A 8 anni dal DCPM Monti e a 4 dal DCPM Gentiloni è giunto il momento di verificare a che punto è la sicurezza nazionale in aree cruciali per il futuro: le infrastrutture critiche, le telecomunicazioni, l’universo digitale, le tecnologie di ultima generazione (intelligenza artificiale, cloud computing e communication, robotica avanzata, ecc.).
E, soprattutto è arrivata l’ora di avviare rapidamente un potenziamento operativo delle agenzie di intelligence in linea con la rivoluzione digitale che investe l’intero pianeta e per scongiurare il pericolo che l’Italia diventi l’anello debole dell’Alleanza Atlantica.
Qualsiasi strategia per spendere in tempo e con finalità lungimiranti i 40 miliardi che il Recovery Fund destina al digitale, security by design inclusa, necessita infatti di un supporto informativo di altissima qualità in grado di discernere tra interesse della Nazione e “interessi particolari”.
Vediamo perché, esaminando alcuni dei temi centrali nel contesto dei rapporti fra pandemia, servizi segreti e sicurezza cibernetica.
Pandemia, digitale e sicurezza
Oggi fare il punto sulla situazione italiana è imperativo. La pandemia sta, infatti, costringendo anche il nostro paese ad aumentare l’estensione geografica, la velocità, la potenza e l’intensità dei processi di digitalizzazione nonché l’ammodernamento e la messa in sicurezza delle reti di telecomunicazioni fisse e mobili in tutti i settori della società.
Si conferma, inoltre, la necessità uno scudo efficace per il settore sanitario nonché per la produzione e distribuzione di prodotti farmaceutici con una particolare attenzione ai nuovi vaccini per il Covid19, oggetto di attacchi informatici che si stanno verificando in tutto il mondo e in tutti segmenti della supply chain e della logistica, peraltro particolarmente complessa.
Il tutto mentre su circa 209 miliardi destinati dal Recovery Fund al nostro paese, circa 40 miliardi saranno destinati dedicati alle politiche digitali, sicurezza inclusa.
Qual è il maggiore rischio da evitare in via preliminare? È fondamentale (in coerenza con ispirazione euro-atlantica dell’Italia) adottare misure preventive affinché i finanziamenti europei – anche solo per ignoranza e in perfetta buona fede – alimentino direttamente o indirettamente aziende tecnologiche straniere obbligate a seguire le regole di infosharing imposte da regimi di natura totalitaria.
La duplice ambiguità politica nella nascita dell’Istituto Italiano per la Cyber Sicurezza
In questa cornice spetta alla politica assumere decisioni coerenti, limpide e lungimiranti in materia. Il presidente del Consiglio ha recentemente definito improcrastinabile la creazione per iniziativa del suo Governo della fondazione ICC (Istituto Italiano di Cybersicurezza). Gabrielle Carrer ha scritto: “siamo un paese che litiga miserabilmente sulla creazione dell’Istituto senza entrare nel merito…Nel frattempo l’Italia di diventare l’anello debole dell’Alleanza Atlantica ”[1].
La mia personale opinione è diversa. Come è accaduto per le sperimentazioni del 5G in aree cruciali del paese (ed i piani che estendono la nuova rete mobile sul territorio nazionale), come per il progetto di Rete Unica (non per le sue finalità di potenziamento della banda larga, per la composizione societaria che si prospetta fin qui) anche l’Istituto Italiano per la Cyber Sicurezza è nato all’insegna di una duplice ambiguità politica e come tale potrebbe essere un ulteriore anello debole per la postura euro-atlantica dell’Italia.
- Un primo aspetto sembra chiarito. È stata esclusa la partecipazione del DIS in un progetto che anche per la sua natura giuridica (fondazione di diritto privato) non può che nascere all’esterno del comparto della Sicurezza Nazionale. Naturalmente saranno benvenute le massime sinergie e collaborazioni come peraltro già avviene per università, istituti di ricerca e altri soggetti pubblici e privati.
