L’approvazione all’unanimità, alla Camera dei Deputati, del provvedimento che istituisce la nuova Agenzia Nazionale per la Cybersecurity, va salutato con soddisfazione ed orgoglio. Finalmente questo strumento normativo permette al nostro Paese di attrezzarsi per fronteggiare con la necessaria efficacia la minaccia cyber, che grava sulla sicurezza e sulla vita di tutti i cittadini, delle istituzioni e del sistema economico.
Perché importante ma tardivo il via libera all’Agenzia Nazionale per la Cybersecurity
Chiunque abbia una conoscenza rudimentale di questa materia sa benissimo che si tratta di un provvedimento importante e tardivo, perché si è discusso tanto ed a vuoto, perdendo tempo e portando l’Italia ad essere l’ultimo grande Paese che si dota di strumenti specifici adeguati ad affrontare la minaccia cyber.
La guerra cibernetica nell’età ibrida: tecnologie, strategie e priorità
Basta questa ragione a giustificare l’iniziativa governativa e la decretazione di urgenza, essendo l’aumento e la pericolosità degli attacchi informatici, noto a tutti ed evidente a chiunque.
I nodi aperti sulla legge per l’Agenzia cybersecurity
Tuttavia non si può nascondere che la decretazione d’urgenza ha dei limiti intrinsechi e lascia irrisolto qualche nodo, che il Parlamento dovrà affrontare in un secondo momento. Metterli ora in luce non sminuisce minimamente l’importanza strategica del risultato raggiunto, ma permette di inquadrare e definire già da ora il piano d lavoro sul quale dovrà focalizzarsi l’attenzione del Parlamento nelle fasi successive. Le contraddizioni che dovranno essere risolte derivano fondamentalmente dal fatto che la nuova normativa posta in essere con la conversione di questo decreto incide indirettamente sulle prerogative regolate dalla legge 124 del 2007, che è la legge che norma il sistema di informazione per la sicurezza della Repubblica e disciplina il segreto di Stato.
Bisogna aver chiaro che si tratta di una legge speciale, approvata dal parlamento, maggioranza ed opposizione, dopo una discussione serie e proficua che durò qualche anno. Giustamente il Governo non ha ritenuto opportuno intervenire con un decreto direttamente sull’articolato di quella legge, ma ci sono indirettamente alcuni elementi di contraddizione. La nuova agenzia nazionale per la cyber sicurezza non è un’agenzia di intelligence, non rientra di conseguenza nel comparto della sicurezza nazionale, ma è posta alle dirette dipendenze del Capo del Governo, che può avvalersi dall’autorità delegata prevista dalla 124, che in questo modo assume un compito e delle competenze (e poteri) nuovi, precedentemente non contemplati dall’ordinamento.
Anche il controllo parlamentare del Copasir, previsto per le attività di competenza, incide sui compiti e funzioni di un organismo istituito e normato dalla 124, che però non può esaurire la funzione di controllo parlamentare, perché l’attività dell’agenzia avrà certamente attinenza con i compiti di altre commissioni parlamentari (trasporti, attività produttive, difesa, esteri, affari costituzionali ecc).
Sarà necessario definire con più precisione, con decreti attuativi, le modalità e le tempistiche con le quali verrà esercitato il controllo parlamentare sull’attività e sui programmi dell’agenzia.
Inoltre il comitato interministeriale per la Cybersecurty (CIC) di riferimento dell’agenzia, non coincide con il perimetro del CISR (comitato interministeriale per la sicurezza della repubblica), ma lo “contiene”, se così si può dire (nel senso che tutti i ministri del CISR sono anche nel CIC).
Riformare l’impianto normativo
Queste contraddizioni suggeriscono una riflessione sull’impianto della 124, scritta prima che si palesasse la necessità e l’urgenza di strutturare un’agenzia dedicata alla Cybersecurty.
Resta da definire inoltre la modalità di relazione tra l’attività della nuova Agenzia e la cyber intelligence delle agenzie Aisi ed Aise, i cui operatori sono gli unici che possono operare coperti dalle garanzie funzionali previsto dalla legge 124, e dal nostro ordinamento nel complesso.
La deterrenza può essere garantita solo dalla capacità di risposta, che è essenziale per la sicurezza nazionale, è impensabile che sia svolta da soggetti diversi da quelli preposti alla sicurezza nazionale o alla Difesa, tuttavia essi dovranno operare in maniera sinergica e coordinata tra di loro e con la nuova agenzia.
Infine resta da definire con precisione la modalità con le aziende nazionali potranno partecipare ai programmi pubblici di acquisizione di tecnologie e strumenti informatici, soprattutto in ambito software, per accrescere la capacità dell’industria nazionale di innovazione, ricerca e sviluppo.
ll procurement militare, che consente di sviluppare programmi a lungo termine, potrebbe essere un modello a cui ispirarsi. Per non inciampare nelle regole previste dal codice degli appalti e adottare modalità di co-progettazione e produzione pubblico-privato la nuova agenzia dovrebbe usare art 65 (Parternariato per l’innovazione), e fare ricorso, davvero in casi limitati ed eccezionali, all’art.162 (contratti segretati).
Credo che questo sia un punto di incredibile forza: coordinare Agenzia, imprese, ricerca, università. Per farlo bene serve, a mio parere, un supplemento di approfondimento tecnico ed amministrativo.
L’Italia verso l’Agenzia per la cybersicurezza nazionale: i nodi da sciogliere subito
