L’eco mediatica avuta dall’attacco ransomware del 6 febbraio scorso racconta molto più di quanto appaia ad un primo sguardo. L’allarmismo scatenato in seguito a una normale segnalazione dell’Agenzia nazionale per la cybersecurity è infatti la conseguenza diretta di una profonda ignoranza culturale complessiva circa i rischi connessi alla iper digitalizzazione e informatizzazione.

Di solito, è ciò che non si conosce, a farci paura. In questo caso, l’opinione pubblica è sommariamente informata del contesto all’interno del quale nascono le minacce e non conosce per nulla le contromisure che il sistema-Paese prende ormai da anni.

Non potrebbe essere diversamente. Negli ultimi dieci anni noi cittadini italiani siamo stati bombardati di report e ricerche sulla crescita esponenziale dei cyber attacchi senza che si desse eguale enfasi al fatto che la quasi totalità di questi attacchi cade nel vuoto grazie al lavoro quotidiano dei professionisti della security, in aziende pubbliche e private.

Non c’è da stupirsi, la comunicazione funziona meglio quanto più è in grado di colpire l’immaginario collettivo e dunque la notizia di un attacco su larga scala è più affascinante di una ottima difesa. Ma questo cortocircuito comunicativo determina un peggioramento della percezione che gli italiani hanno del nostro livello di sicurezza cibernetica e dunque un timore diffuso. Alimentato peraltro dall’errata convinzione che dietro questi attacchi si nascondano stati canaglia, quando in realtà sono quasi tutti opera di criminali comuni.

Certo è che dobbiamo tenere in debita considerazione anche il panorama delle aziende italiane che vede le più grandi organizzazioni private, che gestiscono anche servizi di pubblica utilità, che si trovano ad un livello di maturità rispetto ai temi di security più elevate, mentre le piccole e medie imprese, che rappresentano il maggior tessuto imprenditoriale nazionale, hanno invece poca sensibilità, salvo rare eccezioni.

Se vogliamo interrompere questo loop, serve un’operazione culturale e operativa allo stesso tempo. Noi di Aipsa siamo persuasi che governo e parlamento debbano intervenire in maniera decisa e rendere progressivamente obbligatorio, per le aziende, l’inserimento in organico della figura del responsabile della security, con particolare attenzione a quella cibernetica, che ne rappresenta uno specifico processo.

Una disposizione del tutto analoga all’introduzione obbligatoria del RSPP, il Responsabile del Servizio di Prevenzione e Protezione, o del DPO, Data Protecion Officer o del Dirigente preposto alla certificazione dei bilanci. Figure delle quali oggi non potremmo pensare di fare a meno e che, dalla loro istituzione formale, hanno contribuito in maniera determinante a far crescere la cultura della sicurezza – dei lavoratori, dei dati personali e sensibili e finanziaria – all’interno delle aziende.

Naturalmente un intervento normativo di questo tipo dovrebbe procedere per gradi ed essere adeguatamente supportato finanziariamente. Ma l’obiettivo di rendere maggiormente capillare la rete di protezione a supporto del sistema-Paese deve essere prioritario.

Oggi, infatti, mancano all’appello circa 250.000 security manager nelle imprese pubbliche e private. Di questi, 160.000 sono ascrivibili alle Pmi, che impiegano tra i 10 e i 249 dipendenti e generano un valore aggiunto pari a 204 miliardi di euro l’anno. Gli altri fanno invece riferimento alle 90mila micro imprese che operano in settori strategici dell’economia nazionale o si trovano all’interno di una filiera complessa nei comparti dell’energia, della logistica, della cooperazione internazionale. Attori forti dal punto di vista produttivo ma privi di un piano di difesa in grado di annullare gli effetti di eventuali attacchi informatici.

Se si vuole correre ai ripari, contribuendo parallelamente alla diffusione della cultura della sicurezza, si potrebbe prevedere, oltre a un obbligo progressivo, di istituire un canale di finanziamento, attingendo a una parte dei fondi del Pnrr dedicati alla cybersecurity: 623 milioni di euro. Un impiego lungimirante i cui effetti si farebbero sentire sulla sicurezza e sulla sostenibilità finanziaria dell’intero sistema-Paese.