MEDIA

Più resilienti, sicuri e affidabili: l’Europa plaude alla nascita dell’Agenzia per la cybersicurezza

Non siamo più un paese colabrodo. Finalmente l’Italia si mette in regola rispetto al rischio cyber che è il più grave per le moderne democrazie.

Il sottosegretario Gabrielli: “Acn è una struttura servente che svolge funzioni di coordinamento tutelando le diverse competenze” sparse nell’amministrazione. Allargato il perimetro delle aziende costrette a rispettare gli standard.

Nella ricostruzione della centralità e della sicurezza atlantica al centro del G7 in Cornovaglia e poi a Bruxelles nel vertice Nato e nel bilaterale Usa-Ue, gioca un ruolo chiave la cybersicurezza.

Tutti i briefing concludono che gli attacchi cyber sono “l’arma più insidiosa contro le moderne democrazie”.

Gli ultimi mesi hanno visto un crescendo di attacchi, dagli ospedali in Germania all’Ema in Olanda (e proprio nella fase conclusiva di approvazione dei vaccini antiCovid) ma anche la paralisi della più grossa pipeline americana per colpa di un malware, un virus.

“La più insidiosa arma contro le moderne democrazie”

E’ anche l’arma di cui hanno fatto maggior uso, almeno secondo le evidenze di indagine portate ai tavoli dei vertici di questi giorni, Cina e Russia negli ultimi anni. Per attività di spionaggio industriale ma anche di dossieraggio e condizionamento politico.

Non è un caso che il premier Draghi sia partito venerdì scorso alla volta del G7 in Cornovaglia con in tasca il testo del decreto che istituisce l’Agenzia per la cybersicurezza nazionale italiana, una mancanza che ci portavamo dietro dal 2016.

E che lunedì, a conclusione del vertice Nato, il premier abbia potuto parlare nei vari bilaterali come di una legge già fatta. Appena firmata dal Presidente Mattarella e già pubblicata in Gazzetta Ufficiale.

Insomma, l’Italia non è più quel “colabrodo informatico” che i report delle varie agenzie di sicurezza documentano ogni mese accusando i governi italiani degli ultimi dieci anni di essere inadempienti su questo fronte. Ieri il premier, tornato a palazzo Chigi dopo le due trasferte, ha subito riunito il Cisr, il Comitato interministeriale per la Sicurezza della Repubblica, per dare attuazione al decreto sulla cybersicurezza.

Allargato il perimetro della sicurezza cyber

 Il primo provvedimento infatti è stato allargare il cosiddetto “perimetro della sicurezza nazionale cibernetica”, ovverosia tutte le strutture pubbliche e private che dovranno osservare i nuovi protocolli di sicurezza.

Si tratta di aziende che “attraverso reti, sistemi informativi e servizi informatici, svolgono 223 funzioni essenziali dello Stato, ovvero erogano servizi essenziali per il mantenimento di attività civili, sociali o economiche strategiche”.

La nascita dell’Agenzia per la cybersicurezza nazionale (ACN) è un tassello fondamentale a garanzia della sicurezza nazionale e delle infrastrutture strategiche del nostro Paese, senza il quale sarebbe stato difficile anche solo immaginare la trasformazione digitale che ci attende con il Pnrr.

Per fare un esempio: una volta che sarà attiva la supercloud della pubblica amministrazione, la “nuvola” dove saranno conservati tutti i nostri dati utili alla pubblica amministrazione dalla sanità al fisco passando per i dati bancari, è chiaro che quella “nuvola” dovrà essere protetta come uno dei presidi più delicati del paese. Quasi più dei caveaux della Banca d’Italia.

“Acn, fattore abilitante”

La nascita dell’Acn è stata accolta tra complimenti e alleluia. In Italia e all’estero, a Parigi a Berlino e più di tutto a Bruxelles dove era ormai mal sopportato il nostro ritardo rispetto alla direttiva europea Nis (National information security) emanata nel 2016.  Risultando, in pratica, un paese-colabrodo dove era quasi impossibile investire.

Un gap che si sommava ad altri analoghi, ad esempio la giustizia. La nascita dell’Agenzia è una prova evidente di un paese in cambiamento.