Per inciso approfitto per ricordare ai lettori che il DIS non ha compiti operativi. La legge 124/2007 affida, infatti, al Dipartimento funzioni di livello diverso: coordinare le attività operative delle Agenzie, assicurare l’unitarietà nella produzione informativa del Sistema di Informazione della Repubblica, nonché altri compiti di grande rilevanza in materia di autorizzazioni, ispezioni, tutela e custodia del materiale classificato, gestione amministrativa nonché funzioni relative alla formazione interna ed alla promozione della cultura della sicurezza.
- Una volta chiarito questo punto qual è il secondo aspetto che deve essere chiarito per evitare che l’Istituto Italiano per la Cybersicurezza nasca con il piede giusto? Dal materiale sinora emerso pubblicamente non si comprende qual è il perimetro in cui devono muoversi i progetti di ricerca e di sviluppo dell’Istituto anche in relazione alla gestione di fondi provenienti dal Recovery Fund ed al conseguente inserimento dell’Italia in una rete europea per lo sviluppo e la sicurezza dell’innovazione digitale.
L’idea di fondo è quella di far collaborare i tre soggetti fondamentali: Stato, imprese e università. È qui che si pone la domanda chiave: l’istituto sarà aperto potenzialmente a tutte le imprese e a tutti gli istituti universitari? O viceversa si muoverà nel perimetro definito dal nostro sistema di alleanze a partire dal binomio NATO/UE?
Non si tratta di domande retoriche oggi molteplici università e numerose imprese italiane cooperano liberamente e legittimamente (in ambito digitale e delle telecomunicazioni) con atenei, istituzioni e aziende di paesi stranieri lontani dai nostri valori nonché competitor sistemici sul piano economico, politico e militare. Va benissimo che esse continuino a farlo, ma non avrebbe davvero senso logico e politico includere tout court nel costituendo Istituto le imprese o i dipartimenti universitari cui ho fatto cenno nel paragrafo precedente.
In altre parole, la mia opinione è che il progetto ha senso se si muove entro il perimetro logico dei valori di cui sono espressione l’Alleanza Atlantica e l’Unione Europea. In caso contrario il rischio è che in una materia fondamentale come quella delle tecnologie e delle reti digitali l’Italia diventi – per parafrasare Carrer – “un anello ancora più debole della comunità euro-atlantica e dell’occidente in generale”.
La Ue (e l’Italia) nella “stretta” tra Usa e Cina
Vale la pena sottolineare che il caso non unico, ma di gran lunga più complesso è quello della Cina sotto il profilo politico e diplomatico (in ambito bilaterale e multilaterale). Da un lato i paesi europei non hanno interesse a partecipare all’aspra ed erratica guerra commerciale intrapresa dagli Stati Uniti di Donald Trump contro il Dragone, dall’altro è sempre più diffusa l’esigenza (recentemente ribadita dal Parlamento Europeo e da Ursula Von Der Layen) di prendere le distanze dall’approccio di Pechino in materia digitale.
Mentre scriviamo è in atto un tentativo di definire una posizione stringente dell’Unione Europea in materia di 5G i cui esiti sono ancora incerti anche in relazione alla difficile transizione tra Trump e Biden. La maggior parte degli osservatori prevede che Biden – a differenza di Trump – cercherà di coinvolgere alleati ed amici (Europa, Australia, Giappone, India, ecc.) nella battaglia per contrastare il totalitarismo digitale cinese, ma non si possono ovviamente ancora conoscere in dettaglio le intenzioni della nuova amministrazione americana. Un tema di discussione non facile tra Unione Europea e Stati Uniti sarà certamente la tassazione dei grandi player mondiali del web.
Il caso cinese si presenta molto complesso e delicato innanzitutto perché ben quattro leggi (Counter Intelligence, National Security, Crittography e Cybersecurity) impongono alle imprese cinesi che operano all’estero di fornire su richiesta delle autorità governative tutti i dati memorizzati nei loro data center nonché i flussi informativi in tempo reale di cui vengono in possesso.
