Nel 2023 sono stati registrati 1.411 attacchi cyber, a impatto potenziale, con una media di 117 al mese e un significativo incremento rispetto all’anno precedente. Sono i dati illustrati da Alfredo Mantovano, sottosegretario alla presidenza del Consiglio e Autorità delegata per la sicurezza, nel corso di un’audizione convocata dalla commissione Difesa della Camera.

HACKER FILORUSSI E FILOPALESTINESI

Nell’ultimo anno e mezzo è emersa una forte vitalità da parte di gruppi hacker filorussi, attraverso eventi classificati come Ddos (cioè con un traffico di dati in entrata che inonda la vittima fino a impedirle di erogare il servizio) a siti governativi, istituti finanziari, operatori dei trasporti, difesa e, in forma marginale, operatori energetici. A partire dal 7 ottobre scorso, invece, è stata rilevata l’attività, in misura minore, di gruppi filo palestinesi, ha spiegato ancora. “Ciò è avvenuto sistematicamente all’indomani di ogni dichiarazione pubblica e adozione di pacchetti di aiuti a favore dell’ucraina o di allineamento a posizioni a supporto di Israele”. Per quanto riguarda il ransomware, cioè gli attacchi con riscatto, l’Italia tra i Paesi europei più colpiti per numero di vittime, ha aggiunto. “A farne le spese in particolare le piccole e medie imprese e le strutture sanitarie”.

L’INDAGINE CONOSCITIVA

Con questa audizione odierna è stata avviata l’indagine conoscitiva sulla difesa cibernetica, nuovi profili e criticità deliberata a novembre. L’intento, ha spiegato il presidente Nino Minardo, è fornire un contributo utile a “rafforzare consapevolezza e cooperazione tra tutti gli attori della difesa cyber”. In questo senso, ha aggiunto, il deputato leghista, “vanno anche molti elementi del recente ddl cybersicurezza a cominciare dalle importanti norme di coordinamento tra l’Agenzia per la cybersicurezza nazionale, l’intelligence e la polizia giudiziaria”. Previste le audizioni del ministro della Difesa, dei vertici delle forze armate, del Comandante per le operazioni in rete, del consigliere militare del presidente del Consiglio, del direttore dell’Agenzia per la cybersicurezza nazionale, del presidente dell’Autorità garante privacy, di rappresentanti dell’intelligence e dei ministeri che compongono il Comitato interministeriale per la sicurezza della Repubblica ma anche dirigenti di pubbliche amministrazioni, docenti universitari, esperti ed aziende. La relazione è attesa entro giugno.

STABILIRE CHI FA COSA

Stimolato dall’intervento di Giorgio Mulè, vicepresidente della Camera in quota Forza Italia e già sottosegretario alla Difesa con deleghe in materia cyber, il sottosegretario ha toccato anche il tema dottrinale della classificazione degli attacchi e, dunque, del raccordo tra intelligence, difesa e Agenzia. È “fondamentale”, ha spiegato il sottosegretario, la flessibilità “su terreno così nuovo e così lontano da schemi tradizionali”. Poi ha evidenziato come in questi mesi da Autorità delegata abbia riscontrato tra Comitato interministeriale per la sicurezza della Repubblica e Comitato interministeriale per la cybersicurezza una struttura tecnica “che si riunisce a scadenze molto ravvicinate e che su argomenti specifici riesce nel miracolo” di “stabilire chi fa che cosa”.

LE PROFESSIONALITÀ CHE MANCANO

L’Agenzia per la cybersicurezza nazionale a pieno regime avrà un organico di 800 unità, ha dichiarato il sottosegretario Mantovano. Oggi supera di poco le 200. “Ma non perché non ci sono le risorse” bensì  “perché è difficilissimo, non voglio dire impossibile, coprire la parte tecnica”. Infatti, ha proseguito, “questa tipologia di professionalità è carente. Ed è una carenza che interessa anche le università. È un lavoro, quello da fare negli atenei, che va assolutamente intensificato ma che non può dare risultati nell’immediato”. Non è un caso che una delle priorità durante il processo di istituzione dell’Agenzia per la cybersicurezza nazionale sia stata l’equiparazione dei salari a quelli della Banca d’Italia. Inoltre, nel disegno di legge in materia di reati informatici e di rafforzamento della cybersicurezza nazionale approvato la scorsa settimana dal Consiglio dei ministri è previsto un periodo di “raffreddamento” per “evitare la fuga dall’Agenzia per la cybersicurezza nazionale al mercato privato”, come ha dichiarato il sottosegretario in conferenza stampa. Per due anni, infatti, il personale dell’Agenzia “non potrà lavorare nel privato in carichi simili”. Una misura simile a quella prevista nel mondo dell’intelligence. Un Dpcm di due anni fa, firmato dall’allora presidente del Consiglio Mario Draghi, ha previsto un periodo di raffreddamento di tre anni, che riguarda però solo direttori, vicedirettori e dirigenti di prima fascia del Dis e delle agenzie d’intelligence (Aise e Aisi), e nel caso di attività lavorativa presso soggetti esteri.

LE DIFFICOLTÀ DELLE PUBBLICHE AMMINISTRAZIONI

Il disegno di legge approvato la scorsa settimana dal governo prevede maggiori obblighi per le pubbliche amministrazioni ma anche sanzioni per chi non li rispetta. L’intento dell’esecutivo è quello di sensibilizzare. Infatti, ha spiegato oggi Mantovano, c’è una “scarsissima consapevolezza, anche all’interno delle amministrazioni, sulla necessità di dotarsi di sistemi di difesa validi e di correlarsi con i soggetti che sono istituzionalmente deputati ad aiutare”. Il sottosegretario ha parlato di un “problema culturale”. E ha raccontato un episodio del novembre 2022, quando aveva appena assunto le delega. “L’allora direttore dell’Agenzia per la cybersicurezza nazionale mi telefonò dicendo che non riusciva a rintracciare nessuno di una certa amministrazione che risultava colpita da un attacco hacker. Mi attivai e trovammo il contatto in pochi minuti ma che cosa era successo? Era sabato pomeriggio…”. Tutto ciò, ha proseguito, “è indice di una certa mentalità”. Poi ha citato un altro episodio che riguarda Gianni De Gennaro quando questi era capo della Polizia. Cercava un latitante ma stava riscontrando “problemi” con la polizia di un importante Paese occidentale. L’ordine di cattura, mandato via fax, era arrivato alle 14.01 di un venerdì. “Se ne è parlato il lunedì successivo”, quando il ricercatore era a migliaia di chilometri di distanza.