Mattone su mattone, legge su legge, il “Perimetro cyber” prende forma. Una relazione dell’intelligence italiana firmata dal presidente del Consiglio Mario Draghi fa il quadro sulla rete dei centri di controllo dell’equipaggiamento cibernetico introdotta dal governo Conte-bis. Obiettivo: difendere dagli attacchi hacker i soggetti e i beni “essenziali” per la sicurezza dello Stato.

Un lavoro di due anni, iniziato nel settembre del 2019 con il “decreto cyber”, il primo vero atto politico del governo rossogiallo. Dopo un anno di sbandate filocinesi, fra memorandum per la Via della Seta e porte aperte al 5G di Pechino, il “Perimetro cyber” ha inviato un messaggio agli Stati Uniti: l’Italia costruisce uno scudo cibernetico per le sue infrastrutture critiche.

Non è un caso che sia il Dis (Dipartimento per l’Informazione e la Sicurezza) a redigere il rapporto: sono stati gli 007 italiani, coordinati dal vicedirettore del Dis con delega al cyber Roberto Baldoni, a studiare e disegnare la complessa architettura normativa del perimetro. Ora quel compito passerà alla nuova Agenzia per la cybersicurezza nazionale (Acn), un ente posto al di fuori del comparto intelligence che dovrà gestire i fondi europei per il digitale e la cybersecurity.

Sulla carta la costruzione del perimetro, che in questi mesi ha già incassato il plauso dell’Ue e del Dipartimento di Stato americano, è a metà strada. Ma con la fine della pandemia in vista si spera in un’accelerazione: le restrizioni del Covid hanno inevitabilmente rallentato i lavori, a partire dall’assunzione della settantina di ingegneri che dovranno passare al filtro le componenti hi-tech delle amministrazioni e delle aziende incluse nella rete.

Ad oggi il mosaico si presenta così. I due Dpcm approvati finora, uno il 30 luglio 2020 (131) e uno il 14 aprile 2021 (81), hanno definito rispettivamente i soggetti e i beni Ict inclusi nel perimetro e le procedure di notifica degli incidenti cyber, oltre alle misure da mettere in campo per ridurre i rischi.

Più nel dettaglio, il primo provvedimento della scorsa estate ha stilato la lista (segretissima) dei soggetti “che esercitano funzioni essenziali per lo Stato” protetti dallo “scudo” cyber. Pubbliche amministrazioni, dunque, ma anche aziende private ritenute sensibili per la sicurezza nazionale. Poi i “beni” Ict e le reti da proteggere che “in caso di incidente, causerebbero l’interruzione totale dello svolgimento della funzione o del servizio essenziale”.

L’obiettivo è impedire ad attori ostili nel dominio cyber di “spegnere l’interruttore” a intere catene del valore, come è successo in questi mesi negli Stati Uniti con l’attacco hacker (attribuito dagli 007 Usa ad attori russi) all’azienda di software Solar Winds. Basta un solo colpo a un’azienda–chiave per una reazione domino e colpirne centinaia, anche migliaia. Un attacco a un’impresa americana, come è successo nel recente caso di Kaseya, può mandare in tilt una rete di supermercati in Svezia.

Il perimetro prevede misure di sicurezza severe e tempi stringenti per segnalare gli attacchi. Ma anche multe salatissime per chi non si adegua, “tra gli euro 200.000 e 1.800.000 in base al tipo di inadempimento”. Lo scorso 5 febbraio un altro provvedimento, il Dpr 54, ha messo nero su bianco, fra le altre cose, “procedure, modalità e termini di scrutinio tecnologico”. Un libretto di istruzioni per i “Centri di valutazione e certificazione nazionale”, ovvero i centri di controllo che formeranno il perimetro, e i due “Centri di Valutazione” dislocati al Mise e al Viminale.

Mancano ora due tasselli per completare il mosaico, spiega la relazione del Dis. Un Dpcm, già firmato il 15 giugno da Draghi e prossimo alla pubblicazione in Gazzetta Ufficiale, indicherà “l’elenco delle categorie di beni, sistemi e servizi Ict” che saranno sottoposte all’esame degli ingegneri del perimetro. Infine l’ultimo decreto, in attesa del parere del Consiglio di Stato, che detterà tempi e modi per la collaborazione fra i Cvcn, i Cv dei ministeri e i laboratori del perimetro.

Una volta completata la costruzione, inizierà la transizione delle competenze per la difesa cyber dai Servizi alla nuova Agenzia. “In un’ottica di assicurare l’unicità istituzionale di indirizzo e di azione, spesso invocata dagli operatori coinvolti, nei confronti dei soggetti pubblici e privati interessati”, l’Agenzia avrà l’unica responsabilità dell’implementazione della rete e sarà sottoposta al controllo di Palazzo Chigi.