C’è un’accelerazione verso una riforma del sistema della cyber security. La conferma è arrivata dall’audizione del presidente del Consiglio, Paolo Gentiloni, davanti al Copasir e si va verso un maggiore coordinamento da parte del Dis, il dipartimento che in base alla legge del 2007 coordina le due agenzie di intelligence. In attesa di conoscere i dettagli, l’impressione è che si sia scelta la strada normativa più veloce, cioè un decreto del presidente del Consiglio, e nello stesso tempo che si voglia rendere più concreta e dinamica la lotta per una maggiore sicurezza informatica dando più potere al vertice dei Servizi.

Il nuovo Dpcm cambierà perciò quello emanato da Mario Monti nel gennaio 2013 che organizzò per la prima volta il settore, ma che oggi sembra in parte inattuato e in parte anacronistico. Il presidente del Comitato di controllo sui Servizi, Giacomo Stucchi, disse in un’intervista a Formiche.net (e ha ripetuto il 24 gennaio nell’audizione di Gentiloni) che quattro anni in questo settore sono “un’era geologica” e che dunque un cambiamento è indispensabile. Nell’intervista Stucchi aggiunse che “è necessario rivedere completamente il tutto e sostituirlo, riscrivendo il decreto alla luce delle necessità emerse negli ultimi tempi” e, riguardo a un’intesa bipartisan, che “sulla necessità di attualizzare la normativa sulla cyber security siamo tutti d’accordo, poi bisognerà vedere il contenuto della proposta”.

Se dunque un decreto pronto in poche settimane è sicuramente il mezzo migliore, bisognerà attendere il testo per capire come saranno superati gli attuali problemi, compresi quelli sulla (scarsa) collaborazione tra pubblico e privato, e se sarà una modifica o una sostituzione del decreto Monti. Anche quest’ultimo attribuisce al Dis un chiaro potere di coordinamento: il decreto del 2013, infatti, stabilisce che “il Direttore generale del Dis, sulla base delle direttive adottate dal Presidente del Consiglio dei ministri – volte a rafforzare le attività di informazione per la protezione delle infrastrutture critiche (materiali e immateriali), con particolare riguardo alla protezione cibernetica e alla sicurezza informatica nazionali – e alla luce degli indirizzi generali e degli obiettivi fondamentali individuati dal Cisr, cura il coordinamento delle attività di ricerca informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica nazionali”.

E’ probabile che nella prossima normativa si stringerà ancora di più il legame tra il Dis (oggi diretto dal prefetto Alessandro Pansa) e il Cisr, il Comitato interministeriale per la sicurezza della Repubblica, del quale fanno parte il presidente del Consiglio, l’autorità delegata all’intelligence (che oggi è lo stesso Gentiloni visto che manterrà la delega), i ministri di Interno, Difesa, Giustizia, Economia e Sviluppo economico e il direttore del Dis che ne è il segretario. Un rafforzamento potrebbe riguardare anche Aise e Aisi con un vicedirettore ad hoc. Sullo sfondo resta il problema dei fondi necessari: dal 1° gennaio sono materialmente disponibili i 135 milioni stanziati nella legge di Bilancio 2016, tolti i 15 milioni subito attribuiti alla Polizia postale, che però sono triennali. Angelo Tofalo (membro del Copasir per il M5s) continua a ripetere che occorrono 2 miliardi l’anno “altrimenti l’Italia resterà sempre indietro in questo campo”. Cifra oggettivamente irrealistica, ma non c’è dubbio che in prospettiva l’investimento debba aumentare. L’utilizzo del web da parte del terrorismo internazionale e gli incessanti attacchi informatici per tentare di rubare all’Italia segreti industriali, militari o genericamente “sensibili” avevano da tempo reso indispensabile un intervento. L’inchiesta che ha portato all’arresto i fratelli Occhionero, che avrebbero attaccato 18 mila account compresi quelli di Matteo Renzi, Mario Monti e Mario Draghi, ha impresso l’accelerata definitiva. Occorrerà ancora parecchio tempo prima che dagli Stati Uniti arrivino i contenuti dei server usati dagli arrestati e forse in quel momento l’Italia avrà una nuova normativa.