Un’agenzia di cybersecurity, ma al di fuori del comparto Intelligence: è ciò che ha confermato anche al Copasir, Comitato parlamentare per la sicurezza della Repubblica, Franco Gabrielli, autorità delegata ai servizi di informazione e sicurezza, attuale Sottosegretario alla Presidenza del Consiglio dei Ministri. Approfondendone i motivi.
Cybersecurity e intelligence
In audizione al Copasir, Gabrielli ha quindi confermato l’opportunità di creare un’agenzia ad hoc per la cybersecurity, ma al di fuori del comparto Intelligence.
Ha dichiarato, infatti, Gabrielli:“È venuto il momento di dar vita a un’Agenzia che tratti in maniera olistica la sicurezza cibernetica e l’accrescimento culturale in questo settore ma che si ponga fuori dal comparto dell’intelligence”.
Pertanto, l’agenzia che Gabrielli ha in mente, come avevamo già visto di recente, deve avere in primis un approccio olistico e trasversale, deve attuare le capacità di resilienza, cioè “reggere e resistere di fronte a minacce e attacchi di varia natura” e deve “staccarsi” dai nostri Servizi segreti, quindi DIS e servizi informativi nazionali e internazionali
Un’agenzia nazionale per la cybersecurity: perché la svolta “Gabrielli” è una buona idea
Perché un’Agenzia per la cyber in Italia
Gabrielli ritiene che la mancanza nel nostro Paese di una diffusa consapevolezza del rischio cibernetico rende ancora più necessario un potenziamento della resilienza agli attacchi informatici. Ha dichiarato, infatti, di non cogliere in Italia la capacità di essere resilienti e questa carenza deriva dagli aspetti culturali, dalla formazione degli operatori pubblici e privati non esaustiva per poter trattare la materia cybersecurity e dal mondo delle infrastrutture, che non ha quella capacità strutturale e infrastrutturale di reggere determinate situazioni di crisi.
Se fino ad oggi il comparto Intelligence ha supplito in maniera egregia, secondo Gabrielli, grazie alla costituzione del Perimetro Cibernetico e dei vari DPCM sull’argomento, lo ha però fatto forzando la modalità e proprio per questo è necessario che l’agenzia da creare resti al di fuori del mondo intelligence. L’Intelligence si occupa della materia sicurezza cibernetica, ma non della complessità della resilienza cibernetica.
Nasce, quindi, il bisogno di uscire dalla modalità emergenziale, per passare a una modalità più strutturale e ordinata da applicare a “un’agenzia nazionale dedicata che sia esterna al sistema di intelligence. Finora il DIS ha avuto un ruolo di coordinamento con un vicedirettore ad HOC, Roberto Baldoni. Ora le cose cambieranno e si metterà mano ad una riorganizzazione dell’apparato istituzionale di risposta al rischio cyber”.
La supplenza del comparto cyber
Gabrielli è arrivato alla decisione di distaccare l’agenzia di cybersecurity dall’intelligence per le ragioni già esposte, elogiando comunque l’operato finora svolto da chi lo ha preceduto. Ricordiamo che ad agosto 2020 era stata proposta l’istituzione di una struttura normativa per la lotta agli attacchi cyber nelle forniture ICT destinate a enti pubblici e sensibili. Da lì, poi, ad ottobre 2020 la pubblicazione in Gazzetta Ufficiale del primo DPCM che determinava quali erano i soggetti pubblici e privati idonei a poter essere inclusi nel Perimetro Cibernetico, quindi il 25 novembre 2020 la firma del DPCM relativo alla lista riservata di questi soggetti protetti.
Poi, a inizio febbraio 2021, era stato approvato dal Ministero dello Sviluppo Economico il DPR attuativo della legge sul Perimetro Cibernetico, mirato a garantire la sicurezza delle reti di Tlc nazionali in vista della realizzazione delle infrastrutture 5G. Il DPR stabiliva che la denuncia di attacchi informatici, nei casi più gravi, doveva essere fatta entro un’ora esatta dall’incidente e abbiamo visto che la gestione di questo tipo di situazioni per le imprese poteva non essere così agevole come sembrava. Dal DPR attuativo siamo giunti al (secondo) DPCM “in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informativi”, che ha confermato per i 100 soggetti appartenenti al Perimetro il lasso di tempo di un’ora utile per notificare un incidente informatico grave al CSIRT, Computer Security Incident Response Team, del DIS.
Perimetro nazionale cibernetico: approvato il secondo DPCM, ma c’è ancora tanto da fare
Una scelta strategica, gli effetti
La nuova Agenzia prospettata da Gabrielli rappresenterebbe una svolta per l’Italia sia da un punto di vista di immagine, sia da un punto di vista sostanziale, grazie all’attività di cooperazione tra le forze dell’ordine e tra il COR, Comando Operazioni in Rete della Difesa, e la polizia scientifica e la polizia postale nel rafforzamento di professionalità, e grazie alla sempre più diffusa collaborazione tra pubblico e privato.
Per Stefano Mele, Presidente della Commissione sicurezza cibernetica del Comitato Atlantico Italiano, avvocato specializzato in privacy e cybersecurity, “il sottosegretario Gabrielli ha acceso i riflettori su uno dei temi più rilevanti per il futuro del nostro Paese. Le sue parole spero trovino al più presto riscontro nell’attività del governo Draghi. L’attuazione del perimetro di sicurezza nazionale cibernetica avrà un impatto considerevole sulle aziende private e sugli operatori pubblici che proprio nell’agenzia potrebbero trovare un interlocutore unico”. In questo modo si riusciranno a “sviluppare le fondamentali sensibilità per supportare l’operatività delle aziende e della p.a.”.
Anche il vicepresidente del Copasir Adolfo Urso si è espresso in merito, evidenziando che “la sicurezza nazionale non è soltanto il controspionaggio […] I tre documenti ufficiali fatti dal Copasir in questi tre anni riguardano 5G e telecomunicazioni laddove si invita a bandire la tecnologia cinese perchè non sicura per la sicurezza nazionale. Quello sull’app Immuni con le indicazioni sulla privacy del cittadino. E il testo sul sistema bancario e finanziario perché il nostro Paese è al centro delle attenzioni. Siamo la preda di tutti”. Conclude, poi che “chi conosce nel mondo domina il mondo. Per questo l’attenzione alla Cina. Non solo economica, è soprattutto una guerra di civiltà. Tra quella occidentale, al centro la persona e i suoi diritti. E la civiltà di altri continenti. Dove non si concepisce che lo Stato debba rispettare i cittadini e i suoi diritti”
