Il Dl cybersicurezza n.82/2021 è legge, uscito il 4 agosto in Gazzetta Ufficiale, varando l‘Agenzia Nazionale per la cybersecurity.
Già solo indicando il timing che ha portato all’approvazione del Dl e soprattutto a seguito di quanto stiamo vivendo con l’attacco cyber ransomware contro il CED della Regione Lazio che (tra l’altro) ha mandato in tilt il sistema di prenotazione vaccini, emerge un aspetto fondamentale: correre è necessario, con la cyber security.
Il 28 luglio infatti la Camera dei Deputati aveva approvato il DL con 388 sì, un solo voto contrario e 35 astenuti, già il 3 agosto anche il Senato ha dato l’ok ed è bastato un giorno per la Gazzetta.
Dieci anni perduti per la cyber italiana
Agenzia per la cyber security, una svolta per l’Italia digitale: ma ora lavorare sulle competenze
Correre, sì: finalmente. Sono 10 anni che si discute del tema della cybersecurity in Italia ma lasciatemi dire “ci siamo dovuti trovare con l’acqua alla gola” per comprendere che tutto il Paese si trova in una condizione di vulnerabilità informatica che interessa tanto e soprattutto il settore delle PA ma allo stesso tempo anche quello delle aziende private. Secondo il Rapporto Mid Year 2021 del CheckPoint Research nella prima metà del 2021, nei Paesi EMEA, la percentuale di cyber attacchi settimanali contro le organizzazioni è aumentata del 36% rispetto al 2020.
Non sono passate inascoltate le parole del Ministro per l’Innovazione tecnologica e la transizione digitale, Vittorio Colao che all’inizio di giugno aveva messo in guardia circa la capacità di resilienza delle PA, indicando una cifra che a rileggerla ora, dopo quanto stiamo vivendo in queste ore in termini di cybersecurity, fa ancora più paura “circa il 95% delle infrastrutture della Pubblica Amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati”.
La pandemia di COVID-19 ed il ricorso sempre più massiccio allo smart working ci hanno fatto riscoprire, come Europa e come Italia, l’importanza della sicurezza cibernetica in un contesto geopolitico nel quale grandi potenze estere, che nulla hanno a che vedere con sistemi democratici, non esitano ad usare hacker, propaganda e disinformazione per sottrarre informazioni preziose, dati sensibili (come quelli sanitari) o seminare dubbi sull’efficacia di determinati strumenti, come i vaccini, o in modo più generale sul modello democratico occidentale.
Lo stesso contesto geopolitico nel quale tecnologie come quella di Pegasus aprono la strada a forme di controllo attuate non in nome dell’unico principio possibile, quello della sicurezza, ma in violazione dei diritti umani perché ad esso sono ricorsi regimi illiberali che si oppongono ai diritti civili per sorvegliare avversari politici, giornalisti dissidenti, capi di governo stranieri dunque, di nuovo, mettendo a repentaglio i principi fondamentali sui quali sono costruite le nostre democrazie.
Quanto sta avvenendo in queste ore contro il Centro Elaborazione Dati (CED) della Regione Lazio è un fatto grave. Non solo, ma quello che spaventa è che nelle stesse ore, altre eccellenti vittime italiane risultano essere state compromesse come riportato nell’articolo del Corriere della Sera del 4 agosto di Fiorenza Sarzanini.
Come COPASIR abbiamo avviato sin dal primo istante le dovute indagini tramite l’audizione del Ministro dell’Interno, Luciana Lamorgese e del Direttore del Dis, Elisabetta Belloni. Questo approccio identifica, o meglio anticipa, quello che sarà da qui ai prossimi anni il rapporto nel settore sicurezza dell’Italia tra l’intelligence e la cybersecurity: un gioco di squadra tra cyber-defence; cyber-inteligence e la prevenzione e repressione dei reati (di competenza delle Forze di polizia).
I numeri degli attacchi cyber
Secondo il Rapporto Clusit, “dal punto di vista quantitativo, la crescita degli attacchi gravi di pubblico dominio nel triennio 2018- 2020 (anno della pandemia) è stata del 20% (da 1.552 a 1.871). Nel triennio 2015-2017 era stata “solo” del +11% (da 873 a 1.127), ovvero nell’ultimo triennio il tasso di crescita del numero di attacchi gravi è quasi raddoppiato rispetto al triennio precedente.
