L’intervento della componente del Copasir e vice presidente della Commissione Difesa della Camera ad ItaSec18, la conferenza nazionale sulla cyber security in svolgimento fino al 9 febbraio presso il Politecnico di Milano
Di cosa parliamo quando parliamo di cyber security? Di difendere la piattaforma Rousseau del Movimento 5 stelle, o del sito del Pd di Firenze che custodiva nomi illustri e meno illustri di iscritti con i loro dati anagrafici? O parliamo della prolungata paralisi di Betterment e Wealthfront, i due principali robot advisor americani nelle ore incandescenti del crollo di Wall Street di lunedì scorso? Del braccialetto di Amazon e di come questo trasforma i rapporti di lavoro e le relazioni sindacali? O di come un gruppo di signori che hanno guadagnato una fortuna con i bitcoin e altre criptovalute tentano di fondare nei Caraibi la prima criptocittà autogestita? Questi sono alcuni dei cambiamenti che stanno stravolgendo le categorie socio-politiche ed economiche con le quali abbiamo letto fino ad oggi fenomeni di trasformazione delle nostre società occidentali.
Le vere sfide che la classe politica si trova di fronte sono quelle della cyber security e di tentare di governare gli effetti della terza rivoluzione digitale che trasformerà profondamente e nel breve termine le relazioni sociali e interpersonali. Rispetto alla potenza e alla ineluttabilità di questi cambiamenti, invece, il mio timore è che i policy maker rincorrano e tamponino le emergenze contingenti, evidenziando solo rischi e minacce dell’innovazione tecnologica all’opinione pubblica senza riuscire a guidare le opportunità che ne potrebbero derivare.
Ieri il prof. De Nicola ribadiva l’importanza di un comitato di esperti a supporto del Presidente del Consiglio dei Ministri. Non lo limiterei solo all’applicazione del Piano Nazionale di Cyber security ma consiglierei di ampliarlo ad esperti di scienze sociali, a giuslavoristi, economisti. Perché è rilevante creare impianti legislativi che consentano di anticipare e di governare in modo efficace la minaccia cyber, facendo leva su tutti gli attori deputati o necessari alla salvaguardia della sicurezza nazionale.
Fatta questa riflessione preliminare sulla società digitale, per venire al tema di oggi: “Quali atti concreti dopo il Libro Bianco sulla cyber security?” cosa ha fatto e cosa dovrà fare il nostro Paese per difendere il proprio cyber spazio? Non siamo all’anno zero, anzi, molte cose sono state fatte in questi ultimi 5 anni di legislatura, per colmare il gap accumulatosi precedentemente in questo settore. Nel 2013 il “Decreto Monti”, per la prima volta, dettava indirizzi per la protezione cibernetica e la sicurezza informatica nazionale – costituendo una struttura di coordinamento presso la Presidenza del Consiglio dei Ministri.
Dal 2013 ad oggi, a questo aspetto legislativo è stata legata una vasta serie di provvedimenti. Cito i più importanti. Non solo il decreto Monti, prima ricordato, ma anche quello Gentiloni, che lo ha sostituito circa un anno fa. Si è poi proceduto allo stanziamento di 150 milioni di euro e alla recente nomina di un vicedirettore del Dipartimento delle informazioni per la sicurezza (Dis) con delega alla sicurezza cibernetica, il professor Roberto Baldoni, che tutti voi conoscete. Non va dimenticata, poi, la nascita della direttiva europea Nis, che dovrà essere recepita entro il 9 maggio prossimo. È un passaggio decisivo che il futuro Governo, qualunque esso sia, dovrà pienamente implementare.
Da questo aspetto legislativo, non va slegata, infine, l’essenzialità del mondo della scuola, dell’università e della ricerca, indispensabili per generare in prima battuta consapevolezza e competenze diffuse, e poi forza lavoro altamente qualificata pronta ad affrontare i tempi nuovi. Tuttavia, per dirlo proprio con le parole del professor Roberto Baldoni, quello che deve ancora delinearsi è un vero ecosistema per la sicurezza cibernetica che, tenendo conto delle peculiarità della Penisola, possa replicare le felici esperienze dei più avanzati benchmark, come quello statunitense o israeliano. Penso al modello israeliano di sostegno alle start-up innovative e tecnologiche che affiancano all’investimento privato un pari investimento pubblico producendo un effetto positivo sul piano della ricerca e della produzione nazionale di tecnologie strategiche e al contempo sulla competitività del sistema industriale in campo internazionale.
Se importassimo tale modello potremmo forse rispondere all’esigenza posta dal professor Prinetto di una produzione a livello nazionale di tecnologie strategiche e di un pieno controllo su di esse. Come posto in evidenza nel Libro Bianco le risorse impiegate non sono ancora sufficienti per innescare un processo di questo tipo. Sarà necessario incrementare gli investimenti in questo settore e promuovere con incentivi anche fiscali partnership tra grandi aziende, start-up e ricerca. In tal senso avevo presentato nell’ultima legge di Bilancio un emendamento che agevolava attraverso misure di defiscalizzazione la creazione di start-up innovative in cyber security.
Un aspetto che è stato toccato anche dal libro Bianco è quello relativo al controllo sugli approvvigionamenti tecnologici, il caso Hacking Team docet. Come tutti voi ricordate Hacking Team forniva servizi e prodotti altamenti innovativi a diverse istituzioni di questo paese, ma anche ad altri Stati, non sempre nostri amici. Un vulnus, quindi, che può essere di forte impatto sulla sicurezza nazionale. A tal proposito il Copasir, ha svolto una indagine conoscitiva la cui relazione verrà inviata, nei prossimi giorni, al Parlamento, sul tema dei controlli.
Il decreto Gentiloni prevede la costituzione presso il Mise del Cert Nazionale per la verifica delle condizioni di sicurezza e dell’assenza di vulnerabilità su prodotti/apparati/sistemi utilizzati per il funzionamento di reti e servizi e di infrastrutture critiche, ma a questo affiancherei l’azione di verifica sui livelli di sicurezza delle aziende produttrici da parte dell’UCse del Dis, la definizione di standard omogenei minimi di tutte le aziende per le pubbliche amministrazioni, e la creazione di codici sorgenti originali sviluppati all’interno della struttura che fa capo al vicedirettore del Dis, cosi da limitare il ricorso al mercato.
Per realizzare un ecosistema per la sicurezza cibernetica, è, dunque, prioritario – come è già stato detto – partire dal riferimento strategico e operativo offerto dal quadro normativo definito in questi ultimi 5 anni, per mettere a punto modalità di azione che consentano di far procedere in modo ordinato e coordinato Stato e aziende, civile e militare, erogatori di servizi e cittadinanza.