Il Perimetro di Sicurezza cibernetica nazionale è il nostro fiore all’occhiello, ma si sta attuando – ipotizzo, ben oltre le intenzioni dei
proponenti- come un complesso normativo molto corposo. E’ un progetto che parte da lontano e mira ad aumentare il livello di protezione delle nostre circa 100 aziende e organizzazioni che rientrano tra le infrastrutture critiche. E’ stata intrapresa una strada prescrittiva
uniforme che non può tener conto dell’estrema eterogeneità dei destinatari.
Differenze tra pubblico e privato
Probabilmente, non c’erano alternative, tuttavia mi sarei atteso almeno una distinzione tra aziende private e organizzazioni pubbliche. Conoscendo le une e le altre, posso dire che tutte le aziende sono estremamente consapevoli del problema cyber da tempo, la stragrande maggioranza ha già effettuato enormi investimenti in termini di tecnologie, di competenze tecniche e di manager, e ha raggiunto un livello di sicurezza non inferiore a quello di analoghe aziende europee.
Al contrario, le organizzazioni pubbliche sono, in genere, molto più indietro, come conferma una stima riferita dal ministro Vittorio Colao all’innovazione.
Potrei scommettere, con buona probabilità di vittoria, che nessuna di loro abbia ancora raggiunto il livello standard o avanzato delle Misure Minime di sicurezza ICT per le pubbliche amministrazioni dell’AGID quindi il salto verso il Perimetro cibernetico non sarà indolore.
Non per colpa loro, ma tali livelli si possono raggiungere con significativi investimenti non solo in tecnologie ma soprattutto in persone competenti. Lo Stato non potrà sanzionare se stesso se non offrirà a tali amministrazioni strumenti adeguati per mettersi in regola. Rischiano di nascere pericolosi contenziosi su di un tema estremamente delicato per il Paese.
Verso il Perimetro di Sicurezza Nazionale Cibernetica: impatti su imprese e PA
Le 100 infrastrutture critiche rappresentano una quota importante del PIL italiano, ma non dobbiamo dimenticare che in Italia vi sono più di 4
milioni di imprese, di cui circa 2mila fatturano più di 1 miliardo di euro all’anno. Tutte sono potenziali obiettivi e purtroppo molte hanno
sperimentato le conseguenze di un attacco informatico con conseguente blocco delle attività e operai in cassa integrazione. Anche loro
dovranno migliorare e di molto la loro postura di sicurezza.
Dal Governo serve supporto positivo
Auspico che il Goveno adotti un modello di rinforzo positivo più che prescrittivo e sanzionatorio. Suggerirei un’impostazione incentivante sulla falsariga del piano Calenda relativo all’Industria 4.0. E’ stato giusto aumentare il numero di aziende in rete con tanti processi e dati digitali da gestire, ma adesso bisogna renderle molto più sicure; in realtà, anche prima, ma l’importante è partire.
Non saprei dire se i ritardi della digitalizzazione della PA siano dovuti a mancati investimenti sul piano tecnologico o su quello delle
competenze. Sono passati quasi trent’anni dall’istituzione della prima Authority per l’informatica nella pubblica amministrazione (AIPA); il
mondo è cambiato, ma molti dei problemi sul tavolo sono analoghi. Penso che anche dopo tanti dibattiti, analisi, sentenze della Corte dei Conti, sia arrivato il momento di agire sia sul piano degli investimenti tecnologici sia su quelle delle risorse umane perché o procedono insieme
o non procedono. Possiamo avere interconnessioni a banda larghissima e meravigliosi data center, ma cosa ci facciamo?
Bisogna investire molto di più sulle risorse umane comprendendo i tre livelli: tecnici competenti, personale in grado di sfruttare le
tecnologie digitali, ma anche manager che sappiano gestire tale trasformazione nei processi. Purtroppo, sappiamo che le spese in
tecnologia sono preferibili perché immediatamente visibili e rendicontabili; gli investimenti in risorse umane, al contrario, sono a
lungo termine e meno visibili.
Ho usato i termini “spesa” e “investimento” con la consapevolezza della relativa semantica.