Antonio Arfè, risk advisory leader di Deloitte, ha spiegato come Acn “rientra nel progetto di attuazione del Pnrr che identifica la cybersecurity come fattore abilitante per un Paese capace di guardare al futuro e quindi in grado di difendere le proprie funzioni essenziali, prevenire e combattere gli attacchi informatici.

Mettere in campo le misure necessarie vuol dire anche rendere più competitive le imprese del nostro tessuto produttivo, più sicure e resilienti di fronte a possibili attacchi che rappresentano un costo enorme tra interruzione dell’attività, ripristino dei sistemi e perdita di dati sensibili”.

Il Pnrr infatti destina 9,75 miliardi di euro per digitalizzazione, innovazione e sicurezza nella pubblica amministrazione.

Unico severo rimprovero è arrivato dall’Accademia della Crusca che ha bocciato il nome del testo. Guai usare questi anglicismi, cyber, cybersicurezza, cybersecurity eccetera. L’unica allocuzione possibile è “sicurezza nazionale cibernetica”.

La raccomandazione dei custodi della purezza della lingua è di cancellare e sostituire tutti gli anglicismi almeno nel testo di legge.

“Una struttura servente”

L’Acn sarà quindi uno dei cuori pulsanti dello Stato.  La ripartenza dell’Italia passa anche da qui. “Vorrei soprattutto che fosse chiara una cosa” ha spiegato Franco Gabrielli, sottosegretario alla Presidenza del Consiglio cui il premier Draghi ha affidato la delega all’intelligence, “con il decreto mettiamo in sicurezza l’Italia sotto il profilo del cyber e l’ACN è una struttura servente, un investimento per la qualità e lo sviluppo del Paese”.

Il decreto conta 19 articoli ed è il frutto di due mesi di lavoro in team tra il sottosegretario con delega ai servizi segreti Franco Gabrielli, il ministro per lo Sviluppo economico Giancarlo Giorgetti,  il ministro economico Daniele Franco e il ministro per la transizione digitale Vittorio Colao.

E anche la struttura di tecnici che finora ha operato all’interno del Dis, la cabina di regia dei nostri servizi segreti. «È istituita – si legge nel testo del decreto – a tutela degli interessi nazionali nel campo della cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico, l’Agenzia per la cybersicurezza nazionale (Acn)». Un centro di sicurezza e come tale anche un centro di potere.

Ci lavoreranno da subito 300 persone tra cui 34 dirigenti generali. A regime, entro il 2027, saranno impiegate circa 800 persone.

In linea con quelli che sono gli standard negli altri paesi Ue.  Gli stipendi saranno equiparati a quelli dei dipendenti della Banca d’Italia «sulla scorta della equiparabilità delle funzioni svolte e del livello di responsabilità». Appunto: le banche dati come i caveaux della Banca d’Italia.

Alta, di conseguenza, la disponibilità economica: circa 600 milioni dal 2021 al 2027 tramite un fondo specifico che sarà gestito dal Ministero economia e finanza.

Il Pnrr ha messo la cybersicurezza tra i capitoli irrinunciabili e destina al settore circa 10 miliardi. Il motivo è tra quelli che ha tenuto banco nel G7, al vertice Nato e nel bilaterale Ue-Usa: “La più grossa minaccia per le democrazie occidentali nei prossimi mesi e anni non arriverà dai virus e dai salti di specie animale-uomo ma dal web”.

La pandemia ha interconnesso sempre di più le nostre vite e condiviso i nostri dati, dal tempo libero all’industria pesante per non parlare della finanza e della sanità. La digitalizzazione è un punto di forza ma anche di debolezza.

«La vulnerabilità delle reti, dei sistemi informativi, informatici e delle comunicazioni elettroniche di soggetti pubblici e privati – si legge nel testo del decreto – possono essere sfruttate al fine di provocare il malfunzionamento o l’interruzione di funzioni essenziali dello Stato con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni sino a determinare un pregiudizio per la sicurezza nazionale».

Un rischio sempre più evidente. L’Italia, ad esempio, è già oggi il terzo paese più colpito da virus dopo Stati Uniti e Giapppone.

Non è la quarta agenzia di intelligence

Guiderà l’Acn un direttore generale in carica quattro anni e rinnovabile per altri quattro. Dovrà assicurare «il coordinamento tra tutti i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale» al momento sparsi in vari ministeri prima fra tutti il Ministero per lo sviluppo economico, e «predisporre la strategia nazionale di cybersicurezza».

