Il testo di legge di conversione del decreto sull’Agenzia per la Cybersicurezza Nazionale (ACN) è attualmente all’esame delle commissioni riunite di Affari costituzionali e Trasporti della Camera che hanno svolto audizioni preliminari del Sottosegretario Franco Gabrielli, nonché di rappresentanti delle Istituzioni ed esperti di sicurezza informatica. L’attenzione delle audizioni si è concentrata su aspetti positivi e criticità del testo, in particolare riguardo alle funzioni e alle competenze demandate alla neonata Agenzia.
Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze
Franco Gabrielli: l’Agenzia una fondamentale necessità
Il primo intervento ha visto la partecipazione dell’ex capo della Polizia Gabrielli, attuale Autorità delegata per la sicurezza della Repubblica, che aveva già presentato l’Agenzia come una fondamentale necessità visto il ritardo accumulato rispetto alle esperienze di altri Stati, quali Germania e Francia, che si sono dotate da tempo di organismi deputati alla cybersecurity nazionale (BSI e ANSSI). All’inizio del suo intervento ha ricordato come al giorno d’oggi qualsiasi soggetto e qualsiasi settore delle nostre società corrano costantemente il rischio di subire attacchi ed interferenze informatiche: dalla manipolazione del flusso di informazioni nella comunicazione fino alla disabilitazione di infrastrutture chiave per il funzionamento della nazione. Proprio in relazione alla sicurezza delle informazioni e delle infrastrutture, Gabrielli ha evidenziato il primo elemento di novità rappresentato dalla nuova Agenzia: essa si propone come il primo baluardo a difesa da qualsiasi tipologia di attacco cibernetico, grazie a conoscenze e abilità specifiche e settoriali. Questa specificazione sarà possibile grazie alla divisione di competenze che il decreto-legge vuole attuare: se prima era il DIS ad occuparsi sia d’intelligence che di qualsiasi aspetto della criminalità informatica, adesso si vuole rendere ogni ambito specifico e a sé stante. Avremo così, ad esempio, la cyber investigation delegata alla Polizia Postale, la cyber defence alle Forze Armate e l’intelligence impegnata nelle attività di competenza, pur secondo una logica di armonizzazione e consolidamento delle professionalità di ciascun organismo, lasciando all’ACN l’impegno di garantire la resilienza cibernetica.
Anche la risposta agli incidenti sarà graduata in base alla loro gravità e vedrà il coinvolgimento dello CSIRT e del Nucleo Nazionale di Sicurezza Cibernetica, fino ad arrivare al CIC (Comitato Interministeriale per la Cybersicurezza) e al CISR (Comitato Interministeriale per la Sicurezza della Repubblica).
Il decreto, salvo eventuali e probabili emendamenti, prevede già le modalità di organizzazione iniziale delle risorse umane all’interno dell’Agenzia: oltre a lavoratori assunti a tempo indeterminato, vi saranno anche contratti privati e lavoratori con contratti a scadenza, nonché lo stesso personale del DIS. La strategia è quella di puntare su un turnover relativamente frequente, così da avere una workforce costantemente aggiornata e in grado di apportare nuove prospettive, rispecchiando la flessibilità e dinamicità del contesto digitale.
Alle perplessità sollevate dai parlamentari presenti riguardo il futuro ruolo del DIS, il Sottosegretario ha risposto che esso continuerà a funzionare pur seguendo il nuovo schema di competenze, aggiungendo che i rapporti internazionali saranno anch’essi gestiti dalla nuova Agenzia, che con riferimento al rapporto tra pubblico e privato, Gabrielli ha definito come “compagno di strada dell’industria del paese” nei progetti, anche a lungo termine, che riguardano l’autonomia tecnologica dell’Italia.
Il ruolo di coordinamento dell’ACN
Nella mattinata del primo luglio si sono svolte ulteriori audizioni, la prima delle quali di Nunzia Ciardi, Direttrice del servizio di Polizia Postale e delle comunicazioni. Evidenziando le crescenti minacce che possono arrecare danno alle varie componenti della società, quali i ben noti ransomware, ha espresso il proprio apprezzamento per l’introduzione di un’Agenzia in grado di difendere da simili attacchi. Il suo intervento si è concentrato particolarmente sul posizionamento dell’Agenzia che, in virtù della razionalizzazione delle funzioni, può così esprimere una capacità di coordinamento anche rispetto alle altre istituzioni che continueranno ad agire in ruoli diversi rispetto alle minacce cibernetiche. Pur lambendone ruoli e competenze, l’ACN fungerà da snodo tra l’autorità giudiziaria, l’attività di indagine e la sicurezza nazionale cibernetica.
Funzioni e valori dell’Agenzia per la Cybersicurezza Nazionale
A seguire, è stato poi ascoltato Paolo de Rosa, Responsabile dell’Area Tecnica e del Dipartimento per la Trasformazione Digitale della Presidenza del Consiglio, che all’inizio del suo intervento si è soffermato sull’analisi del modello inglese nel quale le sinergie tra aziende, enti ed istituzioni hanno permesso lo sviluppo di strumenti di sicurezza informatica accessibili ed utilizzabili da cittadini ed imprese. Successivamente, de Rosa si è concentrato sulle funzioni dell’Agenzia che, secondo quanto previsto dall’articolo 7 del decreto in esame, includono certificazioni cyber, poteri di gestione della sicurezza in ambito informatico, nonché regolamentari per quanto concerne la gestione di dati e sistemi informatici delle pubbliche amministrazioni. In ultimo, trattando anche del tema del coinvolgimento dei privati all’interno delle funzioni dell’Agenzia, de Rosa ha definito quale funzione di massimo rilievo quella di permettere l’indipendenza del Paese nel prossimo futuro dal punto di vista tecnologico ed industriale.
