L’attacco hacker alla Regione Lazio e l’accelerazione per l’Agenzia per la cybersicurezza nazionale (Acn) hanno acceso i riflettori sull’esigenza di presidiare al meglio il dominio informatico. Anche la Difesa, nella sfera di propria di competenza, si muove in tale direzione. Un’indicazione sulle novità che attendono il settore militare arriva dal Documento programmatico pluriennale 2021-2023, pubblicato ieri dal dicastero guidato da Lorenzo Guerini (qui un focus). Non ci sono programmi riferiti esclusivamente al cyber, ma solo perché esso si presenta come un dominio (il quinto) dotato di una caratteristica peculiarità: la pervasività su tutti gli altri. Dunque, non c’è un progetto della Difesa che non abbia in sé un riferimento agli aspetti cibernetici.

IL RUOLO DEL COR

Da poco più di un anno a coordinare l’impegno della Difesa c’è il Comando operazioni in rete (Cor), attualmente guidato dall’ammiraglio Ruggiero Di Biase. Posto alle dipendenze del capo di Stato maggiore della Difesa, ha riunito in un unico comando i vari reparti cyber delle Forze armate, ed è strutturato in tre reparti: C4, sicurezza e cyber-defense, cyber operations. Il Cor ha il compito di garantire, “con visione unitaria e coerente”, la condotta delle operazioni nel dominio cyber, la gestione tecnico-operativa in sicurezza di tutti i sistemi di comando e controllo, computer e Ict, così da armonizzare e distribuire tempestivamente le informazioni lungo la catena di comando. Ha anche ramificazioni con capacità di proiezione all’estero. Sono le Cellule operative cibernetiche (Coc), abilitate all’intervento in caso di conflitti.

L’APPROCCIO DELLA DIFESA

Nel nuovo Dpp ci sono ulteriori indicazioni sull’impegno della Difesa nel dominio cibernetico. “Sarà garantito – si legge – il consolidamento del settore attraverso l’azione di indirizzo del Cor e mediante il finanziamento di progettualità afferenti il settore della sicurezza informatica (cyber-security) e gestione degli eventi di sicurezza informatica (cyber-defence), con finalità di acquisire, in prospettiva futura, capacità nell’intero spettro della cyber warfare”. Di più: “Sarà necessario inoltre, al fine di fronteggiare la minaccia cyber, prevedere l’implementazione delle Misure minime di sicurezza e l’introduzione della security-by-design quale prerequisito obbligatorio nello sviluppo di nuove applicazioni e sistemi interforze”. In altre parole, si tratta di distribuire la piena consapevolezza del dominio cyber lungo tutta la catena della Difesa, dall’acquisizione dei sistemi alla protezione degli assetti, fino alla risposta in caso di attacco. Ciò deriva dal contesto d’azione: “Il cyber-spazio rappresenta un significativo fattore abilitante per avversari intenzionati a compiere azioni asimmetriche, ibride o criminali”.

OLTRE I DOMINI CLASSICI

È in tal senso che il cyber si presenta come un dominio differente da quelli tradizionali, ben distinti fisicamente. Quello cibernetico pervade gli altri, li connette tra loro e si manifesta in loro con ripercussioni spesso molto fisiche. È proprio la rivoluzione digitale (abilitata dallo spazio cyber) ad aver portato i teorici degli affari militari a spostare l’attenzione dalla logica inter-forze al concetto di multi-dominio. Anche l’Italia segue il tema. Da fine luglio è attivo il nuovo Comando operativo di vertice interforze, in attuazione a quanto stabilito nel Concetto strategico del capo di Stato maggiore della Difesa, firmato dal generale Enzo Vecciarelli. Ha nuova sigla, da “Coi” a “Covi”. Alla guida è rimasto il generale Luciano Portolano, con una stella in più, la quarta, come per i capi di Forza armata. Questo perché il Covi è ora punto di raccordo di tutte le componenti operative della Difesa, compresi i nuovi comandi cyber (Cor) e spaziale (Cor), in linea con l’esigenza di evolvere verso il multi-dominio.

LA CYBER DEFENCE

Tale evoluzione emerge anche dalla lunga lista di programmi contenuti nel nuovo Documento programmatico pluriennale della Difesa. Pure per la maggiore novità (i due miliardi in quindici anni per il Tempest) si parla della “futura completa fusione dei cinque domini operativi”. L’attenzione al cyber è dunque trasversale, centrale in alcuni progetti specifici. Tra quelli confermati c’è “ammodernamento e rinnovamento della capacità di cyber defence e cyber security in acquisizione dalla Difesa”, finalizzato a implementare “strumenti” per “rendere tale capacità più aderente a quanto previsto dalla normativa nazionale e da quella internazionale nello specifico settore”. Ha dotazioni in rialzo rispetto a quanto previsto lo scorso anno: 12 milioni nel 2021, 15,3 nel 2022 e 22 nel 2023, con una previsione di ulteriori circa 180 milioni fino al 2033. Figura invece tra i programmi prioritari, ma privi di copertura finanziaria, lo sviluppo della “capacità offensiva e difensiva del comparto cyber della Difesa e potenziamento della funzionalità del Cor”.

LA GOVERNANCE NAZIONALE

Il tutto va visto alla luce del rinnovamento della governance nazionale e della nascita dell’Agenzia per la cybersicurezza. La sfida di quest’ultima, scriveva il sottosegretario alla Difesa Giorgio Mulè sul numero di Airpress di giugno, “sarà quella di aprirsi e coinvolgere il mondo civile coniugandolo con quello militare e di intelligence”. Inoltre, aggiungeva, “il comparto Difesa potrà dispiegare le proprie migliori energie per le sfere di competenza che le sono proprie”. Il disegno di legge di conversione, con modificazioni, del decreto-legge 14 giugno 2021, fresco di approvazione al Senato, ha posto ancora di più l’accento su tale aspetto, aggiungendo “in particolare con il ministero della Difesa per gli aspetti inerenti alla ricerca militare” al compito dell’Agenzia di assicurare “il necessario raccordo con le altre amministrazioni a cui la legge attribuisce competenze in materia di cyber-sicurezza”. Anche per questo, notava Mulè, la Difesa è al lavoro sul progetto per una “Cyber defence academy, un centro di alta formazione dove le esperienze maturate nel comparto difesa – mi riferisco alle eccellenze del Casd, del Cor, del Cyber range di Chiavari – dovranno unirsi con quelle già presenti nella pubblica amministrazione marciando in maniera osmotica con le imprese private”. Il decreto-legge prevede per l’Agenzia “la possibilità di impiegare personale del ministero della Difesa, secondo termini e modalità da definire con apposito decreto del presidente del Consiglio dei ministri”. La scorsa settimana Mulè diceva a Formiche.net: “Siamo già più che pronti per conferire all’Agenzia quanto va devoluto”.