L’approvazione alla Camera dei deputati del decreto-legge sulla sicurezza cibernetica (che istituisce il Perimetro nazionale) non ha risolto tre gravi contraddizioni contenute nel testo del Governo.
L’auspicio è che il Senato introduca le modifiche necessarie affinché l’Italia si doti finalmente delle difese immunitarie efficaci.
La golden power arma spuntata?
Come è ben noto la penetrazione multinazionali straniere che hanno le proprie radici in regimi politici illiberali (Cina, Russia, ecc.) ha interessato nell’ultimo decennio numerose pubbliche amministrazioni del nostro paese. Questo fenomeno è avvenuto talora anche in alcuni dei Dicasteri più delicati soprattutto per i criteri in cui si è dovuta muovere Consip (ribasso prezzi) – ignorando, ad esempio, che il paese di provenienza di un componente, di un prodotto e/o servizio può essere di per sé un fattore di rischio nella valutazione di una fornitura pubblica e delle connesse subforniture.
Il Decreto-legge ha il merito di potenziare l’azione del Governo in materia di Golden Power, ma questa novità positiva rischia di essere vanificata da alcune previsioni normative che appartengono al passato riproducendo “compartimentazioni’ anacronistiche tra pubblico e privato (e tra civile e militare) che ignorano la pervasività e profondità della rivoluzione tecnologica in corso.
Qual’ è la posta in gioco? I processi di digitalizzazione sono noti per i grandi benefici che portano alla società (basti pensare al settore sanitario), ma in Italia si registra una diffusa ignoranza politica su un profilo importante: non è affatto facile conciliare l’applicazione pratica delle nuove reti e delle nuove tecnologie con il pieno rispetto dei valori fondanti della democrazia e dello Stato di Diritto.
La tecnologia mobile 5G ed in particolare le importazioni di reti, sistemi, prodotti, componenti e servizi potenzialmente invasive e/o vulnerabili potrebbe progressivamente e silenziosamente svuotare di significato alcuni degli articoli più importanti della nostra Costituzione (i.e .6, 9, 14, 15, 33, 36, 37, 41, 42, 47, 48).
Il totalitarismo digitale è un pericolo concreto. L’introduzione del “Social Card System” per tutti i cittadini cinesi costituisce un esempio pregnante di come una rispettabile, ma profondamente diversa tradizione storica, politica e culturale anteponga gli interessi dello Stato e del Partito rispetto ai diritti delle persone.
Le tre modifiche necessarie
Sulla base di queste sommarie osservazioni auspico che il Senato introduca tre modifiche sostanziali al testo licenziato dalla Camera:
- I criteri di accesso/divieto (ed i loro tempestivo aggiornamento) per le forniture tecnologiche ICT destinate alle Infrastrutture Critiche, ai Ministeri del CISR, al Sistema Sanitario Nazionale (e a tutte le altre entità comprese nell’elenco che la nuova legge istituisce) devono essere coerenti con le deliberazioni gli standard e i divieti assunti in sede Nato e Ue al fine di contrastare le vulnerabilità e gli attacchi e prevenire efficacemente le molteplici minacce ibride.
- L’esigenza di un approccio unitario alla materia ed in particolare la recente istituzione del Dipartimento Digitale della Presidenza del Consiglio (nonché la inedita nomina di un ministro per l’innovazione) suggeriscono di trasferire dal Ministro dello Sviluppo Economico alla Presidenza del Consiglio le competenze (e eventuali strutture dedicate) in materia di sicurezza cibernetica. Solo in questa prospettiva unitaria la Presidenza del Consiglio può diventare una efficiente cabina di regia in materia di sicurezza informatica e delle telecomunicazioni operando in costante collaborazione con il prezioso lavoro condotto dalle strutture operative di cui dispongono i Ministeri dell’Interno e della Difesa. Realizzare un triangolo virtuoso tra Presidenza, Interno e Difesa è una condizione prima condizione necessaria per raggiungere gli obiettivi del provvedimento di legge. Una seconda condizione necessaria è trasformare il CVCN in una vera e propria Agenzia sotto la vigilanza della Presidenza del Consiglio. Nell’ordinamento italiano solo una agenzia può godere della autonomia e della flessibilità che sono indispensabili per assicurare un’azione efficace. In primo luogo in materia di reclutamento di personale idoneo dirigente e non. E’ assolutamente indispensabile a questo proposito abrogare i vincoli assurdi previsti nell’articolo del Decreto dedicato al personale sia che esso venga reclutato all’interno delle amministrazioni civili e militari dello Stato, sia che esso provenga dall’esterno.
- Il terzo aspetto da modificare concerne il farraginoso processo di certificazione in corso d’opera a cui il provvedimento in esame sottopone le imprese private. Oltre ad essere discutibili sul piano della legittimità (e probabile fonte di innumerevoli controversie giuridiche) le previsioni in materia di test generalizzati rischiano inevitabilmente di tradursi in una macchinosa routine amministrativa in cui si dovrebbero per sottoporre decine e decine e decine di migliaia di componenti, device e/o servizi. La logica dei test in corso d’opera deve essere sostituita dalla logica della prevenzione ex ante. In sostanza il Governo insieme ai maggiori player “privati” che gestiscono le infrastrutture critiche del paese devono far applicare ai fornitori delle loro supply chain, criteri, parametri e i divieti che derivano dalle decisioni tecniche e politiche concordate in sede Nato e Ue nonché sulla base di quotidiani scambi informativi con gli alleati della Nato e gli Stati Membri della Nato. In questa cornice è ovviamente auspicabile un ruolo proattivo della nostra intelligence e dei servizi collegati anche prevedendo una progressiva armonizzazione reciproca delle rispettive garanzia funzionali nel comparto della sicurezza nazionale cibernetica. Il Governo ha il dovere della chiarezza verso le imprese e non può se non in casi di grave emergenza interferire con test generalizzati quando i processi sono già in corso, salvo durante le crisi oppure svolgendo per verificare la resilienza dei sistemi controlli ex post di sorpresa a campione. Il meccanismo pertanto dovrebbe essere semplificato al massimo. La parola chiave è prevenire. Il Governo sulla base degli input delle Agenzie e dei suoi frequenti aggiornamenti deve indicare ex ante direttive, standard e divieti. Come già accennato non solo tenendo conto degli alert che emergono non solo in sede multilaterale NATO e UE, ma anche da reciproci scambi informativi bilaterali con paesi amici e/o alleati nonché da quanto emerge nella comunità scientifica.
Molti commentatori hanno sottolineato che questo primo provvedimento legislativo arriva con dieci anni di ritardo. E’ vero. Tuttavia in dieci anni quasi tutto è cambiato e non è difficile un catch up che consenta di recuperare il tempo perduto. L’ importante però è partire con il piede giusto, altrimenti l’esito della prima legge italiana in materia di cyber security risponderà alla logica che il Principe Tomasi di Lampedusa descrive magistralmente ne Il Gattopardo: “tutto cambi perché niente cambi” (a favore dei soliti ignoti).