L’Italia ha certamente l’interesse a continuare e anzi ad incrementare la cooperazione economica e culturale con la Cina in numerosi e rilevanti settori; in ambito digitale, invece, non da oggi ritengo utile un approccio più prudente (ma sino a questo momento tutte le imprese cinesi gestori e vendor si sono mosse senza nessuno problema, salvo un solo caso: rinvio temporaneo di una istruttoria in materia di Golden Power relativo ad un progetto Fastweb/Huwaei).
Tale atteggiamento di prudenza è, a mio avviso, auspicabile non tanto per rassicurare i nostri alleati quanto per applicare i principi della nostra Carta costituzionale e sottolineare la loro distanza siderale da ogni forma di totalitarismo.
Sulla base dei principi democratici spetta ai cittadini controllare il funzionamento del potere esecutivo. In Cina sembra essersi affermata una cultura politica che va nella direzione opposta: basti pensare che con l’instaurazione del “social credit system” sono le autorità governative a livello centrale e locale che controllano, valutano, premiano e puniscono i cittadini.
Alcuni commentatori hanno accennato ad un recente caso di simmetria (apparente) tra Stati Uniti e Cina che potrebbe giustificare una posizione di equidistanza dell’Europa di un nuovo assetto bipolare che si sta configurando nella politica internazionale.
Nella recentissima occasione del black friday di fine novembre i media hanno riferito di un negoziato parallelo che ha suscitato molta curiosità nei consumatori italiani costretti a ricorrere all‘e-commerce dal dramma pandemia. Nello stesso giorno mentre in Francia il Presidente Macron era alle prese con il colosso americano Amazon, in Italia il Ministro degli Esteri Luigi Di Maio stava negoziando un accordo con l’equivalente cinese di Alibaba.
L’immagine dei due leader politici europei che (pur per motivi diversi) “trattano” con Amazon e Alibaba può trarre in inganno l’opinione pubblica. Ma attenzione non è la stessa cosa. In Cina Alibaba – come tutte le altre imprese – ha le mani legate. I profili illiberali a cui abbiamo brevemente accennato per i cittadini valgono anche per le imprese. Perché? Il motivo è lo stesso: il primato del partito sulla società .
L’Europa ha mille ragioni per combattere con energia la concorrenza sleale (innanzitutto in materia fiscale) dei big tech nord americani (Microsoft, Amazon, Facebook, Google), ma chi cerca – con buone o cattive intenzioni – di mettere sullo stesso piano Stati Uniti e Cina contribuisce ad alimentare la disinformazione. La rivoluzione digitale favorisce oggettivamente i regimi autoritari così come tende a ridurre gli spazi di democrazia nei paesi in cui vige lo Stato di diritto, ma questo non autorizza equazioni tra sistemi politici che restano profondamente diversi né tantomeno equidistanze tra Stati Uniti e Cina che il più delle volte servono solo a coprire gli interessi di bottega dei tanti intermediari interessati a nascondere i lati oscuri della politica cinese.
Nel digitale non vale “una sola misura per tutti”
È sempre fuorviante, anzi profondamente sbagliato, studiare le implicazioni della rivoluzione digitale come se si trattasse di un fenomeno unitario. Basti ricordare come l’uso delle più avanzate tecnologie informatiche in aree ad alta intensità criminale-finanziaria presenti notevoli peculiarità rispetto ad altre zone (lo hanno dimostrato 30 anni fa le indagini di Falcone nei territori controllati dai colletti bianchi di Cosa nostra e/ dai loro consociati stranieri).
Per tutelare efficacemente la sicurezza nazionale nell’era digitale non si deve pertanto utilizzare l’approccio “one size fits all” – la celebre espressione coniata dall’economista Joseph Stiglitz per criticare i “comandamenti” del Washington Consensus. L’approccio “one size fits all” peraltro non è definitivamente tramontato. Grandi organizzazioni multinazionali come Microsoft, Huwaei, Accenture, Tencent, Deloitte, Sony, Alibaba e Amazon – solo per fare i primi nomi che mi vengono in mente – tendono a vendere le loro soluzioni “olistiche” (in materia di sicurezza informatica e delle reti) ai governi di numerosi paesi del mondo – ignorando (o sottovalutando gravemente) le dinamiche specifiche che caratterizzano e condizionano i diversi contesti operativi.
