Intervista al direttore dell’Agenzia per la cybersicurezza nazionale (Acn) a un anno dalla sua nascita: non perderemo il treno del Recovery fund e vi spiego come. Dal cloud al golden power, l’Italia ha alzato le difese cyber e gli alleati (come i nemici) se ne sono accorti. Hacker russi? La campagna non è finita
Roma, Largo Santa Susanna. All’ultimo piano della sede che fu dei Servizi segreti italiani, e che oggi ospita l’Agenzia per la cybersicurezza nazionale (Acn), il direttore Roberto Baldoni fa scorrere sul suo pc una serie di slide. “Non possiamo perdere il treno del Recovery fund. E non intendiamo farlo”, riflette dietro la scrivania. C’è un motivo se per tutti il timoniere della cybersecurity italiana è semplicemente “il professore”. E pensare che dagli anni alla Sapienza, tra i pionieri della materia in Italia, ne è passato di tempo. Quattro anni vicedirettore del Dis, l’agenzia che coordina l’intelligence, a costruire il perimetro nazionale di sicurezza cibernetica, il “recinto cyber” per gli asset strategici dello Stato, pubblici e privati. Un anno esatto fa, poi, la chiamata dal governo Draghi a guidare l’Agenzia. Con Formiche.net Baldoni ripercorre la strada fatta e anticipa quel che verrà, dalla messa a terra dei fondi europei agli anticorpi contro hacker e criminali del web. Che in vacanza non vanno mai.
Professore, che bilancio fare di questo primo anno?
Un ottimo bilancio. Siamo partiti con un piccolo nucleo, oggi abbiamo superato la soglia di cento persone. Entro la fine del 2023 saremo trecento, stiamo cercando una nuova sede. Credo che l’Agenzia abbia già iniziato a dare qualche segnale sull’importanza della propria missione. Da una parte con la azioni di prevenzione e di mitigazione di attacchi cyber. Dall’altra con il sostegno a due bastioni dell’interesse nazionale: il perimetro cibernetico e il golden power.
Ma anche il Recovery fund. L’Agenzia è il centro italiano di raccordo al Centro di competenza europeo della cybersecurity di Bucarest. Siete lo scivolo per mettere a terra i fondi europei su digitale e sicurezza cyber.
Una missione chiave. Su questo fronte abbiamo lavorato bene con il Mitd di Colao e raggiunto risultati importanti, a partire dal Cloud nazionale. Abbiamo già classificato i dati di 17mila Pubbliche amministrazioni, l’obiettivo è arrivare a quota 22mila.
Un passo indietro. La nascita dell’Agenzia è stato l’epicentro di un’importante riorganizzazione del comparto intelligence. Prima la resilienza cyber era appaltata al Dis, oggi a un organo esterno. Con il senno di poi la svolta era necessaria?
Credo di sì, all’estero funziona così. Sarebbe stato complesso inserire un dipartimento interamente dedicato alla cybersecurity all’interno del Dis, che ha una missione diversa. Con l’Agenzia si può inoltre parlare apertamente dei rischi nel mondo cyber a cittadini e al settore privato e fare formazione: una grande sfida culturale. Mentre il comparto necessita delle opportune garanzie di riservatezza per espletare la propria missione.
Un anno di operatività, un anno di caccia ai talenti per comporre la squadra. L’Italia è ancora una fucina?
L’Italia produce ancora buoni talenti. Ci sono settori in cui siamo più deboli come l’hardware – è il caso dei microchip – altri in cui eccelliamo. Non sempre è il titolo di studio a fare la differenza. Nella nuova campagna di reclutamento, ad esempio, chiameremo non solo laureati ma anche tecnici autodidatti, diplomati che hanno sviluppato competenze in proprio, sulla scia di quanto avviene in America o in Israele. Inoltre, la campagna prevede anche posti per analisti tecnologici, esperti di relazioni internazionali e del diritto delle nuove tecnologie nonché di gestione di progetti tecnologici.
Qualcuno va richiamato dall’estero?
Anche questa è una missione a cui non possiamo venire meno. Il motivo è semplice: diverse tecnologie si sviluppano fuori dall’Italia. E l’Italia, come altri Paesi europei, negli ultimi anni ha spesso sonnecchiato.
Tra i traguardi tagliati in questo primo anno c’è il Perimetro cyber, il recinto di sicurezza cyber per gli asset strategici che avete iniziato a progettare tre anni fa. A che punto siamo?
Sta finalmente prendendo forma la rete dei laboratori di prova. Ovvero i centri che dovranno testare tecnologie utilizzate in diversi settori ormai radicalmente trasformati dall’informatica, dall’aerospazio all’energia fino ai trasporti. Oltre ad un controllo sulla qualità dei dispositivi che entreranno nel perimetro cyber, la rete diventerà una fucina di competenze che – è il nostro obiettivo – in parte compenserà il deficit dovuto alla fuga di esperti all’estero. Utile al sistema Paese dalla pubblica amministrazione al sistema privato che vi attingeranno.
Quali sono i tempi?
