“Siamo nella giusta direzione. Ma non c’è un giorno da perdere”. Roberto Baldoni ci accoglie nel suo ufficio a Roma con un sorriso stanco. Da quando Mario Draghi lo ha nominato direttore dell’Agenzia per la cybersicurezza nazionale (Acn) non c’è stato un momento di pausa. Non che prima abbondassero. Quattro anni come vicedirettore al Dis (Dipartimento per le informazioni e la sicurezza), a costruire un tassello dopo l’altro il “Perimetro di sicurezza nazionale cibernetica”. Per tutti però Baldoni è conosciuto come “il Professore”, per la lunga carriera accademica che lo ha portato ad essere fra i massimi esperti italiani di cybersicurezza. Ora, assicura a Formiche.net, l’Italia è pronta a mettere al sicuro le sue infrastrutture critiche. Il treno del Recovery Fund è la chance per un salto dell’industria digitale italiana ed europea, e passa una volta sola.
Dalle cattedre universitarie ai Servizi segreti. Come è andata?
Un’esperienza entusiasmante. In questi quattro anni al Dis ho avuto un osservatorio privilegiato all’interno di una struttura della PCM che mi ha fatto crescere ulteriormente. È proprio grazie al lavoro all’interno del DIS che si sono poste le basi per costruire la resilienza cibernetica italiana e lavorare alla nascita dell’Agenzia. Senza la varietà e la qualità delle competenze presenti nel Comparto questo passaggio sarebbe stato impossibile.
Adesso un nuovo incarico, fuori dall’intelligence. Giusto separare i piani?
È una missione diversa. Per poter mettere radici la cyber-resilienza delle infrastrutture nazionali ha bisogno di una forte campagna di consapevolezza verso l’esterno e della creazione di competenze per difendere dagli attacchi le strutture strategiche italiane, dagli ospedali alla Pubblica amministrazione.
Un lavoro che non può essere solo segreto.
Esatto, deve entrare nella società. È intrinsecamente diverso da quello dell’intelligence, dove la riservatezza delle informazioni è un elemento fondante. D’altronde questa strada è stata già imboccata da altri Paesi europei con le rispettive agenzie cyber. In Francia l’Annsi nasce da una costola dei servizi, nel Regno Unito il Ncsc è legato a doppio filo al Gchq.
Il governo Conte-bis aveva cercato di mettere ordine con l’Istituto italiano di cybersicurezza (Iic). L’idea di una fondazione pubblico-privata è stata criticata e infine abbandonata. Cosa non funzionava?
Io credo che l’Agenzia si muova in continuità rispetto all’Istituto, che oggi ne costituisce un tassello. La missione per cui nasceva l’IIC, ovvero coordinare i fondi europei destinati allo sviluppo tecnologico, scientifico e industriale in cybersecurity, è anche la missione dell’ACN. Ma ci sono differenze sostanziali.
Quali?
L’Agenzia è un ente pubblico. E avrà una missione più ampia. Si occuperà anche di certificazione dell’equipaggiamento Ict attraverso il CVCN (Centro di valutazione e certificazione nazionale, ndr), i Centri di Valutazione di Interno e Difesa e la rete dei laboratori di prova. Delle operazioni, come la prevenzione e la gestione degli incidenti tramite il CSIRT (Computer incident response team). Sarà anche l’autorità nazionale per la cybersecurity.
Siamo in ritardo?
Sì, inutile nasconderlo. La Germania ha inaugurato la sua agenzia nel 1991, Israele nel 2002, la Francia nel 2006. Ma abbiamo fatto molta strada, grazie al lavoro fatto all’interno del Dis, con l’avvio dello CSIRT Italiano, con la costruzione del perimetro di sicurezza nazionale cibernetica e ora dell’ACN.
Quante persone lavoreranno nell’Agenzia?
Entro i primi mesi del 2022 completeremo il trasferimento di 90 professionisti da Dis, Mise ed AgID. Poi, a partire dal 2022, bandiremo i concorsi per raggiungere le 300 persone entro la fine del 2023. L’obiettivo è arrivare a circa 800 entro il 2027.
Lei è l’architetto del “Perimetro cyber”, la rete di controlli che garantirà la sicurezza dei soggetti che erogano servizi essenziali per lo Stato, pubblici e privati. Quanto manca al traguardo?
Siamo in dirittura d’arrivo. Il “perimetro cyber” è costruito su tre pilastri. Due di questi, le misure di sicurezza e il sistema di notifiche di incidenti, su cui si basa la gestione degli incidenti attraverso lo CSIRT, sono già attivi. Il terzo, lo scrutinio tecnologico grazie al sistema centrato sul CVCN, lo sarà entro il 30 giugno 2022. Tuttavia, i due pilastri operativi sono già un punto di riferimento fondamentale per chi gestisce servizi essenziali per lo Stato per alzare il loro livello di sicurezza.