I nomi più quotati sono quelli del professor Baldoni che già guida il gruppo di lavoro all’interno del Dis e la dottoressa Ciardi che guida la Polizia postale, forse il punto di difesa cyber al momento più evoluto nel paese.

Quello che più conta è che Acn non sarà una quarta agenzia di intelligence destinata a diventare la sala regia della stessa intelligence magari affidata al premier o a chi detiene le deleghe in materia.

Che poi era quello che voleva fare Conte scatenando l’ira e la preoccupazione di tutti gli apparati del settore. Anzi, Acn nasce da tre distinte esigenze: tenere distinte le attività di intelligence, quella della Difesa e delle forze di polizia; creare un contesto di resilienza rispetto alla minaccia cibernetica; esercitare il coordinamento di competenze in materia attualmente sparse in 23 diversi uffici e ministeri.

Il Presidente del Consiglio conserverà comunque un ruolo centrale perché a lui è affidata «in via esclusiva l’alta direzione e la responsabilità generale delle politiche di cybersicurezza anche ai fini della tutela della sicurezza nazionale».

Sarà il premier a nominare, e a poter revocare, il direttore generale e il vicedirettore generale dell’Acn. E sempre al premier compete l’adozione della strategia nazionale di cybersicurezza, sentito il nuovo “Comitato interministeriale per la cybersicurezza” (Cics) istituito con il decreto. Restano centrali anche il ruolo del Copasir e quindi del Parlamento.

La Caporetto di Conte

Il governo Draghi ha segnato quindi un’altra tacca non facile né scontata della sua mission. Un altro “cambio di passo” il cui peso specifico è più alto di quello che possiamo misurare con i criteri ordinari e con gli occhiali della politica.

Di certo occorre ricordare come proprio questo nodo è stato, non caso, la Caporetto di Giuseppe Conte. L’ex premier aveva inteso in modo un po’ troppo personalistico l’affaire cybersicurezza.

O forse l’aveva solo banalizzato. Si dice che ha cercato di risolvere un “peccato originale”: aver messo il nucleo della nostra cybersecurity all’interno del Dis, all’interno quindi dei nostri servizi di intelligence.

È un fatto che il suo governo ha cominciato a traballare quando pensò di far nascere l’Agenzia grazie ad un emendamento di una decina di righe buttato tra le migliaia di pagine della legge di bilancio che sarebbe stata approvata con voto di fiducia.

Furono molti, allora, anche tra i suoi alleati, ad inorridire per la scelta tanto goffa quanto pericolosa. Conte ha voluto insistere non capendo che su quel punto avrebbe pagato il prezzo più alto. Come infatti è stato.

Multe fino a 1,8 milioni

L’innalzamento dello scudo cyber deciso ieri dal Comitato interministeriale per la sicurezza cibernetica (Cisc) è stato il primo passo operativo della nuova Agenzia.

Le nuove aziende, pubbliche e private, inserito nel perimetro di sicurezza nazionale cibernetica esercitano 223 funzioni essenziali per il mantenimento di attività fondamentali per gli interessi dello stato: dalle telecomunicazioni alla sanità, dal settore energetico a quello finanziario, dai trasporti alla difesa, dallo spazio ai servizi digitali.

Queste hanno l’obbligo – pena multe salate, fino a 1,8 milioni di euro – di comunicare tempestivamente gli attacchi subiti o gli incidenti rilevati e di adeguare agli standard definiti le misure di protezione delle proprie reti se vogliono continuare ad operare. In questi anni c’è stata una certa reticenza da parte delle imprese a comunicare di essere state attaccate o aver avuto incidenti con fughe di dati.

Il perimetro di sicurezza nazionale cibernetica inizierà ad essere operativo dal 23 giugno per le aziende già inserite nel perimetro il 22 dicembre scorso. In caso di attacco dovranno notificare allo Csirt italiano (Computer security incident response team) gli eventuali incidenti che si dovessero verificare. Spetta al Csirt il monitoraggio degli incidenti, l’intervento e l’emissione di allerte sui rischi.

Tiscali.it

Pulsante per tornare all'inizio