanciare start-up e industria digitale. Stretta sul procurement Ict (da Huawei a Kaspersky) e una muraglia contro gli attacchi hacker
L’Italia ha una nuova strategia per la cybersicurezza nazionale. E ha anche un piano per passare dalle parole ai fatti. Il governo Draghi ha svelato il documento che traccia la road map digitale del Paese.
Sicurezza e sviluppo le due stelle polari. Alla cybersecurity l’Italia dedicherà l’1,2% degli investimenti nazionali lordi su base annua, annuncia il documento presentato in una conferenza a Palazzo Chigi dal direttore dell’Agenzia per la cybersicurezza nazionale (Acn) Roberto Baldoni e l’Autorità delegata Franco Gabrielli. Ad aprirlo una prefazione del presidente del Consiglio Mario Draghi: l’Italia vuole perseguire l”autonomia strategica” e la “sovranità digitale”, e vuole farlo partendo da “un ecosistema di cybersicurezza fondato sulla collaborazione tra pubblico e privato”. Autonomia significa libertà, ha ricordato Baldoni, sottolineando come sia necessario “ridurre la dipendenza dalla tecnologia extraeuropea proprio come stiamo riducendo la nostra dipendenza energetica” dalla Russia.
Emergenza e pianificazione trovano una sintesi nella strategia. L’Italia, ha avvisato l’Acn nelle scorse settimane, è sotto un’ondata di attacchi hacker di matrice russa legati alla guerra di Vladimir Putin in Ucraina. Ma il fronte delle minacce cibernetiche è molto più ampio: dalle falle di sicurezza nelle gare pubbliche alla disinformazione online, c’è bisogno di una muraglia digitale di 360 gradi. Per dirla con Gabrielli, in Italia c’è sì “un ritardo che pesa e con cui dobbiamo far i conti” sull’innovazione digitale e la sicurezza ma non c’è motivo per “avere atteggiamenti di tipo isterico”.
Sono tre le principali sfide da affrontare, annuncia il documento. Si parte dagli “attacchi cyber dovuti a cybercriminali, attivisti o a campagne statuali coordinate, che sfruttano errori software, errate configurazioni, debolezze nei protocolli e/o umane, per sottrarre dati o arrecare danni ai sistemi”. È il caso degli attacchi Ddos con cui i collettivi russi Killnet e Legion stanno colpendo le istituzioni italiane o di intrusioni più gravi che potrebbero seguire nei prossimi mesi, ha avvisato l’Agenzia pubblicando una lista di vulnerabilità digitali da aggiustare con urgenza.
Poi c’è la resilienza digitale della Pa. Cioè quelle “tecnologie impiegate, le quali sono sviluppate e prodotte da grandi realtà aziendali, talvolta controllate o, comunque, influenzate nel loro operato dai Governi in cui hanno sede, con conseguenti possibili ingerenze nella catena degli approvvigionamenti, sia in termini di disponibilità sul mercato delle relative componenti, sia di affidabilità delle stesse”. Un passaggio che rimanda implicitamente al caso di Huawei e Zte, le aziende cinesi accusate di spionaggio e dipendenza dalle autorità di Pechino dagli Stati Uniti e altri Paesi alleati e attive nella rete 5G italiana (su cui il governo Conte-bis e il governo Draghi hanno esteso i poteri del golden power).
Il terzo fronte è la disinformazione online: ovvero la “diffusione, attraverso lo spazio cibernetico, di fake news, deepfake e campagne di disinformazione che tendono a confondere e destabilizzare i cittadini di un Paese immergendoli in uno spazio informativo estremamente dinamico e orizzontale, caratterizzato da un insieme pressoché infinito di sorgenti di noti- zie che polarizzano le opinioni cambiando il modo in cui percepiamo la realtà”. Un’altra emergenza da quando la guerra russa è iniziata, tanto che il Copasir ha avviato un’indagine ad hoc sul caso italiano. Contro le fake-news online, il governo auspica “azioni preventive e di contrasto sinergiche” per “ostacolare i tentativi di mettere a repentaglio il sistema di valori su cui si basa il nostro Paese”.