Allo stesso modo, anche dal punto di vista qualitativo, è peggiorata la cosiddetta “severity” degli attacchi, fattore questo che ha agito come moltiplicatore dei danni. Sempre secondo il Rapporto Clusit, sono stati registrati in media 156 attacchi gravi al mese – sono stati 139 nel 2019. E proprio relativamente a questo aspetto, non c’è da stupirsi se gli attacchi cosiddetti ransomware (rispetto al “banale” phishing) siano più che triplicati nel 2020 colpendo aziende sempre più grandi e strutturate.
Questo è avvenuto perché ad evolversi è stata anche la tecnica di attacco ransomware, non più basata sulla doppia estorsione, bensì sulla tripla estorsione e dunque, in aggiunta al furto dei dati e la minaccia del pagamento del riscatto se non si vogliono i dati esfiltrati anche pubblicati nel dark web gli attori malevoli estendono la richiesta del pagamento anche a terze parti e dunque clienti o partner economici delle vittime stesse per guadagnare così più denaro dai loro attacchi.
La legge 82/2021 sulla cyber security: che succede ora
E arriviamo al Dl 82/2021 che abbiamo approvato, anche alla luce la centralità che la sicurezza cibernetica occupa nell’ambito del PNRR e della NATO. Ricordo che a Bruxelles, nel corso del G7, Biden ha espresso la volontà di estendere l’articolo 5 dell’Alleanza atlantica, ossia il dovere di mutua difesa, agli attacchi informatici alle nostre infrastrutture critiche (stessa cosa ribadita anche dal Presidente COPASIR, Adolfo Urso).
Punti che avvalorano la tesi che bisogna correre.
Il ritardo nella realizzazione di questo tipo di soggetto giuridico, distinto dall’intelligence ed in grado di creare quell’humus necessario ad affermare una cultura digitale, è l’elemento più urgente che impatta proprio sulla istituenda Agenzia.
Mentre Paesi come Germania e Francia, si sono dotati per tempo di strutture analoghe (la Germania nel 1991; la Francia nel 2009) noi invece arriviamo a danno ormai fatto alla strutturazione dell’Agenzia per la cybersecurrity nazionale (Acn). Al momento poi solo a livello teorico, manca ancora la sua definizione pratica.
E questo è di per sé un paradosso perché uno dei principi fondanti la cybersecurity nonché principio fondante dell’attuale Acn, non deve essere quello di intervenire post, ma farlo pre, sapendo appunto prevenire eventuali azioni malevole.
Non a caso il Sottosegretario alla Sicurezza Franco Gabrielli, ha giustamente utilizzato come metafora per spiegare l’Acn, il sistema di sicurezza che ognuno di noi utilizza nelle proprie case per difendersi dai ladri. E non a caso, sottolineerei, sempre lo stesso Sottosegretario ha opportunamente utilizzato distintamente i termini “safety” e “security” per spiegare la funzionalità di questa Agenzia.
Il gap digitale in cui si trova il nostro Paese è una condizione che nasce da errori commessi per anni e basati su una sottovalutazione dell’importanza del problema, in parte per mancanza di conoscenza e formazione di una cultura digitale, in parte per una mancanza di fondi o meglio per una loro allocazione inefficace.
Il ruolo dell’Agenzia nazionale per la cybersecurity
Per quel che riguarda quest’ultimo aspetto, oltre ai 620 milioni previsti dal PNRR per la dimensione della cybersecurity, l’Agenzia avrà una disponibilità economica di 527 milioni dal 2021-2027 tramite un fondo ad hoc che sarà gestito dal Ministero dell’economia e finanza.
Per quel che riguarda la formazione, ai sensi dell’art.7 del decreto che disciplina le funzioni dell’Agenzia per la cybersicurezza nazionale si afferma che “l’Agenzia sarà tenuta a promuovere la formazione, la crescita tecnico-professionale e la qualificazione delle risorse umane nel campo della cybersicurezza, anche attraverso l’assegnazione di borse di studio, di dottorato e assegni di ricerca, sulla base di apposite convenzioni con soggetti pubblici e privati”.
Ebbene la istituenda Agenzia, incardinata nella Presidenza del Consiglio, avrà il compito di fornire all’Italia una vera e propria cyber-resilienza, parola che ci piace tanto!
Ma proprio in merito al citato art.7 – che si può affermare essere il cuore del decreto in quanto definisce il modus operandi dell’Agenzia– ritengo necessario fare due valutazioni.
La prima riguarda la possibilità dell’Agenzia di svolgere il ruolo di certificatore di prodotti di cybersecurity (art.7, co.1 lettera e). L’Agenzia infatti, assorbendo le competenze del MISE e del Centro nazionale di valutazione e certificazione sarà il guardiano che deciderà quali saranno i prodotti – ma soprattutto i produttori – di cybersecurity in Italia.
