Cybersecurity nazionale, progressi e incognite nella lunga marcia del Governo

Si possono fare numerose riflessioni sulla notizia, nata da una indiscrezione pubblicata dal “Fatto Quotidiano” nella giornata di sabato scorso, relativa alla costituzione di una agenzia di coordinamento per la cybersecurity. Bisogna ovviamente premettere che le notizie, le smentite e le dichiarazioni si sono accavallate frenetiche in questi giorni, culminando in un’audizione di fronte al COPASIR, rendendo incerti i dettagli e i contorni della notizia. Nondimeno, alcune osservazioni possono già essere fatte.

Innanzitutto, va detto che è molto positivo l’impegno personale del Presidente del Consiglio sul tema della sicurezza informatica. Il primo atto di indirizzo di tale impegno è sicuramente la Direttiva del 1 agosto 2015, che si innesta nel solco dell’architettura di sicurezza cibernetica tracciata dal precedente Governo Monti, sollecitando gli attori istituzionali a metterla compiutamente in opera, e completandola con dei nuovi e condivisibili obiettivi.

In estrema sintesi, la Direttiva identificava le seguenti linee d’azione:

• Il potenziamento della capacità di identificare gli attacchi e reagire opportunamente (partendo dal CERT nazionale e dal CERT-PA, ma estendendosi all’interno di ciascuna amministrazione).
• Il coordinamento tra istituzioni per rispondere ad eventi sistemici, riconoscendo in questo contesto un particolare ruolo al DIS per il coordinamento delle attività di intelligence nel campo cyber security, e rinnovando l’impegno nella formazione (e selezione) del personale.
• Il partenariato pubblico-privato coinvolgendo aziende strategiche e gestori di infrastrutture critiche (con un particolare ruolo del CISR).
• Un impulso ad assumere, ciascuna amministrazione per quanto di competenza, il ruolo corretto nei tavoli internazionali NATO e UE in materia di cybersecurity.
• Un focus sulla ricerca e sviluppo, con la collaborazione di università e centri di ricerca.

Non è difficile scorgere, nell’anno 2015, i primi passi di implementazione di queste linee strategiche, ad esempio nell’attivazione compiuta del CERT nazionale e del CERT-PA, nonché nell’accresciuta attività del DIS in campo cybersecurity. Degno di menzione è anche il rinnovato rapporto tra DIS e università e centri di ricerca pubblici, riuniti nella struttura del Laboratorio Nazionale di Cyber Security CINI. Uno dei prodotti di tale accordo è il Libro Bianco sulle sfide della cybersecurity in Italia, ad esempio.

Ciò significa che tutto procede perfettamente? Naturalmente no, ogni cosa è perfettibile, e inoltre il nostro Paese è impegnato a recuperare un colpevole ritardo almeno decennale sul tema della cybersecurity readiness. Per questo è stata una sorpresa positiva vedere il Presidente del Consiglio direttamente impegnato sul tema, anche identificando un apposito capitolo di spesa nella legge finanziaria (approssimativamente 150 milioni di euro).

Tuttavia, in questo quadro complessivamente positivo, desta un po’ di preoccupazione la confusione sorta in questi giorni relativamente alla possibile creazione di una sorta di agenzia per la cybersecurity con un proprio coordinatore.

Da un lato è evidente l’esigenza di coordinamento, anche per investire bene le poche risorse disponibili: infatti, anche se 150 milioni di euro sono una somma rilevante, sono ben distanti dalle necessità del sistema paese, che deve colmare un ritardo pluriennale, e competere con paesi che stanno investendo cifre anche 10 volte maggiori (la Francia ad esempio ha speso 900 milioni di euro solo nella protezione del sistema informativo del proprio ministero della Difesa).

Dall’altro, nell’architettura disegnata da Monti e ben integrata dal presidente Renzi, è evidente il ruolo centrale del sistema informativo per la sicurezza della Repubblica, ed in particolare del DIS, che ha già cominciato a svolgerlo in modo significativo. Questo crea dei dubbi sulla scelta di creare una nuova agenzia “ad hoc”, sia all’interno, sia all’esterno del sistema dei Servizi. E’ quindi prioritario e necessario che venga fatta chiarezza sul ruolo che si vorrebbe assegnare a questa nuova struttura, ed integrarla in modo coerente nel piano strategico attualmente implementato. Ovviamente, tale piano è perfettibile, le interazioni tra diversi soggetti sono semplificabili, ma è difficile immaginare come la creazione di un’agenzia aggiuntiva ed esterna ad esso possa sortire tale effetto.

Va inoltre chiarito se il nuovo ruolo che si va a costituire sia di tipo eminentemente politico, oppure di tipo tecnico. Nel primo caso il profilo richiesto è ovviamente di tipo manageriale e diplomatico, ed ha un giusto peso la scelta di una persona di fiducia del decisore politico. Nel secondo caso, viceversa, l’unico criterio da utilizzare deve essere quello della competenza e dell’esperienza in un settore che, per quanto nuovo, vanta in Italia delle professionalità affermate, competenze che possono essere valorizzate, e che in effetti le strutture dello Stato per ora non riescono a raggiungere. Questo potrebbe essere un ottimo motivo per un intervento diretto e aggiuntivo della presidenza Renzi (che del resto ha fatto del “merito” una delle cifre della propria iniziativa politica).

A tal proposito, mi si consenta un’ultima riflessione, riferita più ai rumori della stampa che alla notizia in sé. Ho letto a più riprese affermazioni tese a proporre l’acquisizione di tecnologia, persone e know-how dall’estero come una potenziale e salvifica “soluzione” al nostro gap tecnologico nel settore. Vorrei essere molto netto sul tema, sulla base di una più che quindicennale esperienza nel settore, buona parte della quale svolta in contatto con i migliori e più noti professionisti e ricercatori del mondo. L’Italia esprime professionisti e ricercatori di assoluto valore, che con tenacia e merito lavorano (anche in condizioni oggettivamente difficili e nella scarsità degli investimenti pubblici e privati nel settore) e producono risultati di pregio. Molti nostri professionisti ricoprono ruoli di rilievo nel settore cybersecurity nelle aziende più importanti del mondo; e sono numerosi i colleghi che insegnano e fanno ricerca sia in Italia sia all’estero negli istituti più prestigiosi. Per usare un paragone calcistico, la ricerca e la formazione italiana nel settore della cyber security non necessitano dell’importazione di “campioni” dall’estero. Necessitano invece di una più forte attenzione al “vivaio” di competenze tutte italiane (a partire dal tessuto delle università), che ben volentieri metterebbero la propria passione e la propria conoscenza al servizio del sistema Paese.