La competizione cibernetica accelera e l’Italia fatica a costruire una strategia coerente. Tra carenza di competenze, dipendenze tecnologiche e vulnerabilità che toccano settori civili e militari, emerge sempre più chiaramente l’urgenza di una governance stabile. Un polo nazionale, sulla falsariga di quello per la subacquea, sarebbe un primo inizio. L’intervista di Airpress a Carlo Festucci, vice presidente di Deas
Nel cyberspazio, la competizione non conosce tregua. Gli attacchi informatici aumentano per frequenza e complessità, colpiscono infrastrutture civili e militari e rappresentano una minaccia che va ben oltre quella convenzionale. L’Italia, tuttavia, non ha ancora sviluppato una strategia organica in grado di unire sforzi e competenze di istituzioni e industria. Dialogando con Airpress, Carlo Festucci, vice presidente di Deas, analizza i punti critici del sistema cibernetico nazionale e avanza una proposta: la creazione di un Polo nazionale della dimensione cyber sul modello di quello per la subacquea.
La guerra cibernetica è ormai un elemento permanente dei conflitti contemporanei. Quanto è esposto oggi il nostro Paese?
La guerra cibernetica è l’unica guerra che non finirà mai. Possiamo immaginare la conclusione dei conflitti in Ucraina o in Medio Oriente, ma non di quella digitale. È uno scenario destinato a rimanere aperto, con minacce che cambiano più velocemente della nostra capacità di adattarci a esse. E, purtroppo, l’Italia non è ancora un Paese resiliente. Gli attacchi che subiamo con continuità lo dimostrano in modo evidente, dal momento che non parliamo di episodi isolati, ma di diversi segnali di un sistema che presenta fragilità profonde.
E questo lo dice da addetto ai lavori, visto che Deas è uno degli attori di questo sistema.
Certo. Come Deas, mettiamo le nostre capacità al servizio dello Stato con tecnologie e competenze che in Italia non hanno eguali, e che anche a livello europeo sono difficili da trovare. Ma questo non basta. Il punto centrale è che non abbiamo un referente istituzionale che definisca con precisione cosa serve al Paese. Le aziende conoscono bene le proprie capacità, ma ciò che manca è una domanda pubblica chiara. Senza, ogni attore avanza per conto proprio e il risultato è una difesa frammentata, inefficace e vulnerabile.
È in questo “vuoto” che si colloca la sua proposta per un Polo nazionale della cyber?
Esattamente. Oggi il panorama italiano è caratterizzato da una grande dispersione. Le competenze sono distribuite tra l’Agenzia per la cybersicurezza, la presidenza del Consiglio e il ministero della Difesa. Ciascuno ha responsabilità legittime, ma nel complesso il sistema non dialoga con sufficiente coerenza. Il risultato è una gestione disomogenea, che non produce una visione nazionale.
Io ho avuto modo di contribuire alla nascita del Polo nazionale della Subacquea, che oggi funziona molto bene. È un esempio concreto di come, con una cabina di regia forte, si possano far convergere esigenze istituzionali e capacità industriali. Nel settore cyber servirebbe la stessa cosa. Indirizzi politici chiari, aziende selezionate in base alle reali competenze, investimenti strutturati e un sistema di bandi che premi i risultati. Uno strumento del genere permetterebbe di evitare sovrapposizioni, di utilizzare meglio le risorse pubbliche e soprattutto di dotare il Paese di una strategia coerente.
Uno dei problemi strutturali dell’Italia riguarda la carenza di competenze, soprattutto digitali. Qual è la ricetta di Deas?
È vero, nel nostro Paese c’è una difficoltà evidente nel reperire competenze elevate, e questo non riguarda solo l’ambito cibernetico. Le ragioni sono molteplici, da un sistema formativo che spesso non prepara abbastanza al livello delle retribuzioni. Tuttavia questo problema, pur essendo reale, non incide sulla capacità di Deas di operare. Infatti, il nostro costo principale è quello per il personale, che per noi è anche il valore aggiunto più importante. Se vogliamo rispondere alle esigenze dei clienti istituzionali, dobbiamo contare su professionalità altissime, e non c’è investimento più importante di questo. Allo stesso tempo, forniamo un contesto tecnologico di altissimo livello, perché tutti i nostri prodotti e servizi sono interamente sviluppati internamente. Non possiamo permetterci componenti provenienti da Paesi terzi, perché questo comprometterebbe la sicurezza e la sovranità delle soluzioni che offriamo.
