Il termine Agenzia, per la Cyber Security può causare qualche ambiguità interpretativa in quanto anche AISE e AISI sono Agenzie, tuttavia le dichiarazioni di Franco Gabrielli, l’Autorità Delegata Sottosegretario Gabrielli, sono state esplicite.
L’Agenzia cyber deve essere all’interno della Presidenza del Consiglio dei Ministri, ma al di fuori del comparto Intelligence. Quindi non si sta parlando di una terza Agenzia oltre alle due esistenti.
Il motivo è chiaro e condivisibile. Un’Agenzia cyber deve gestire un’operatività quotidiana intensa che solo in casi di attacchi sistemici gravi ha a che fare con le priorità dell’Intelligence.
L’esempio più affine è rappresentato dall’Agenzia per l’Italia Digitale (AgID) che, dai tempi della nobile Authority AIPA, ha svolto un ruolo fondamentale per la digitalizzazione della Pubblica Amministrazione: ottima documentazione, framework da seguire, formazione, ma anche strumenti digitali e un CERT operativo. Suo antico e noto problema è la necessità di potenziare e rendere efficaci le catene di trasmissioni informative e operative dall’AGID verso le pubbliche amministrazioni soprattutto periferiche.
A tutta forza verso un’Agenzia cyber: ecco perché serve all’Italia
L’importanza sottovalutata della cooperazione con i privati
Sarebbe parimenti utile avere un’Agenzia cyber per il mondo privato, a partire dalle infrastrutture critiche che rientrano nel perimetro cyber nazionale, ma con lo stesso spirito collaborativo e non sanzionatorio dell’AGID. Alle nostre grandi imprese va riconosciuto il ruolo di rappresentare il primo baluardo per la difesa del Paese. Inoltre, va considerato che sono indotte a investire in difesa cyber e resilienza IT innanzitutto per i propri interessi di business.
Non ho mai nascosto, dalla prima audizione in Commissione Difesa della Camera, che i DPCM sul perimetro di sicurezza nazionale cibernetica assolutamente necessari e meritevoli da tanti punti di vista, risentissero di un impianto sanzionatorio non condivisibile: addirittura con risvolti penali e con elementi di inversione della prova “inusuali”. In tutto il mondo, è il fornitore che deve certificare e garantire la sicurezza dei propri prodotti, non il cliente. Lo Stato è tenuto a punire il fornitore inadempiente e mendace che vende, ad esempio, un’automobile inquinante oltre i limiti, non il cliente che si avvale di prodotti regolarmente distribuiti sul mercato nazionale.
L’auspicio è che la nuova Agenzia cyber possa ricondurre il tema della sicurezza nazionale privata a un ambito collaborativo pubblico-privato, molto proclamato quanto poco praticato. Gli obiettivi strategici, i confini tattici e operativi della nuova Agenzia cyber sono tutti da delineare, ma la strada individuata dall’Autorità Delegata appare perfetta.