La rete dei laboratori va di pari passo con la messa a terra del Pnrr (Piano nazionale di ripresa e resilienza, ndr). Tra gli obiettivi del piano c’è la realizzazione di un laboratorio entro fine anno e di una ventina entro la fine del 2024. In autunno apriremo un bando aperto a pubblico e privato per finanziare la costruzione dei lab.
Settembre 2019: il primo Cdm del governo Conte-bis battezza il perimetro cyber. Allora fu interpretato come un gesto politico: una risposta alle preoccupazioni americane per le infiltrazioni di Stati esteri, Cina in testa, nella tecnologia italiana.
Io sono convinto che il messaggio sia passato. Il perimetro ha inaugurato un percorso virtuoso per la cybersecurity italiana, proseguito con la creazione dell’Agenzia incastonata in un’architettura nazionale armonica. Un percorso di cui si sono accorti – non c’è dubbio – alleati e non alleati, amici e nemici.
Dal primo luglio è intanto attivo il Centro di valutazione e certificazione nazionale (Cvcn), un altro pilastro del perimetro.
La missione è sempre la stessa: gestire il rischio tecnologico. Dobbiamo diminuire la dipendenza tecnologica da altri Paesi. Da una parte serve allora sviluppare tecnologia italiana ed europea, dai microchip all’AI passando per il cloud. Dall’altra, siccome non potremo produrre qualsiasi tecnologia, dobbiamo essere in grado di analizzare le tecnologie non prodotte in modo da importare tecnologie di qualità e che minimizzano il rischio tecnologico, anche da un punto di vista geopolitico. Il sistema dei Cvcn e dei laboratori di prova sarà il motore tecnico di questa opera di analisi.
Da maggio l’Italia ha una nuova Strategia per la cybersicurezza nazionale. C’è una lunga storia di strategie italiane che rimangono nel cassetto…
Come ha ricordato il sottosegretario Gabrielli, questa è diversa. Perché insieme alla strategia c’è un piano di implementazione che indica gli attori responsabili delle singole misure e i tempi per realizzarle. Abbiamo iniziato a definire i Kpi (Key performance indicator) con alcune Pa: ogni misura sarà sottoposta a una valutazione e ogni anno forniremo un resoconto al Parlamento.
Torniamo al Recovery plan e al ruolo dell’Agenzia. Anche qui, tanto più con una crisi politica, il rischio di mancare l’obiettivo è reale. Come resterete sui binari europei?
Non possiamo permetterci di abbandonarli. Stiamo lavorando per mettere a frutto i fondi per la cybersecurity assegnati dal Pnrr. Sono 620 milioni di euro, divisi tra servizi cyber nazionali e progetti legati alla strategia, laboratori di scrutinio e certificazione tecnologica, potenziamento della resilienza cyber della Pa.
Quali sono i prossimi passi?
Sono attivi 77 interventi per rafforzare la postura di sicurezza delle Pa centrali e degli organi di rilievo costituzionale per un totale di 28 milioni di euro. Si tratta di interventi da noi approvati o direttamente da noi individuati e finanziati. A settembre ci sarà un secondo bando per la Pa locale per un valore di interventi di45 milioni di euro. Seguiranno altri bandi nel 2023 e 2024, fino a un totale di 150 milioni di euro.
Come procedete?
Noi inviamo la documentazione necessaria al Mef che a sua volta ha un’interlocuzione continua con l’Ue. Per stare al passo con il Pnrr abbiamo sviluppato una tomografia degli interventi per indirizzare la spesa nella cybersecurity e massimizzarne l’efficienza. Una griglia di valutazione che misura la facilità di implementazione e la capacità risolutiva di ogni intervento.
Dall’altra parte trovate ascolto?
È una missione dedicata che richiede preparazione. Anche per questo abbiamo organizzato una scuola di formazione con il ministro Brunetta e la direttrice della Sna (Scuola nazionale dell’amministrazione) Severino per spiegare ai dirigenti della Pa come intervenire e a quali fondi attingere.
Professore, il primo anno dell’Agenzia non è stato un anno qualsiasi. All’escalation di cyber-crimini come i ransomware, da metà gennaio si è sommata una campagna di attacchi hacker di matrice russa contro l’Italia legata alla crisi Ucraina. L’allerta rimane alta?
Rimane altissima su entrambi fronti, sia per la guerra in Est Europa che per l’escalation di cyber-crimini, in cui rientra il recente incidente all’Agenzia delle entrate. Non possiamo permetterci un attimo di pausa.
Parliamo di lupi solitari o c’è una regia più sofisticata?
Sulla strutturazione delle gang è la Polizia Postale che se ne occupa. Da parte nostra, abbiamo recentemente subito un attacco Ddos da parte di hacker russi. È durato sedici ore: non sono riusciti a mandare offline i sistemi neanche un secondo. Un attacco coordinato, strutturato, che non abbiamo sottovalutato.
Tra gli addetti ai lavori quell’attacco è già diventato un caso. Una volta finito, gli hacker russi hanno chiesto in una nota di aumentarvi gli stipendi. Dica la verità: siete dalla stessa parte?
Qualcuno ha avuto lo stesso sospetto (ride, ndr). Ma posso giurarvi che non eravamo d’accordo.