Il principale alleato dell’Italia, gli Stati Uniti, chiede una scelta di campo: escludere i fornitori ritenuti a rischio, in particolare alcune aziende cinesi, dalla rete 5G e dalle altre infrastrutture critiche. È stato fatto abbastanza?
È stato fatto molto. Ci siamo mossi in linea con la Commissione europea. Non dimentichiamo che l’Italia è stata fra i Paesi che hanno guidato i lavori per la pubblicazione del “Toolbox Ue”, l’insieme delle linee guida europee che hanno introdotto il concetto di “fornitore affidabile” e hanno incassato il plauso dei nostri alleati.
Basta davvero alzare l’asticella della sicurezza?
Bisogna fare un ragionamento su due piani distinti. Il primo è la sicurezza informatica dei dispositivi che utilizziamo all’interno dei nostri asset Ict strategici. Dobbiamo controllare cosa ci mettiamo in casa, indipendentemente dal fornitore.
Il secondo?
Il secondo riguarda il livello del rischio tecnologico, dove invece entra in gioco la problematica del “trust” del fornitore. Sono due piani contigui ma è bene che rimangano separati. L’Agenzia si occuperà della sicurezza informatica. Per la mitigazione del rischio tecnologico ci sarà bisogno di avviare una discussione tra più attori istituzionali.
Intanto Ue e Stati Uniti cercano una strategia comune. Si sono aperti i lavori del Consiglio per il commercio e la tecnologia. Si può essere alleati anche sul fronte digitale?
Certo, a patto che si tenga conto delle reciproche esigenze. L’Europa fa i conti con un problema più che ventennale: la limitata autonomia strategica nel settore Ict.
A che punto siamo?
Il mercato parla da solo. Non abbiamo “over the top” europei nella tecnologia Cloud o nell’Intelligenza artificiale, ne abbiamo pochi nell’Internet of things. Il Quantum computing potrebbe essere una eccezione, tuttavia è un settore ancora molto legato al mondo della ricerca e quindi deve ancora avvenire lo sviluppo industriale vero e proprio. Un sintomo di un altro problema tipicamente europeo.
Ovvero?
L’Europa, a differenza dell’America, fatica a trasformare la ricerca in business. Dobbiamo fare i compiti a casa: se non crei le condizioni per la nascita di grandi player europei, ovvero se non raggiungi un più alto livello di autonomia nell’Ict, è più difficile porre le basi per una piena alleanza tecnologica con gli Stati Uniti.
Fra i dossier sul tavolo del consiglio uno è particolarmente urgente: la crisi mondiale dei microchip. Colpa della pandemia?
La pandemia ha dato il colpo di grazia poiché è aumentata sensibilmente la richiesta di computer e dispositivi portatili che includono diversi microchip. Ma questa crisi ha radici più profonde, è dovuta anche alle limitazioni all’export e ai divieti imposti nel tempo che hanno provocato uno sbilanciamento del mercato. Di fronte a questi shock ci sono state due reazioni: chi ha accaparrato i microchip, chi invece ha scelto di continuare a pieno ritmo e oggi si trova in affanno.
Come se ne esce?
Non è semplice. Ci sono Paesi che hanno economie costruite per favorire lo sviluppo dei chip, penso ad esempio a Taiwan. Per fabbricare i semiconduttori non basta un’azienda, serve un ecosistema non facile da riprodurre.
Un ecosistema che costa molto. Gli Stati europei devono mettere in campo fondi pubblici, ma rifiutano l’economia statalista di alcuni Paesi asiatici…
È un equilibrio molto complesso, servirà tempo. La Commissione von der Leyen ha fatto dell’autonomia strategica tecnologica una colonna del suo mandato. Purtroppo, spesso l’Ue, bloccata dalla competizione e da veti interni, concentra gli sforzi più su un piano di cooperazione scientifica e sociale che sullo sviluppo di una vera politica industriale europea.
Ci sono aziende internazionali che guardano all’Europa per nuovi impianti di microchip. L’Italia ha le carte in regola?
Certo, questa è una delle missioni del Recovery plan italiano. I fondi europei sono l’occasione per una nuova politica industriale digitale. La strategia per il Cloud nazionale presentata insieme al ministro Colao e al Sottosegretario Gabrielli è un primo, importante tassello.
C’è un altro fronte che fa discutere Europa e Stati Uniti: la regolamentazione delle big tech. L’approccio stringente dell’Ue rischia di diventare un boomerang?
Sul piano legislativo, le normative Ue, a partire dal Gdpr sono un esempio, peraltro rilanciato da altri Paesi non europei. Da sola però non basta. La trasformazione digitale non si regola solo con atti e direttive, serve una strategia per lo sviluppo dell’industria europea. Oltre ai valori e alle norme dobbiamo esportare tecnologia.