L’Italia e la sfida digitale cinese
A questo proposito, non possiamo non ricordare che in queste ultime settimane uno dei dossier più importanti su cui la leadership cinese pare concentrare i suoi sforzi è la “Digital Silk Road“. In Cina l’andamento economico è migliore delle aspettative, ma la crisi economica globale e il forte indebitamento delle finanze pubbliche cinesi sembrano determinare un atteggiamento di grande prudenza sul fronte della spesa. Probabilmente il grande progetto della Via della Seta dovrà essere diluito nel tempo e forse ridimensionato rispetto alle stesse previsioni del piano quinquennale, ma la sfida digitale cinese resta inalterata.
L’Italia è in grado di fronteggiarla? Oppure la presenza delle tecnologie e delle aziende digitali cinesi in Italia è ormai talmente estesa che è meglio lasciar perdere. Una bella domanda a cui non è facile rispondere.
A parole si sostiene che l’Italia si è dotata da tempo di un modello normativo e amministrativo molto avanzato in grado di identificare e prevenire le sfide digitali del Dragone definito da Ursula Von Der Layen come il competitor sistemico dell’Europa.
Le iniziative italiane in materia di cyber security e i ritardi della politica
In campo digitale ed in particolare nell’area della cyber security dal 2013 a oggi in Italia si è fatto ricorso a diversi strumenti del diritto amministrativo (soprattutto DCPM) e si sono assunte anche alcune misure legislative. Mi riferisco a certificazioni, perimetro, prescrizioni in materia di golden power, incentivi e bonus, nascita del Dipartimento innovazione alla presidenza del consiglio, gare Consip per cybersecurity PA, CERT unico, CVCN al MISE, ecc.).
Quale è il consuntivo di tutte queste iniziative che peraltro si sono intensificate nell’ultimo triennio? Sul piano pratico non si sono rilevate novità di rilevo salvo la messa in sicurezza di un numero assai limitato di asset per evitare effetti clamorosi sulla nostra credibilità internazionale.
Esaminando le attività commerciali di Wind3, Huwaei, Zte, Inspur, Lenovo, Xiaomi, Oppo e via discorrendo l’impressione è che (nonostante i ricorrenti allarmi dell’intelligence e le recenti indagini del COPASIR) poco o nulla sia cambiato sul piano pratico. La classe politica da diversi anni a questa parte ha trascurato nel bene e nel male le implicazioni pratiche della presenza (e la recente espansione) delle imprese digitali cinesi nel nostro paese.
In assenza del perimetro e delle conseguenti strategie operative le aziende che gestiscono le infrastrutture critiche si sono per fortuna date da fare. Negli ultimi 3-4 anni Enel, Eni, Fs, Cdp, Terna, Snam, Aeroporti di Roma (solo per citare le prime che mi vengono in mente) si sono attrezzati in materia di cyber security scegliendo i loro fornitori e le relative supply chain. Enel, ad esempio, si è affidata ad Amazon Cloud, ENI a Dell Technologies.
In materia di infrastrutture critiche a un primo livello (pubblica sicurezza e polizia di prevenzione) esiste da molti anni una tradizione consolidata di infosharing con il CNAIPIC della Polizia Postale, le altre forze dell’ordine, il DIS ed (il MEF per i profili di sua competenza).
Tuttavia, spesso si confondono gli ambiti della sicurezza pubblica e persino le attività di polizia giudiziaria con le misure di tutela della sicurezza nazionale. È in quest’area che la politica ha accumulato i maggiori ritardi.
Nel campo della sicurezza cibernetica nazionale come recentemente ricordato dal Professor Michele Colajanni, i talenti in Italia non mancano. Ma oggi il pericolo è che siano attratti dalle offerte provenienti dall’estero.