Alle buone intenzioni però la strategia cyber affianca un piano di attuazione chiaro che parte dall’individuazione delle risorse economiche. E dunque misure per agevolare l’innovazione e la sicurezza cyber, come “sgravi fiscali per le aziende” o l’introduzione di “aree nazionali a tassazione agevolata per la costituzione, ad esempio, di un “parco nazionale della cybersicurezza” e dei relativi “hub” delocalizzati sull’intero territorio nazionale”.
La qualificazione dell’Agenzia cyber come “centro di coordinamento” cyber con il Centro di competenza cyber europeo di Bucarest permette di convogliare risorse dai due grandi fondi europei dedicati al digitale, Orizzonte Europa (95,5 miliardi di euro) ed Europa digitale (7,59 miliardi). A questi bacini si aggiunge lo stanziamento di 623 milioni di euro per l’innovazione e la sicurezza cibernetica all’interno del Pnrr, divisi tra Servizi cyber nazionali (174 milioni), potenziamento della resilienza cyber della Pa (301.7) e fondi ai “laboratori di scrutinio e certificazione tecnologica” (147.3).
Un piano di investimenti che fa della collaborazione pubblico-privato un vero pilastro. I privati saranno coinvolti, ad esempio, nello sviluppo di “capacità di protezione per le infrastrutture nazionali” come il lancio di un “Domain name system” (Dns) nazionale per proteggere la navigazione web nelle pubbliche amministrazioni. O ancora, nell’inaugurazione di un “Product Security Incident Response Team (Psirt)”, cioè un centro di monitoraggio delle vulnerabilità Ict che dia alle aziende la responsabilità di prevenire in tempo le intrusioni cibernetiche nei propri sistemi. Ma al mondo dei privati guarda l’intera esperienza dell’Agenzia cyber, inaugurata dal governo Draghi un anno fa con un duplice obiettivo: da una parte coordinare la difesa cibernetica degli asset strategici del Paese, dall’altra, appunto, facilitare gli investimenti nell’innovazione digitale e cyber.
In questa seconda missione rientra una novità di rilievo presente nella strategia, e cioè la realizzazione di “un parco nazionale della cybersicurezza”, una struttura che unisca industria, accademia e pubblico per lavorare insieme su tecnologie come quantum computing, crittografia, robotica, intelligenza artificiale. Un “incubatore di capacità e tecnologie, al cui interno giovani talenti e startup possano entrare in contatto con le grandi aziende e le diverse realtà nazionali che a vario titolo operano nel settore”, spiega la strategia, con un implicito riferimento all’esperienza del “Parco cyber” che in Francia lavora a contatto con l’Agenzia cyber nazionale, l’Annsi.
Alla realizzazione del parco, insieme all’Acn, lavoreranno i ministeri di Mitd, Mef, Mise e Difesa insieme alle regioni, agli atenei e ai privati. È scritto nero su bianco nel punto 49 del “Piano di implementazione”, la vera novità della strategia presentata dal governo. Ottantuno obiettivi con i relativi “attori responsabili” e “soggetti interessati”. Per la prima volta si fanno nomi e cognomi e l’accountability diventa il metro di misura dell’innovazione italiana: niente più rimpalli di responsabilità.
Tanti gli interventi previsti, alcuni attesi da anni. Come una stretta sul procurement per la tecnologia cyber: il miglior prezzo (vedi Consip) non può essere l’unico criterio, i beni tech acquistati dai soggetti pubblici devono rispondere “ad adeguati livelli di cybersicurezza”. O ancora l’introduzione di “norme giuridiche” per tutelare le supply chain delle infrastrutture Ict “rilevanti sotto il profilo della sicurezza nazionale” (punto 8).
Tra gli obiettivi prefissati, la “migrazione sicura dei servizi e dei dati della Pa sul cloud”, in linea con la Strategia Cloud Italia; lo sviluppo della crittografia “in ambito non classificato”; la realizzazione di “un sistema di raccolta e analisi HyperSoc per “aggregare, correlare ed analizzare eventi di sicurezza di interesse al fine di individuare precocemente eventuali “pattern” di attacco complessi” e la creazione di un’infrastruttura di High Performance Computing per” il potenziamento dei servizi cyber nazionali dell’Agenzia, nonché lo sviluppo di strumenti di simulazione”.