Noi non facciamo comunicazione perché il nostro settore non lo consente. Viviamo di riservatezza. Ma i fatti parlano da soli, e Deas cresce ogni anno in modo significativo, raddoppia il proprio fatturato e genera utili importanti. Questo significa che rispondiamo ai bisogni reali del Paese e che i nostri interlocutori istituzionali riconoscono l’efficacia del nostro lavoro.
Lei sostiene che la cyber non è solo un tema militare. Quali sono gli ambiti civili che considera più vulnerabili?
L’idea che la cybersicurezza sia un tema esclusivamente legato alla difesa deve essere superata. Oggi riguarda tutto il sistema Paese. Faccio un esempio semplice e concreto: la diplomazia si trova spesso a gestire una quantità enorme di documentazione classificata, che, inevitabilmente, circola in tutto il mondo. E non sempre questa documentazione riesce a godere del livello di riservatezza necessario. È una vulnerabilità seria, che può avere ripercussioni sulla sicurezza nazionale.
Un altro esempio riguarda la sanità. Le nostre cartelle cliniche, le informazioni più sensibili che abbiamo, circolano con una leggerezza sorprendente. Questo non è più accettabile. Per questo ci siamo interfacciati già con diversi dicasteri e amministrazioni per affrontare questi problemi alla radice.
C’è poi una prospettiva più ampia. Prima o poi, credo sarà indispensabile operare anche all’estero, soprattutto nei Paesi alleati che non dispongono delle nostre competenze. Aiutare loro significa rafforzare anche la nostra sicurezza, perché oggi la vulnerabilità di un Paese amico può diventare la nostra.
E qui veniamo al tema della sovranità digitale. Quand’è che un Paese può dirsi sovrano nel dominio cibernetico?
La sovranità digitale esiste solo quando si possiedono tecnologie proprietarie. Se un sistema dipende da componenti provenienti dagli Stati Uniti, da Israele o da qualsiasi altro Paese, quella non è vera sovranità. Basta che uno dei fornitori decida di ritirare il proprio contributo tecnologico e l’intero sistema smette di funzionare. È un punto molto semplice, ma spesso sottovalutato.
C’è poi un’altra dimensione della sovranità, ovvero la capacità di contrastare e rispondere agli attacchi. Difendersi è fondamentale, ma in alcune circostanze può essere necessario anche rispondere. Non credo che l’Italia debba trasformarsi in un Paese che compie attacchi cibernetici. Non è nella nostra natura né nella nostra cultura strategica. Ma dobbiamo essere in condizione di farlo, se questo dovesse servire a difenderci. La deterrenza esiste solo se l’avversario sa che potresti reagire. E per raggiungere questo livello servono capacità tecnologiche sviluppate internamente, che le aziende italiane devono poter mettere al servizio del Paese all’interno di un quadro istituzionale chiaro.
La Difesa sta costituendo una brigata cyber. Come valuta questa iniziativa?
La considero una scelta molto importante e, direi, lungimirante. Il ministro Crosetto sta dotando il Paese di una struttura che risponde alla natura delle minacce contemporanee. Una brigata dedicata rappresenta un salto qualitativo, perché istituzionalizza competenze e responsabilità, e permette alla Difesa di operare con continuità e coerenza.
Il passo successivo deve essere il coinvolgimento dell’industria. Quando ero in Aiad, ad esempio, abbiamo realizzato uno studio approfondito sui prodotti e i servizi che le aziende italiane possono mettere a disposizione dello Stato. Quel lavoro esiste già, è completo, e andrebbe utilizzato. Ma per farlo serve una regia istituzionale che identifichi le priorità e coordini l’intero sistema. Senza questo coordinamento, anche le migliori capacità industriali rischiano di non essere valorizzate.
L’11 dicembre si terrà Cyber Eagle, un’esercitazione che coinvolge Deas e l’Aeronautica. Cosa può dirci al riguardo?
Cyber Eagle è un’esercitazione molto importante. La realizziamo con l’Aeronautica militare e offre la possibilità di vedere direttamente all’opera le nostre capacità. Non solo quelle difensive, che sono fondamentali, ma anche quelle di risposta, nei limiti in cui è necessario operare. È un contesto concreto, operativo, dove si può osservare cosa significa difendere infrastrutture e sistemi complessi. È un modo per vedere sul campo ciò che spesso è difficile spiegare sulla carta e sarà anche l’ennesima occasione per mostrare quanto Deas sia in grado di offrire al Paese, grazie a tecnologie interamente sviluppate internamente e a un approccio che privilegia l’efficacia e la discrezione.
