Il comparto della sicurezza nel nostro paese è stato interessato, nelle scorse settimane, da un significativo dibattito attorno ad alcune questioni rilevanti, che vanno dalla proposta di creazione di uno specifico Istituto (Fondazione) per la Cybersecurity fino all’aggiornamento (o alla riforma che dir si voglia) della legge che presidia l’intero comparto, la legge 124 del 2007.
Il dibattito sulla riforma cyber italiana
L’estrema genericità delle finalità della Fondazione, unita alla previsione normativa esplicita di privativa esclusiva del comparto sicurezza in capo a Dis, AISI ed AISE (con il primo in funzioni di coordinamento e le agenzie in funzione operativa), ha determinato una significativa tensione nel dibattito pubblico e tra le forze politiche.
Il punto di caduta finale è certamente condivisibile: mettere insieme le migliori intelligenze del Paese, nel campo della sicurezza cibernetica, al fine di proporre soluzioni avanzate è un elemento pacifico sul quale tutti concordano.
Il punto è se questa sia una attività di natura consultiva, scientifica oppure operativa. E’ un punto che non è stato sciolto, e che ha determinato le problematiche sin qui insorte, perché appare indubbio che ogni attività di natura operativa condotta sul versante della sicurezza nazionale deve rimanere appannaggio del settore pubblico, con il suo delicato meccanismo di “check and balance”.
Come fanno Germania e USA
Per rimanere ad esempi di paesi simili al nostro, in Germania la neonata Agenzia federale per la sicurezza cibernetica del Paese è una struttura pubblica, che agisce direttamente sotto l’egida dei ministeri della difesa e dell’interno ed è vigilata dal Parlamento con il compito di sviluppare nuove tecnologie per la difesa delle infrastrutture digitale tedesche dai cyberattacchi.
Negli Stati Uniti, un’agenzia simile a questa la si ritrova nella “Defense Advanced Resarch Projects Agency” (Darpa), che si affianca ad una fondazione no profit come il Mitre che non ha funzioni operative ma solo consulenziali.
L’urgenza del tema cyber
Che ci sia la necessità di presidiare il tema, e di agire nel settore, non ci piove.
Le intrusioni cyber con finalità di spionaggio, in Italia, non sono una fantasia da romanziere o una invenzione da film di Netflix.
Esse, così come rilevato dalle relazioni di cui il Parlamento dispone, sono una realtà in costante aumento, con una particolare individuazione di bersagli tra le realtà istituzionali e industriali.
Oltre al comparto della difesa, terreno “tradizionale” del confronto-scontro cibernetico, sono anche altri i settori strategici ai quali sono legate attività di carattere indispensabili per la garanzia dei servizi vitali e degli standard di vita della nostra collettività. Oggi vanno messi anzitutto in protezione tali settori, che spaziano dalle telecomunicazioni (con relative reti) sia terrestri che mobili, ai trasporti, all’energia, alle infrastrutture.
Cercando di tenere gli occhi aperti su ciò che accade nella dinamica geopolitica attorno a noi, e nell’organizzazione interna alle entità statuali con le quali siamo chiamati a relazionarci.
E’ un dato, infatti, che in diversi paesi le attività e le componenti cyber vengono utilizzate soprattutto nella fase iniziale di operazioni ostili per attività di spionaggio industriale tradizionale o per monitoraggio di imprese fornitrici o per verifica di persone fisiche con finalità di reclutamento.
Questo viene fatto in funzione di favorire l’acquisizione di asset industriali, tecnologici e finanziari di rilevanza strategica, dentro il quadro delle cosiddette “minacce ibride” che già la relazione al Parlamento sull’attività dei servizi del 2018 aveva fatto emergere con particolare chiarezza e forza.
I fatti che si sono succeduti non hanno fatto altro che confermare tali aspetti, e questo tipo di preoccupazioni.
