L’Italia si sta attrezzando per quella che sembra la sfida del secolo: la cyber security. Molto è stato fatto, ma molto altro è ancora da fare. È quanto emerso dall’evento tenutosi a Roma, dal titolo “L’ecosistema cibernetico al servizio della sicurezza nazionale”, promosso dalla vice presidente della commissione Difesa della Camera e componente del Copasir Rosa Villecco Calipari (in foto).

Il secondo panel della giornata è stato dedicato “ai rappresentanti delle istituzioni, dell’industria e delle agenzie di sicurezza, cioè coloro che in questi anni hanno fornito una risposta di sistema e che ora devono dirci quali sono le risposte rispetto alle sfide future”, ha spiegato l’organizzatrice. Prima delle conclusioni del ministro dell’Interno Marco Minniti, moderati dal direttore di Cyber Affairs Michele Pierri, sono intervenuti alla tavola rotonda il direttore generale dell’AgID Antonio Samaritani, il ceo di Cy4Gate e vice direttore generale di Elettronica Eugenio Santagata, il managing director Security & information systems di Leonardo Andrea Biraghi, e il vice direttore del Dis Paolo Ciocca.

TRA POLICY, RICERCA E INVESTIMENTI

Lo scenario in cui ci troviamo è complesso e in continua evoluzione. Oggi, ha spiegato Biraghi, “si può influenzare o modificare l’esito di un’elezione nel Paese più forte del mondo. Che sia vero o meno non è importante; già il fatto che ci sia la suggestione fa capire molto, perché vuol dire che la minaccia è credibile e produce effetti concreti”. A questo si associano la varietà degli attacchi e la loro crescente pericolosità, elementi che richiedono una riflessione nazionale su policy, ricerca e investimenti. Le politiche e le regole del settore “sono indispensabili, ma non devono diventare una scusa che ci faccia sentire coperti dal solo rispetto di best practice”. Le policy, ha affermato Biraghi, “devono portare a cose reali, e Leonardo può essere un facilitatore per tutto l’ecosistema ma non si può sostituire allo Stato: possiamo mettere tecnologie, persone e investimenti, ma rimaniamo impresa”. Sul lato della ricerca si è fatto molto, ha detto Biraghi ricordando il progetto “Filiera sicura” e l’azione dell’European Cyber Security Organization (Ecso) di cui Leonardo è fondatore. All’interno di questa organizzazione “ci siamo spesi per creare un gruppo capace di affiancare le istituzioni nel costruire un ecosistema rispetto alle necessità di cyber security”. Sul fronte degli investimenti, occorre concentrarsi “sull’intelligence e sulla prevenzione e anticipazione degli attacchi”. In tal senso, ha concluso il managing director della divisione Security & information systems di Leonardo, è importante creare “una forte struttura nazionale” con “l’istituzione di un Centro nazionale di ricerca e sviluppo nella cyber security”.

L’EVOLUZIONE IN EUROPA

Fin’ora, con il dpcm Monti del 2013, la direttiva Renzi del 2015 e il decreto Gentiloni lo scorso febbraio, “abbiamo definito gli obiettivi collettivi delle amministrazioni pubbliche e della collaborazione con i privati e con la ricerca”, ha ricordato il vice direttore del Dis Paolo Ciocca. Molto altro però c’è ancora da fare. “A brevissimo – ha aggiunto Ciocca – ci aspetta un appuntamento legislativo fondamentale che è il recepimento della direttiva europea Nis”, per cui andranno individuati gli operatori di servizi essenziali. “Ci vuole un approccio strategico, un salto dottrinale complessivo” anche in ambito europeo, nel quale si gioca ora “la vera battaglia regionale, positiva, quella della certificazione, su cui il nostro Paese è chiamato ad accelerare subito per poter stare in testa”. Proprio sul lato civile emergono le principali difficoltà, perché il processo “riguarda tutto il mondo delle infrastrutture critiche” e coinvolge “l’intersezione tra mercato e sicurezza nazionale, che non è facile”. In altre parole, ha detto Ciocca, “la soluzione deve essere a mercato e continentale, ma deve anche mantenere la possibilità di valutare aspetti di sicurezza nazionale che sono prerogativa di Stati membri, un’apparente antinomia su cui però la Commissione ha iniziato a lavorare”.

L’INTEROPERABILITA’ TRA PUBBLICO E PRIVATO

Per la cyber security nazionale, “anche il medio-piccolo può essere grande se messo a sistema e a sinergia con i grandi all’interno di un ecosistema sempre più complesso”, ha detto Eugenio Santagata. Il ceo di Cy4Gate, che come joint venture tra Elettronica e la modenese Expert System già rappresenta un esempio di “messa a sistema”, ha ribadito la necessità di “un’interoperabilità tra pubblico, università e privato, attraverso uno scambio continuo di dati e di risorse”. Proprio dalle aziende, infatti, “vengono fuori le idee”. Difatti, ha aggiunto, “la tecnologia è sicuramente un fattore abilitante, ma non è tutto”. Ad essa si aggiunge, infatti, “il tema della cultura, con cui è necessario cominciare dalle scuole elementari”, ha detto Santagata. Un’attenzione particolare deve poi essere rivolta all’acquisto di soluzione estere che, secondo il manager, lungi da una demonizzazione delle stesse, “ci espone a gravissimi rischi”, oltre a frenare l’impresa italiana.

IL RUOLO DELL’AGID

Una parte importante dell’ecosistema cyber nazionale è sicuramente rappresentato dalla pubblica amministrazione, il cui Cert (appunto Cert PA) è affidato alla gestione dell’AgID che ha, inoltre, la responsabilità dell’implementazione dell’Agenda digitale nazionale. “Stiamo creando le condizioni perché il campo d’azione del Cert sia più definito in termini di infrastrutture fisiche, con la riduzione dei data center che oggi, in Italia, sono circa 14mila: non possiamo avere una base d’attacco così ampia”, ha spiegato il direttore generale dell’Agenzia, Antonio Samaritani. I prossimi passi sono tre: diffusione del modello organizzativo (con centri locali basati su una logica di franchising); diffusione degli strumenti; e diffusione della cultura.