La “relazione sulla politica dell’Informazione per la Sicurezza – 2013”, presentata ieri in Parlamento dalla Presidenza del Consiglio (Sistema di Informazione per la Sicurezza della Repubblica) per la prima volta pone al primo posto la Minaccia Cyber. Questa attenzione è in linea con la serie di iniziative avviate dal Governo già a partire dal 2012, anno nel quale è stato predisposto il modello di Governo presentato nel DPCM del 24/1/2013 e seguito dalla recente pubblicazione del Quadro Strategico e dal Piano Nazionale di Sicurezza del Cyber Space.
Fino ad oggi l’attenzione è stata focalizzata sulle Infrastrutture Critiche, ma per la prima volta il rapporto evidenzia come la minaccia sia insidiosa per l’intero sistema economico del paese. Era ora che si affrontasse il tema della Cyber Security da una prospettiva più ampia e strategica, valutando nel proprio insieme i rischi e gli effetti. Sebbene le Infrastrutture Critiche debbano rimanere un obiettivo importante del piano di protezione nazionale, è pur vero che l’Italia vanta una delle più alte percentuali in Europa di PIL prodotto da aziende medie, piccole e micro-aziende, le quali detengono un patrimonio in termini di know-how.
Ed è proprio questo know-how ad essere a rischio, come descrive la relazione. Per due motivi:
1) Vi è in grande numero di attori interessati ad appropriarsi di know-how attraverso l’uso di strumenti Cyber
2) Le piccole e medie imprese sono di gran lunga meno protette delle grandi aziende, di conseguenza la sottrazione di know-how avviene in modo più semplice e invisible.
Paragono spesso questo fenomeno all’”avvelenamento da monossido di carbonio”: è una minaccia silente, che non si vede, ma letale. Le aziende italiane vivono grazie ai brevetti, all’innovazione al design. Un passaggio di questa conoscenza verso altri paesi crea progressivamente un indebolimento strutturale del nostro sistema economico, portando a progressive perdite di PIL.
Il grande problema è che ad oggi in Italia non vi sono numeri che dimostrino il reale danno provocato al nostro sistema-paese da questo tipo di minaccia. Il danno annuale stimato dal TNO, il centro studi e ricerche della difesa Olandese, ammonta a più di un punto percentuale di PIL. Non vi sono razionali per ipotizzare che questo numero in Italia sia inferiore. Tutt’altro: la minor protezione delle nostre aziende e la minore preparazione da parte dello stato di fronteggiare queste minacce lascia presumere che il numero possa essere tra l’uno e i due punti di PIL.
Stiamo parlando di cifre astronomiche: tra i 20 ed i 40 miliardi l’anno! E’ proprio sula base di questi numeri che altri governi hanno stanziato cifre ingenti a supporto della Strategia Nazionale di Cyber Security. Il Governo Italiano, nonostante tutta l’attenzione data al tema non ha ancora stanziato nulla a supporto della realizzazione del Piano Nazionale di Sicurezza. Non è pensabile che questa responsabilità possa essere lasciata esclusivamente a carico delle aziende. Esiste un rischio paese che deve essere affrontato dallo Stato, fornendo una guida estremamente chiara e determinata nei confronti del pubblico e del privato.
Se è vero che il futuro del nostro paese è legato all’Agenda Digitale, allora non è pensabile che non si dedichi l’attenzione corretta alle risorse necessarie per proteggerla.
Le azioni che andrebbero intraprese velocemente sono:
1. Creazione dell’Autorità Nazionale NIS – come previsto dal Piano Nazionale (Indirizzo Operativo n. 2 – pag. 20): questa autorità dovrebbe essere a diretto riporto del Primo Ministro, come già avviene in molti paesi avanzati (vedi UK e Israele). Nel caso Italiano, potrebbe essere inserito all’interno della funzione che si occupa di Agenda Digitale.
2. Costituzione di un Comitato Pubblico Privato che veda rappresentanti del Governo, delle Infrastrutture Critiche e delle Associazioni di Categoria che rappresentano le PMI. Tale comitato, sperimentato in molti paesi tra cui gli US, gli UK, l’Olanda e la Spagna, diventerebbe il vero e proprio punto di coordinamento con il settore privato, come più volte indicato nelle 103 azioni del Piano nazionale
3. Destinazione di un budget a supporto del piano nazionale di Cyber Security.