Si pensi, ad esempio, alla situazione della Repubblica Popolare Cinese che sull’onda della vicenda di Hong Kong ha definito un “set” normativo fatto di quattro leggi (sicurezza nazionale, cybersecurity, crittografia e controspionaggio) che rendono obbligatorio per qualunque cittadino cinese, a qualsiasi latitudine si trovi, attivare l’esfiltrazione di dati su richiesta dell’autorità politica e fornire tutte le informazioni di cui dispongono alla medesima.
Appare evidente che su queste basi, la nostra sicurezza informativa sia decisamente messa in discussione, e il perimetro cyber sia un ambito ideale per perseguire finalità extraeconomiche che non sono compatibili con il nostro sistema di valori, con le nostre legislazioni e con la stessa natura di società aperta che ci appartiene (e che vogliamo salvaguardare e preservare).
Il caso cinese è sicuramente quello scolastico ed emblematico, ma sarebbe fazioso e non utile sottacere il fatto che il mondo cyber è stato utilizzato -ed è utilizzato- anche in Paesi alleati, nei quali per finalità di acquisizioni industriali, di politiche dei brevetti, di acquisizione di know how si fa impiego di questo tipo di attività.
Del resto, la nascita del nuovo, globale conglomerato industriale che risponde al nome di “Stellantis” e che trova sotto lo stesso tetto sia il capitalismo classico e familiare sia il capitalismo di Stato di entità statuali straniere (Francia e Cina) apre a nuovi scenari e a nuove prospettive anche sotto questo profilo.
Abbandonare le polemiche politiche sulla cyber: ecco che serve
Abbiamo quindi bisogno di abbandonare le polemiche politiche attorno a questo tema, e superare anche modalità quanto meno singolari con le quali sono state messe sul tavolo soluzioni di privatizzazione di un pezzo del comparto di intelligence per allestire una necessaria modernizzazione del Paese sul tema della cybersecurity.
Ciò di cui abbiamo bisogno è la necessità di investire nella sicurezza cibernetica e nell’intelligence economica, sapendo che sono due facce di un’unica medaglia e avendo bene in mente che gli attacchi cibernetici esistono perchè dietro di essi vi è una strategia da parte di chi li conduce. Decrittarla, conoscerla e definirla è la condizione essenziale per poi attivare il dato tecnico della cybersecurity.
Investimenti nella cyber
Per questo va colta in termini positivi la disponibilità di risorse pubbliche – di cui si è accennato nel dibattito sul Recovery Fund- da investire nel campo della sicurezza, se essa si traduce in un forte investimento su DIS, AISI e AISE -nell’ambito delle prerogative sancite dalla 124/07- per costruire un forte e moderno sistema di intelligence economica, capace di allestire un sistema-Paese all’altezza dell’odierna competizione internazionale globale e in raccordo con un perimetro di cybersecurity adeguato alle necessità di oggi e di domani.
Una nuova legge
E qui veniamo al versante della legge. Appare evidente che qualunque tipo di scelta si debbia compiere in ordine agli strumenti, sia il veicolo legislativo ordinario – escludendo fughe in avanti inopportune con strumenti impropri come la decretazione d’urgenza o leggi speciali legate al Recovery Plan- la sede opportuna e propria nella quale far convogliare una modernizzazione del sistema di sicurezza.
Non vi è dubbio che l’impianto strutturale dell’intelligence abbia una logica che oggi mostra alcune incongruenze, come ad esempio la separazione interno-esterno, da cui derivano possibili inefficienze o eventuali sovrapposizioni.
Così come abbiamo bisogno di superare visioni ancora troppo burocratiche e formali, per affrontare con determinazione la sfida sul piano economico e la declinazione di misure di carattere operativo e organizzativo flessibili e moderne.
Per aggiornare l’intelligence, è comunque necessario un confronto con il comparto degli operatori e con le altre forze politiche, che noi Democratici faremo quanto prima per poi depositare la nostra proposta di legge PD.
Riforma della legge sull’intelligence, il PD accelera: ecco le parti in campo