Hanno preso poi parola Eleonora Faina e Giorgio Mosca, rispettivamente Direttrice generale di Anitec-Assinform e Coordinatore del Comitato Direttivo sulla Cyber Security. Nel loro intervento hanno posto l’accento sul valore dell’Agenzia in rapporto alla digitalizzazione del settore produttivo, in quanto punto di contatto per definire le necessità dell’industria e come riferimento per linee guida fondamentali che ciascuna azienda dovrebbe seguire per raggiungere standard di difesa cibernetica adeguati, nonché garantire un’efficiente erogazione dei servizi. Inoltre, viene ribadita la disponibilità del settore industriale a collaborare con l’Agenzia e contribuire alle sue attività, mettendo a disposizione le proprie competenze.
Le criticità
L’intervento del Generale Umberto Rapetto si è, invece, posto in controtendenza con le voci che lo hanno preceduto: criticando molte delle previsioni del decreto-legge, ha prospettato il rischio che l’Agenzia sia destinata a produrre conflitti e laboriose dinamiche amministrative, in contrasto col suo reale obiettivo. Ha poi aggiunto che il nuovo assetto prevede troppi soggetti a scapito delle competenze esecutive, senza dunque risolvere le inefficienze strutturali del precedente sistema. Ha inoltre espresso perplessità sull’adozione di modelli ispirati al settore privato la cui applicazione lascerebbe più ombre che luci, portando numerosi esempi di carenze dal punto di vista della sicurezza informatica rilevate in tali ambiti.
Le audizioni sono continuate con Massimo Ravenna, responsabile della cybersecurity del Gruppo Acea, che si è concentrato su alcune proposte sul tema delle competenze professionali, dunque sul rapporto tra soggetti pubblici e privati. In primo luogo, è stata auspicata la creazione di strumenti giuslavoristici, utilizzabili sia dal pubblico che dal privato, in grado di incentivare l’osmosi di competenze così che l’ente pubblico possa colmare le eventuali lacune operative rispetto al settore privato. In secondo luogo, ha ipotizzato l’introduzione a favore dell’Agenzia di un potere di modifica ed integrazione delle segnalazioni e designazioni degli OSE e degli FSD provenienti dalle Amministrazioni centrali e locali competenti. Riguardo agli operatori e ai fornitori di servizi ha, infine, espresso la necessità di prevedere l’inquadramento delle società finanziarie che abbiano il controllo del potere decisionale sulle aziende fornitrici o erogatrici dei servizi, poiché nello schema attualmente previsto si rischia di danneggiare gli operatori e allo stesso tempo di aprire falle informative con rischi per tutta la collettività.
L’audizione successiva ha accolto l’amministratore delegato di Telsy Eugenio Santagata che, pur notando la perfettibilità dell’intervento normativo, ne ha apprezzato la direzione, ma anche espresso dubbi sulla reale capacità dell’ACN di interfacciarsi con i privati, mancando la previsione di organi, livelli e regole per un’idonea attività di confronto. Si è poi soffermato sull’importanza che deve avere nell’azione dell’Agenzia lo scopo di realizzare un’autonomia tecnologica dello Stato italiano, specialmente in merito ai sistemi di cifratura, anche rispetto a paesi alleati a cui l’Italia si appoggia per la fornitura di tecnologia informatica. Ha infine lodato la capacità di riposta inserita nel testo quale imprescindibile elemento per accrescere le capacità di difesa.
Resilienza e difesa
L’ultima audizione ha visto la partecipazione di Roberto Setola, direttore del Master in Homeland Security presso il Campus Bio-Medico di Roma, che ha evidenziato come il decreto-legge sposti il focus sulla resilienza piuttosto che sulla difesa, ovvero guardando alla capacità di erogazione continua dei servizi e ripristino in caso di attacchi. Ha poi sottolineato il bisogno di far nascere un’industria della cybersicurezza, nonché di promuovere una cultura riguardo la sicurezza informatica, anche tramite corsi di aggiornamento e formazione, nonché forme di sostegno allo studio in cooperazione con le Università, dato che tra le principali cause del buon esito degli attacchi ritroviamo proprio la scarsa preparazione. Ultimo punto di interesse della sua analisi è stato il confronto dell’Agenzia con l’Operation Technology (OT), ovvero quei sistemi in grado di monitorare, controllare e gestire le infrastrutture e le attività di erogazione fisiche. Esse ricoprono, infatti, un’importanza fondamentale in quanto producono effetti direttamente sui cittadini, per cui è auspicabile, dal punto di vista di Setola, uno sviluppo delle competenze multidisciplinare tale da rendere l’Agenzia in grado di gestire al meglio queste tecnologie.
Conclusioni
Le audizioni hanno dunque presentato le criticità che la neonata Agenzia si troverà ad affrontare e le potenzialità che sarà chiamata ad esprimere. Sulla scorta degli elementi controversi evidenziati e delle proposte avanzate dalle personalità partecipanti, le commissioni riunite della Camera dovranno raggiungere un punto di accordo sul testo finale che possa garantire l’auspicata efficienza dell’organo e l’efficacia della sua azione, per la sicurezza digitale e non solo del sistema paese.
