La nascita dell’Agenzia per la cybersicurezza, unita alla riorganizzazione del comparto intelligence e security dedicato al contrasto alla criminalità informatica, è quanto mai tempestiva, e capita proprio a ridosso dell’attacco alla Regione Lazio.Sarà indubbiamente la risposta più efficace contro la cyberwar lanciata dagli hacker di tutto il mondo anche contro il nostro Paese.
Il decreto contiene una serie di novità importanti per l’ordinamento giuridico del nostro Paese.
Definizione delle minacce e degli strumenti di contrasto
Innanzitutto, la delimitazione degli oggetti di tutela: reti, sistemi informativi, servizi informatici, comunicazioni elettroniche, al fine di assicurarne – recita l’art. 1 – “la disponibilità, la confidenzialità, l’integrità, la resilienza”.
Beni comuni, tra pubblico e privato, in una concettualizzazione chiarificatrice che il decreto fa delle minacce e degli strumenti di contrasto. Troppo il ritardo accumulatosi nel nostro Paese, come hanno sottolineato (vale poco che chi scrive dica “opportunamente”) il Ministro Colao, i Sottosegretari Gabrielli e Mulè, a più riprese. Una cultura dell’attacco non convenzionale che non è stata recepita dai Governi precedenti, senza nulla togliere alle strutture di intelligence e alle forze di polizia del nostro Paese, che pure troppo hanno fatto in assenza di cornici regolamentari chiare e di strumenti rafforzativi a disposizione.
Coordinamento necessario
Qui il decreto si pone come “accentratore” di competenze, nel senso però del loro migliore coordinamento, che passa alla Presidenza del Consiglio in via diretta. Troppe erano infatti le frammentazioni tra enti, ministeri, organi investigativi, come ribadito nelle audizioni parlamentari.
Si chiarisce, in buona sostanza, che al Ministero della Difesa resterà l’avanzata expertise e cura della protezione delle strutture militari e strategiche, al Dis e ai Servizi la raccolta di informazioni, alle Forze di Polizia la repressione degli attacchi cyber.
Viene creato un “Comitato interministeriale per la cybersicurezza”, con funzioni consulenziali, di proposta e vigilanza sulle policy in materia. In sostanza, ci finiscono i rappresentanti dei dicasteri tutti, ed è evidente, con ciò, la “trasversalità” della minaccia, così come la necessità integrata della risposta. Esso sostituirà il Comitato per la sicurezza della Repubblica.
L’Agenzia avrà un Direttore ed un Vice, secondo il regolamento che verrà emanato, e che disegnerà la struttura ed il funzionamento in concreto della nuova entità. La sua centralità si ravvisa, ove ve ne fosse ancora bisogno dopo quanto abbiamo detto, altresì nelle potestà di collegamento pubblico-privato, attraverso convenzioni ad hoc. Essa è inoltre’ autorità unica di certificazione di competenze e qualifiche, e ciò consentirà di formare personale specializzato, di cui in verità il nostro Paese ha bisogno. Quello della formazione è, difatti, un refrain per il Governo, che punta su esperti interni ed esterni per andare a formare adeguatamente anche nuclei investigativi appositi per le indagini sui ransomware.
Oltre la protezione dei dati
Non più la mera protezione del dato, ferma spesso – nel comune sentire – agli antivirus classici ed alle misure di sicurezza (che pure devono rimanere). Ma uno “scudo” protettivo dello Stato sulle attività pubbliche e private, perché i casi all’ordine del giorno insegnano – al di là dei numeri, che qui non ripetiamo, data la messe copiosa che se ne sta producendo da varie fonti – che nessuno è al sicuro, dal piccolo commerciante all’azienda di Stato.
La creazione di un cloud che faccia da “recovery” dei dati essenziali da proteggere è una delle mission più importanti, nonché – come conclusione sembra la migliore – “il rafforzamento dell’autonomia industriale e tecnologica dell’Italia, valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali” (art. 7, comma 2, lett. m-bis). Una “nostra” industria cyber, insomma.
Le prospettive sono rassicuranti, e dobbiamo crederci, soprattutto nella destinazione di risorse economiche sia da parte dello Stato che dei privati, perché la sicurezza fisica si sta legando sempre più alla protezione di quella informatica.
Ranieri Razzante
Consigliere per la Cybersecurity del Sottosegretario alla Difesa