Il problema che scaturisce riguarda però la proprietà di questi prodotti, le cosiddette licenze (problematica che investe anche il settore delle BigPharma). Ebbene, nell’articolato non c’è alcun riferimento alla necessità di privilegiare prodotti, software o sistemi “open source” rispetto a modelli industriali basati su software-as-a-service e sul controllo a distanza dell’attivazione degli stessi.
Sarà importante in tal senso, privilegiare modelli di proprietà intellettuali “liberi” sia per evitare qualsiasi forma di “ricatto” o comunque “vincolo” dall’esterno; ma soprattutto (ancora più importante) per sviluppare quell’autonomia digitale nazionale che permetterà all’Italia di competere a livello internazionale nel mercato della cybersecurity;
La seconda considerazione riguarda l’interazione tra l’Acn ed il Garante dei dati personali (art.7 co.5). Secondo l’articolato, l’Agenzia sarebbe tenuta a “consultare il Garante per le finalità di cui al presente decreto” dunque per ambiti che sono di esclusiva pertinenza dell’esecutivo. Ebbene sottoporre la sicurezza nazionale ad un ulteriore controllo, oltretutto non obbligatorio, potrebbe essere potenzialmente fonte di ritardi. E vorrei sottolineare quanto sia invece fondamentale evitare assolutamente, specie in questo ambito, qualsiasi forma di lentezza o moltiplicazione di passaggi che potrebbe rallentare qualsiasi azione futura.
Agenzia cybersecurity, Pagani (PD): “Bene ma restano nodi da affrontare, eccoli”
Conclusioni
A parte le citate valutazioni per le quali sarebbe opportuna un’analisi più approfondita, ritengo che tale Agenzia rappresenti un ottimo passo in avanti in quell’ambito nel quale l’Italia fatica ad eccellere, quello della sovranità digitale. Grazie al lavoro posto in essere dal Governo e dal Parlamento (in particolare la I e IX Commissione parlamentare) abbiamo costruito quell’ultimo tassello che contribuirà alla sicurezza nazionale, in modo costruttivo, formativo e democratico.
Costruttivo: perché la distinzione procedurale tra “intelligence” e “cybersecurity” è finalizzata all’ottimo funzionamento tanto dell’Agenzia e degli organismi previsti quanto delle strutture già esistenti – Dis; Aise e Aisi. Distinti ma uniti nel lavorare in maniera compatta, tanto a livello nazionale quanto anche a livello europeo (l’Acn svolgerà il ruolo di raccordo con lo European Cybersecurity Competence Centre – Eccc a Bucarest – aspetto che ho avuto modo di approfondire in qualità di Presidente dell’Unione Interparlamentare Italia-Romania con l’Ambasciatore designato a Bucarest, Alfredo Durante Mangoni).
Formativo: perché sempre ai sensi dell’art.7 del Dl Cybersicurezza e degli emendamenti approvati sarà compito dell’Agenzia, tramite una collaborazione tra pubblico-privato, favorire l’affermazione di un mindset per la formazione nella cybersecurity tramite la creazione dei cosiddetti parchi cyber sullo modello israeliano di Beer Sheva, ossia “aree dedicate allo sviluppo dell’innovazione finalizzate a favorire la formazione e il reclutamento di personale nei settori avanzati dello sviluppo della cibersicurezza, nonché promuovere la realizzazione di studi di fattibilità e di analisi valutative finalizzate a tale scopo”.
Democratico: perché sarà centrale il ruolo del Parlamento, tramite l’azione del COPASIR e delle Commissioni parlamentari competenti, le cui funzioni sono state notevolmente rafforzate.
Non solo, ma con riferimento all’allarme lanciato dal Ministro Colao, spetterà all’Agenzia occuparsi anche della “qualificazione dei servizi cloud per la pubblica amministrazione”. Di fatti, l’imperativo rimane quello di correre ma accanto ad esso ci tengo ad aggiungere la necessità, non più prorogabile, di applicare la strategia per la realizzazione del Cloud nazionale al fine di difendere i nostri dati sensibili da ingerenze esterne.
Il controllo dei dati sensibili è la nuova vera ricchezza di ciascun Paese. Lo diceva nel 2011 Paolo Savona, lo voglio ripetere qui e lo ripeterò nelle sedi competenti: l’intelligence economica è e deve essere la vera frontiera sulla quale concentrare i massimi sforzi, per difendere quelle attività economiche considerate strategiche per lo Stato ed oggetto di attacchi speculativi. Per farlo è necessario modificare la 124/2007 per introdurre al suo interno proprio questa voce.
Ampliamento del perimetro di sicurezza nazionale cibernetica: ecco i settori di attività