Ma al di là di questo per non affrontare le sfide a mani nude la soluzione è che vi siano direttive politiche chiare (senza se senza ma) alle agenzie di informazione. Certamente anche le agenzie di intelligence sbagliano, ma almeno hanno le garanzie funzionali per operare. E se queste non sufficienti il Presidente del Consiglio può adeguarle ovviamente entro i limiti previsti dalla Costituzione e dalle leggi vigenti.
A questo proposito sottopongo ai lettori un paio temi che meritano attenzione:
- la raccolta informativa è raccolta informativa. Punto. Non si capisce perché talora nel trattare questa materia la politica usi impropriamente i termini difesa ed attacco che viceversa attengono ad un altro campo: ovvero alla dottrina militare.
- Il secondo aspetto è noto agli specialisti, ma non al largo pubblico. Nelle società digitali in cui siamo immersi il ruolo delle “macchine” è sopravvalutato. In questa cornice un eccesso di compartimentazione organizzativa tra Humint e Sigint può provocare danni seri. Oggi senza il giusto mix e il continuo interscambio tra fonti umane e strumenti tecnologici è sempre più difficile condurre in porto una operazione.
Conclusioni
Sin dai tempi di Francesco Rutelli e Massimo D’Alema e ancor più in tempi più recenti con le iniziative assunte con le Presidenza di Lorenzo Guerini e di Raffaele Volpi il Copasir è apparso particolarmente attento e propositivo nell’area cibernetica e delle telecomunicazioni. Ma non sempre i messaggi sono stati raccolti dall’esecutivo, basti qui ricordare la polemica del Ministro Patuanelli.
Se non ora quando? Occorre avviare rapidamente un potenziamento operativo delle agenzie di intelligence in linea con la rivoluzione digitale che investe l’intero pianeta. A questo proposito è utile muoversi contemporaneamente su due piani distinguendo da un lato cosa è possibile ipotizzare a legislazione invariata e quali sono invece le più urgenti modifiche alla legge sui servizi da discutere ed approfondire in parlamento con lo sforzo convergente di maggioranza e opposizione come è naturale e doveroso quando è in gioco la sicurezza nazionale.
Non è facile addentrarsi in un ambito in cui gran parte delle attività sono giustamente coperte da segreto. Ma la difficoltà maggiore per uno studioso non è la non accessibilità di alcune fonti. Ciò che è veramente arduo analizzare, comprendere e interpretare nei suoi molteplici risvolti è la dimensione politica dell’intelligence.
In tutto il mondo ipocrisie, ambiguità e decisioni di non decidere rendono molto faticoso il lavoro degli operatori di intelligence, gli unici che possono scavare davvero in profondità senza bisogno di partire da ipotetiche notizie di reato.
Pochi giorni fa si è svolto un convegno di grande interesse presso l’Università della Calabria in occasione della giornata inaugurale del X Master in Intelligence diretto dal Professore Mario Caligiuri [2]. L’evento è stato introdotto da due relatori di eccellenza: l’onorevole Raffaele Volpi, Presidente del Copasir ed il Prefetto Domenico Vecchione direttore generale del DIS.
Tra i tanti contributi preziosi mi limito a ricordare quello del Professore Massimo Giannini, valente economista e Direttore del Master di intelligence economica della università di Tor Vergata. Giannini ha si è soffermato sulle incertezze del contesto politico in cui l’ateneo romano ha siglato due importanti accordi con le due maggiori aziende tecnologiche cinesi (Huawei e ZTE)[3] La libertà della ricerca accademica e l’autonomia universitaria è sovrana. Tuttavia, per Giannini non è stato facile decidere perché in Italia in una materia così importante mancava (e aggiungo manca tuttora) una analisi ed una strategia di sistema, in una direzione o nell’altra. Continuando così si va poco lontano.
- https://formiche.net/2020/12/attacco-hacker-leonardo/ ↑
- https://www.intelligencelab.org/2020/11/22/unical-al-via-la-x-edizione-del-master-in-intelligence/ ↑
- https://www.startmag.it/innovazione/sanita-anti-covid-cosa-faranno-huawei-e-voicewise-tor-vergata/,https://web.uniroma2.it/module/name/Content/action/showpage/content_id/46184, ↑
