Nei tempi della guerra ibrida e dei cyber-attacchi sempre più frequenti, l’Italia resta indietro nella capacità di formare esperti e professionisti di sicurezza informatica. Pesa soprattutto la mancanza di una visione strategica e di adeguati livelli di finanziamento. È quanto si legge nel recente report “The Italian cyber security skills shortage in the international context”, finanziato dal centro no-profit Global Cyber Security Center (Gcsec) e curato da Tommaso De Zan, ricercatore dell’Università di Oxford. La ricerca si muove sulla base degli input, dei sondaggi e delle interviste rivolti a manager aziendali, rappresentati istituzionali e stakeholder accademici. Il risultato è un quadro, non troppo incoraggiante, sulla cyber-security nazionale, chiamata a uno sforzo di costante rinnovamento in campo tecnologico, culturale e di investimento.

LA CARENZA DI PROFESSIONALITÀ

Il “cyber-security skills shortage”, anche noto con l’acronimo Csss, indica la carenza, comune a praticamente tutti i Paesi tecnologicamente avanzati, di professionalità ed esperti nel settore informatico, mai pari alla domanda che arriva tanto dal settore pubblico, quando da quello privato. In questo, la situazione italiana pare simile a quella di altri Paesi, con l’unica differenza che i big delle nuove tecnologie (Stati Uniti, Regno Unito, Giappone e Australia) hanno messo in campo da tempo misure e investimenti volte a risolvere la situazione, identificata da tutti come “una minaccia alla propria cyber-security”.

IL GAP TRA DOMANDA E OFFERTA

Anche in Italia, “la stragrande maggioranza dei partecipanti al sondaggio ha riferito di avere sempre, o spesso, posizioni vacanti da affrontare o di non essere in grado di colmarle, notando che a volte è difficile trovare anche un solo candidato con le capacità e conoscenze richieste”, si legge nel report. Oltre la metà delle organizzazioni tiene le posizioni aperte per almeno 61 giorni: “Un indicatore di quanto sia difficile riempire le caselle per la cyber-security”. Il primo problema, nota lo studio, è la cosiddetta “trappola dell’esperienza”, per cui l’offerta di lavoro è accompagnata dal requisito di una pregressa esperienza professionale (anche di dieci anni) che tuttavia risulta l’elemento più difficile da rintracciare tra gli esperti cyber. Poi, ci sono altri elementi: “i datori di lavoro hanno ammesso di non offrire sempre stipendi e benefici a livello di mercato”.

IL PROBLEMA DELLA FORMAZIONE

Il nodo dell’esperienza si lega al tema della formazione. La richiesta di candidati che abbiano già alle spalle anni di lavoro può essere giustificata infatti dalle “preoccupazioni” per un sistema formativo in cui la cyber-security viene spesso sottovalutata. Su questo, spiega il report, i suggerimenti degli intervistati si sommano alle indicazioni già pervenute dal Dis, l’organo di coordinamento dell’intelligence nazionale, che da tempo ha definito “un vasto problema” il tema dell’educazione alla sicurezza cibernetica. Su questo, nota De Zan, “la risposta politica italiana è stata timida e in gran parte rappresentata da campagne di sensibilizzazione guidate da singole organizzazioni, piuttosto che da una strategia collettiva e centralizzata”.

IL SOTTOFINANZIAMENTO

Di fondo, c’è il consueto problema dei finanziamenti e degli investimento nel settore. Il gap italiano rispetto ad altri Paesi è in tal senso particolarmente evidente. “Il Regno Unito – si legge nel report – ha stanziato 32,8 milioni di sterline, nell’ambito di un budget pubblico totale da 860 milioni per la sicurezza informatica, al fine di attuare i programmi educativi delineati nella strategia 2011-2016”. Risorse che sono state confermate e ampliate nel ciclo 2016-2021. “D’altra parte, non è ancora chiaro quanto l’Italia stia spendendo complessivamente per la sicurezza informatica; nel 2018, il governo ha creato un nuovo Fondo per la cyber-security con un totale di 3 milioni di euro per il periodo 2019-2021: un piccolo importo rispetto al bilancio complessivo speso dal Regno Unito”.

SE MANCA LA POLITICA

In realtà, la questione sembrerebbe essere strategica più che semplicemente finanziaria. “È difficile dire se l’Italia avrebbe potuto compiere sforzi più concreti nonostante l’assenza di linee di bilancio specifiche per l’educazione alla sicurezza informatica”, scrive infatti De Zan nel report. In più, “l’inerzia politica ha rallentato la progettazione di politiche di educazione e formazione in materia di sicurezza informatica, le quali avrebbero potuto incoraggiare un cambiamento decisivo nella protezione del cyber-spazio italiano”. Il mix dei due elementi è preoccupante: “Visti i vincoli di bilancio e il debole sviluppo della politica italiana in materia di sicurezza informatica, le azioni di Roma per contrastare la carenza (il Csss, ndr) sono rimaste indietro rispetto a quelle degli altri Paesi”.

COME RIPARTIRE

Nulla è però perso, e per questo il report si conclude con i suggerimenti e le raccomandazioni rivolte al sistema-Paese. Il punto di partenza consiste nella determinazione analitica delle carenze italiane, per cui si propone una analisi online delle posizioni scoperte. Ne dovrebbe seguire una raccolta strutturata dei dati, con report periodici e approfondimenti al fine di indagare al meglio i limiti della Penisola. Poi, si propone una partnership nel campo tra aziende, istituzioni e centri di ricerca, così da individuare “una soluzione nazionale onnicomprensiva al Csss”. A tale scopo, si suggerisce altresì di inserire il Miur all’interno del dal Tavolo tecnico cyber, la struttura che opera presso il Dis. Inevitabile l’invito ad “allocare budget per le attività in campo informatico, compreso uno specifico stanziamento per lo sviluppo di capacità e l’educazione”. Infine, c’è il riferimento alla necessità di designare un’unica amministrazione dedicata al campo della formazione e di sviluppare politiche per la transizione scuola-lavoro.