L’Agenzia per la sicurezza cibernetica nazionale annunciata dal sottosegretario Gabrielli deve trovare adeguata collocazione nell’attuazione del Pnrr, uscendo finalmente dalla trappola del “costo zero”. Il commento del prefetto Adriano Soi e Luigi Martino (UniFi)
Qualche giorno fa, Formiche.net ha pubblicato un’ampia analisi di Stefano Mele volta a individuare il nucleo normativo su cui costruire i compiti della nuova agenzia di sicurezza cibernetica annunciata dal sottosegretario Franco Gabrielli, Autorità delegata per le questioni dell’intelligence.
La ricognizione compiuta da Mele suggerisce diverse considerazioni, che proviamo qui di seguito a riassumere.
La premessa della riforma, chiaramente enunciata da Gabrielli, è che debba ormai considerarsi conclusa la fase di “supplenza” svolta dal Dipartimento delle informazioni per la sicurezza che, a partire dal decreto Monti del 2013, è stato significativamente impegnato in funzioni certamente legate alla sicurezza cibernetica ma altrettanto chiaramente estranee alla cyber-intelligence.
Tali funzioni (Nucleo di sicurezza cibernetica, Csirt, Punto di contatto, Perimetro di sicurezza nazionale cibernetica, eccetera) costituiscono dunque la base di partenza per delineare l’area di intervento della nuova Agenzia; a esse Mele aggiunge quelle attualmente svolte dal Mise (certificazione, valutazione, sicurezza delle reti per i settori dell’energia, ecc.) e dalle “Autorità competenti” (Mise, Infrastrutture e trasporti, Economia e finanze, Salute e Ambiente). Infine, dovrebbero essere trasferite all’Agenzia per la cibersicurezza nazionale le funzioni di vigilanza attualmente svolte dall’Agenzia per l’Italia digitale (su gestori di posta elettronica certificata, soggetti pubblici e privati partecipanti a Spid, applicazione misure minime di sicurezza nella Pa, eccetera) e quelle relative all’applicazione delle norme generali (Nis, Perimetro).
Non dovrebbero in alcun modo essere toccate, secondo Mele, le attuali competenze dei ministeri dell’Interno (Polizia postale e Cnaipic) della Difesa (Comando per le operazione in rete – Cor) degli Esteri (diplomazia cibernetica) e dell’Innovazione tecnologica e della Transizione digitale; questi ministeri dovrebbero però essere presenti in un nucleo di collegamento collocato all’interno dell’Agenzia.
La ricognizione si conclude con il suggerimento di fare della nuova istituzione anche il perno per la costituzione del Centro nazionale di competenza previsto dall’articolo 6 del regolamento del Parlamento europeo e del Consiglio, che istituisce il Centro europeo di competenza industriale, tecnologica e di ricerca sulla cibersicurezza e la rete dei centri nazionali di coordinamento. Il Regolamento rimette infatti alla discrezionalità degli Stati membri l’individuazione dell’ente, che – una volta ricevuta l’approvazione dalla Commissione – dovrà concludere un contratto con il Centro di competenza europeo obbligandosi a “sostenere il Centro di competenza e la rete nell’adempimento della loro missione” dimostrando di “disporre di competenze tecnologiche in materia di cibersicurezza” o di “potervi accedere direttamente” e di “essere in grado di interagire e coordinarsi efficacemente con l’industria, il settore pubblico e la comunità della ricerca”. Il Centro nazionale di competenza fungerà da punto di contatto con il Centro di competenza europeo e, da un punto di vista economico-finanziario, sarà chiamato a gestire i fondi derivanti da programmi Ue post 2020 Digital Europe e Horizon Europe, con la possibilità di ricevere contributi anche a livello nazionale.
Non è certamente questa la sede per affrontare nel dettaglio le ragioni che militano a favore o contro di ciascuna delle scelte normative ipotizzate da Mele, che delineano comunque un quadro assai complesso: alto numero delle amministrazioni interessate dalla riforma (almeno sette), delicatezza delle funzioni da riallocare, elevato livello tecnologico degli apparati che le supportano, individuazione delle risorse umane e strumentali da trasferire alla istituenda Agenzia così come di quelle da acquisire ex novo, risorse finanziare da investire nell’intera operazione.
I compiti da attribuire alla nuova agenzia sono sostanzialmente di quattro tipi: amministrazione attiva e attività tecnico-operative, finalizzate a garantire sicurezza e resilienza; funzioni di collegamento-coordinamento tra amministrazioni nazionali e a livello internazionale; funzioni di vigilanza; attività finalizzate alla ricerca e allo sviluppo di tecnologia per la sicurezza cibernetica. Davvero un vasto programma, di fronte al quale è legittimo porsi la questione se sia opportuno concentrare tutti questi compiti in un solo soggetto, esponendolo ad evidenti rischi di elefantiasi dimensionale e organizzativa.
