La proposta di Eugenio Santagata, Chief Public Affairs & Security Officer di TIM e CEO di Telsy, nel corso dell’audizione alla Commissione Politiche Europee della Camera.
È necessario “aumentare gli investimenti in capacità di cyberdifesa anche attraverso l’introduzione di fondi ed incentivi dedicati”. È questo uno dei passaggi chiave dell’audizione alla Commissione Politiche Europee della Camera, tenuta, ieri, da Eugenio Santagata, Chief Public Affairs & Security Officer di TIM e CEO di Telsy, la società del gruppo specializzata in cybersecurity e una delle rare aziende italiane a sviluppare tecnologie cyber. Santagata è stato audito nell’ambito dell’esame della Comunicazione congiunta della Commissione europea e dell’Alto rappresentante dell’Unione per gli affari esteri e la politica di sicurezza al Parlamento europeo e al Consiglio riguardante la politica di cyberdifesa dell’Ue.
Santagata: “Per preferire soluzioni cyber europee”, nell’ottica della sovranità digitale, “introdurre fondi dedicate alle imprese”
“Auspichiamo l’introduzione di fondi dedicati alle imprese per l’acquisto di soluzioni cyber adeguate”, ha spiegato Santagata, ricordando che la direttiva europea Nis2 prevede l’obbligo di adozione di soluzioni di sicurezza cibernetica per molti soggetti ma evidenziando come “questi andrebbero sostenuti con appositi incentivi, soprattutto nel caso in cui si voglia optare per soluzioni europee che generalmente sono più costose”. Il manager ha contestualizzato la sua proposta con una fotografia dello stato dell’arte. “Relativamente al tema dei finanziamenti e degli investimenti finora l’Europa si è occupata della resilienza degli Stati e ha avuto come interlocutore quasi sempre un soggetto pubblico. Per poter aumentare la base industriale”, ha proposto Santagata, “bisogna cambiare il paradigma da soldi agli Stati a soldi alle imprese. In Italia il problema non è tanto la cyber resiliente delle grandi aziende, il problema sono le 170mila piccole e medie imprese che hanno poco più dell’antivirus”.
Gabrielli (Polizia Postale): “PMI vulnerabili, nonostante contribuiscano all’erogazione di servizi essenziali”
Per quanto riguarda le imprese ed in particolare le PMI, anche il capo della Polizia Postale, Ivano Gabrielli, ha messo in guardia sulla loro vulnerabilità: “Per lo strategico settore delle PMI non sono ancora stati raggiunti investimenti significati per la cybersicurezza”, ha detto Gabrielli intervistato dal Sole24Ore, nonostante siano “infrastrutture che contribuiscono all’erogazione di servizi essenziali e alla tenuta del tessuto sociale del Paese”.
Santagata: “Per la PA sarebbe auspicabile una quota di fondi per le PA da destinare a soluzione cyber”
Ritornando all’audizione di Santagata, il manager ha indicato una strategia anche per rafforzare la cyber-resilienza delle PA. “Anche la Pubblica Amministrazione dovrebbe dotarsi di strumenti adeguati a proteggere le proprie infrastrutture e sistemi”, ha continuato Santagata. “A tal proposito sarebbe auspicabile prevedere una quota di fondi per le PA da destinare a soluzione cyber, così come era stato proposto in sede di conversione del Dl Pnrr 3”.
Il manager ha fatto riferimento a questa proposta di emendamento a firma Borghese del gruppo Cd’I-NM (UDC-CI-NcI-IaC) – MAIE, che, in sintesi, prevedeva:
“Nel caso in cui un intervento previsto dal Piano Nazionale di Ripresa e Resilienza ovvero dal Piano Nazionale Complementare comporti l’acquisizione o la messa in funzione di almeno un elemento digitale, sia esso hardware o software, una quota non inferiore al 3% delle risorse disponibili per l’intervento stesso è destinata all’acquisizione di beni e servizi atti a garantire ovvero ad incrementare la sicurezza cibernetica degli elementi digitali dell’intervento stesso”.
Infine, per Santagata è necessario “promuovere le tecnologie proprietarie europee. Ma per valorizzare e potenziare l’industria cyber europea”, ha osservato, “bisognerebbe investire i soldi pubblici dell’Ue in tali soluzioni proprietarie”.
“In Italia 3mila aziende di cybersecurity, ma solo il 20% con tecnologie proprietarie”
La proposta del manager nasce dai desolanti dati. Ecco quelli in Italia. “Nel nostro Paese”, ha citato, “sono circa 3mila le aziende operanti nell’industria della cybersecurity, di queste solo il 20% è detentore di tecnologie proprietarie. Siamo convinti che un’architettura solida di difesa sia possibile”, ha concluso, “a partire dalla consapevolezza di governare tecnologie che oggi non governiamo. Senza una base industriale solida è difficile creare un ecosistema europeo efficiente ed efficace”.
Con il PNRR aumenta la superficie d’attacco dell’Italia. Il Parlamento n’è consapevole?
Ritornando alla proposta di dedicare fondi pubblici ad hoc per la cybersicurezza nelle PA, qualcuno potrà obiettare, sostenendo che nel PNRR sono già previsti 623 milioni di euro per la cybersicurezza. Ma queste risorse, già stanziate, sono in gran parte destinate all’avvio dell’attività dell’Agenzia per la Cybersicurezza Nazionale e ad alcuni primi interventi di acquisto di soluzioni di Cybersicurezza per la PA, ma nulla è disposto per assicurare che gli elementi digitali degli altri interventi, previsti in tutte le missioni del PNRR e del Piano Nazionale Complementare, siano dotati di adeguate misure di protezione cibernetica.
Non esiste innovazione tecnologica senza cybersecurity
Allora come realizzare i tanti progetti del PNRR e PNC di smart cities, sulle infrastrutture di ricarica di auto elettriche, sulla digitalizzazione delle reti idriche, sulla digitalizzazione dei porti se non si pensa, by default, e con quote ad hoc, alla loro sicurezza cibernetica?
Il Governo è consapevole che con la maggioranza dei progetti del PNRR si amplia enormemente la superficie d’attacco nei confronti del nostro Paese? Perché sono legati alla transizione digitale. E tutto ciò che è digitale è a rischio dal punto di vista della sicurezza cibernetica. E le PA, le nostre città, i Comuni e le infrastrutture, che erogano servizi essenziali saranno più vulnerabili ai cyber attacchi. Il “rischio zero non esiste”, ma lo si sente solo dagli esperti nei convegni di cybersecurity e questa cultura della cybersecurity e la consapevolezza del rischio cibernetico non sono ancora maturate in tutti i componenti del Governo e, soprattutto, in tutti i funzionari dei ministeri alle prese con il PNRR.
Ma non esiste innovazione tecnologica senza cybersecurity.
È come andare in guerra solo con un giubbotto antiproiettile: prima o poi si viene colpito…
