Decine di azioni per contrastare la criminalità informatica riunite in un piano che sintetizza e che disciplina le azioni per ridurre i rischi cibernetici nei prossimi quattro anni.
A presentare la Strategia nazionale di cybersicurezza (2022-2026) e l’annesso Piano di implementazione, approvati dal Comitato Interministeriale per la Cybersicurezza, presieduto dal Presidente del Consiglio, Mario Draghi, sono stati il Sottosegretario alla presidenza del Consiglio dei Ministri e Autorità delegata per la sicurezza della Repubblica, Franco Gabrielli, e il Direttore dell’Agenzia per la Cybersicurezza Nazionale, Roberto Baldoni.
"È nostra intenzione intensificare i progetti di sviluppo tecnologico per arrivare a disporre di un adeguato livello di autonomia strategica nel settore e quindi garantire la nostra sovranità digitale. Per farlo, sarà cruciale stanziare fondi adeguati, con continuità" ha scritto il premier Mario Draghi, nella prefazione alla Strategia. Per poi sottolineare: “La strategia unisce sicurezza e sviluppo nel rispetto dei valori della nostra Costituzione. È in linea con quanto previsto dalla Strategia dell'Unione europea per la cybersicurezza del dicembre 2020, dalla Bussola Strategica per la sicurezza e la difesa dell'Ue del marzo 2022, e dai recenti indirizzi strategici della Nato".
Quattro i capisaldi su cui si regge l’iniziativa: rafforzare la resilienza nella transizione digitale del sistema Paese, puntando soprattutto sulla formazione di personale specializzato, la cui mancanza è una delle debolezze dell'Italia; puntare all'autonomia strategica in questa dimensione, un obiettivo ambizioso già ribadito un paio di mesi fa dall'Agenzia, che aveva invitato le aziende italiane a dismettere l'uso di tecnologie russe nei sistemi di sicurezza informatica; essere in grado di anticipare l'evoluzione della minaccia; saper gestire le crisi e contrastare la disinformazione online.
"Il Paese vive una condizione di deficit complessivo di sicurezza del dominio cibernetico - ha detto Gabrielli -. Ma non serve un atteggiamento isterico. Se ogni volta che c'è un attacco DoS (Denial of service, nda) pensiamo che il Paese sia ostaggio di potenze straniere non capiremo il livello di minaccia e quindi le conseguenze che quest’ultima avrà. Ci sono strutture in grado di poterlo sostenere e altre meno. Oggi, si calcola che nel mondo ci siano 40 gang che operano nel ransomware e che prima avevano decuplicato il fatturato. Adesso vanno di moda i russi, ma non è così: il mondo è molto più ampio e diversificato e insidioso”.
Le cose da fare sono tante, anche perché l'Italia si è mossa in ritardo rispetto ad altri Paesi come Francia e Germania, ed è una sfida che parte con un conflitto in corso, quello tra Russia e Ucraina, che ha determinato un'intensificazione degli attacchi hacker che, proprio nei giorni scorsi e nelle scorse settimane, hanno colpito, tra gli altri, istituzioni come Senato, ministero della Difesa e Polizia. E che ha fatto scattare l'alert dell'Agenzia, che ha invitato gli operatori italiani delle infrastrutture critiche, quelli che gestiscono funzioni essenziali per lo Stato, a risolvere "con urgenza" le loro vulnerabilità cyber: e quelle individuate sono state ben 71.
La speranza è che vada risolto uno stato di arretratezza che, nel caso del nostro Paese, è vecchio di anni: basti pensare che, come ha dichiarato il ministro per l'Innovazione tecnologica, Vittorio Colao, qualcosa come il 95 per cento dei server della Pubblica amministrazione non rispetta gli standard di sicurezza.
Durante la presentazione del piano, questa carenza è stata sottolineata più volte anche da Baldoni, soprattutto nei termini della scarsa professionalità generalizzata in questo campo, caratterizzato da un fuga all'estero dei giovani verso Paesi che offrono remunerazioni maggiori e la necessità, conseguente, di puntare sulla formazione di personale specializzato, la cui mancanza è una delle debolezze dell'Italia.
Un altro aspetto è quello che riguarda la scarsità di prodotti tecnologici di produzione italiana, che portano a una dipendenza dall'estero, pericolosa nella misura in cui può aprire a vulnerabilità, come nel caso degli antivirus di produzione russa usati da molte amministrazioni.
A tale proposito, ha continuato il premier: “Le nuove forme di competizione strategica che caratterizzano lo scenario geopolitico - osserva Draghi - impongono all’Italia di proseguire e, dove possibile, incrementare le iniziative in materia. Dobbiamo tenere fede agli impegni assunti nell’ambito delle organizzazioni internazionali a cui l’Italia partecipa, anche tenuto conto dell’elevata qualità e dei massicci investimenti realizzati dai principali alleati e partner internazionali. È dunque necessaria una puntuale rivisitazione nella concezione e nella visione strategica dell’architettura nazionale di cybersicurezza”.
Un progetto del genere, ovviamente, ha un costo, che verrà finanziato da una quota pari all'1,2 per cento degli investimenti nazionali lordi.
Nel corso della riunione, inoltre, il Comitato ha anche approvato lo schema di Dpcm in materia di Perimetro di sicurezza nazionale cibernetica, che comprende le aziende, sia pubbliche che private, che esercitano funzioni essenziali per il mantenimento di attività fondamentali per gli interessi dello Stato: dalle telecomunicazioni alla sanità, dal settore energetico a quello finanziario, dai trasporti alla difesa, dallo spazio ai servizi digitali.
Il provvedimento è volto a stabilire i criteri per l'accreditamento dei laboratori di prova di cui il Centro di valutazione e certificazione nazionale (Cvcn) può avvalersi per la verifica delle condizioni di sicurezza e dell'assenza di vulnerabilità note. Con l'adozione del decreto si completa l'attuazione normativa, dopo l'approvazione degli altri quattro decreti previsti, del Perimetro di sicurezza nazionale cibernetica.
Tutto ciò, a sua volta, avrà un effetto positivo non indifferente: porterà, infatti, a un potenziamento dell’Agenzia per la cybersecurity che, già nel 2023, dovrebbe aumentare il numero del personale impiegato (a oggi un centinaio di persone) e quello della dotazione finanziaria: 41 milioni di euro per il 2022, destinati progressivamente a crescere fino ai 122 milioni previsti nel 2027.
Vi saranno, poi, le risorse dei programmi Orizzonte Europa ed Europa Digitale, nonché del Pnrr, che stanzia 623 milioni di euro per la cybersicurezza. Possibili sgravi fiscali per le aziende e la creazione di aree nazionali a tassazione agevolata per la costituzione di un “Parco nazionale della cybersicurezza” e dei relativi hub delocalizzati sull'intero territorio italiano.