Muovendo da questa considerazione ci si può chiedere, per esempio, se le funzioni di vigilanza, sostanzialmente diverse dalle altre, non possano essere meglio svolte da un’autorità indipendente, conseguendo così due obiettivi in un colpo solo: da un lato, contenere le dimensioni e quindi favorire l’efficacia operativa dell’Agenzia per la cibersicurezza nazionale, dall’altro distinguere con chiarezza le attività di amministrazione del settore da quelle volte a garantire l’osservanza delle norme e a tutelare tutti i soggetti interessati, pubblici e privati.
Per quanto riguarda poi, la collocazione dell’Agenzia nel contesto dell’organizzazione governativa, in effetti è difficile non immaginarla alle dipendenze del presidente del Consiglio dei ministri, posto che la sicurezza cibernetica è una componente fondamentale della sicurezza nazionale e risponde a esigenze di carattere generale, che vanno ben oltre i confini dell’amministrazione di governo e riguardano da vicino ogni singolo componente della collettività nazionale.
Se questo è vero, si può anche pensare all’introduzione di un soggetto politico-istituzionale che faccia da tramite tra l’Agenzia e il presidente del Consiglio dei ministri coadiuvando quest’ultimo nella direzione politica del settore, sul modello dell’Autorità delegata per l’intelligence o, in alternativa, all’ampliamento delle attribuzioni di quest’ultima. Sembra comunque fondamentale che questo soggetto, quale che ne sia il profilo istituzionale, sieda nel Cisr, in modo da integrare stabilmente la sicurezza cibernetica nelle materie soggette allo scrutinio del Comitato interministeriale che, non a caso, è individuato dalla legge come l’organo che affianca il presidente del Consiglio nelle gestione delle crisi di sicurezza nazionale, comprese quelle di natura cibernetica.
Si tratta di soluzioni sulle quali naturalmente è possibile discutere, così come si può discutere sulla prefigurata collocazione all’interno dell’Agenzia del Centro nazionale per lo sviluppo industriale, tecnologico e della ricerca, a proposito del quale il succitato regolamento europeo lascia, come abbiamo visto, ampio margine di scelta agli Stati membri quanto a personalità giuridica, collocamento o struttura.
In ogni caso, vale la pena sottolineare come il decisore politico europeo abbia posto l’accento su alcune funzionalità dei Centri nazionali i quali, in base all’articolo 7 del regolamento prima citato: a) sostengono il Centro di competenza nel conseguimento dei suoi obiettivi e nel coordinamento della comunità delle competenze in materia di cibersicurezza; b) agevolano la partecipazione ai progetti transfrontalieri dell’industria e di altri attori a livello di Stati membri; c) contribuiscono all’individuazione e al superamento di problemi industriali specifici in materia di cibersicurezza; d) sono il punto di contatto a livello nazionale tra la comunità delle competenze in materia di cibersicurezza e il Centro di competenza; e) creano sinergie a livello nazionale e regionale; f) svolgono azioni specifiche sovvenzionate dal Centro di competenza; g) divulgano i risultati dell’attività della rete delle comunità delle competenze in materia di cibersicurezza e del Centro di competenza; h) valutano le richieste di adesione alla comunità delle competenze da parte di enti situati nello Stato rispettivo.
A ciò si deve quanto previsto dal successivo articolo 8 dello stesso regolamento, che obbliga ogni Paese membro a dotarsi, all’interno del Centro nazionale di coordinamento, di una sorta di comitato scientifico-operativo misto pubblico-privato con il compito di svolgere attività di ricerca, sviluppo industriale, formazione e istruzione. A tal proposito saranno chiamati alla formazione della “comunità delle competenze in materia di cibersicurezza” organizzazioni di ricerca industriali, accademiche e senza scopo di lucro, nonché associazioni ed enti pubblici o altri enti che si occupano di questioni operative e tecniche nel contesto della sicurezza informatica a livello nazionale.
Da ultimo, ma non certo per ultimo, non si può dubitare che l’Agenzia per la sicurezza cibernetica nazionale debba trovare una collocazione adeguata nell’attuazione del Pnrr, uscendo finalmente dalla trappola del “costo zero” che ha condizionato questo settore nell’epoca dei Dpcm Monti e Gentiloni, eccezion fatta per la breve parentesi del governo Renzi (quando vennero allocati 150 milioni di euro una tantum).
Se l’Italia del dopo Covid potrà contare su un’efficace e ben dotata organizzazione istituzionale e operativa nel campo della sicurezza cibernetica nazionale, avremo compiuto un fondamentale passo in avanti per mettere il nostro Paese all’altezza dei tempi. In caso contrario, avremo inferto un colpo decisivo alla nostra capacità di competere come sistema-Paese e, in buona sostanza, alla nostra stessa sovranità nazionale.