Antonio De Poli

Cybersicurezza: uno scudo per l’Italia!

Cari amici,

su mia iniziativa, si è svolta in Sala Zuccari, presso Palazzo Giustiniani in Senato, il convegno “Agenzia per la sicurezza nazionale: asset strategico per l’Italia digitale”.

Sono intervenuti Maria Elisabetta Casellati (Presidente del Senato), Franco Gabrielli (sottosegretario alla Presidenza del Consiglio dei ministri); Enzo Vecciarelli (generale Capo di Stato Maggiore della Difesa); Nunzia Ciardi (Direttore Servizio Polizia postale); Cristiano Cannarsa (Ad Consip) e Paolo Calcagnini (vice direttore generale Cassa depositi e prestiti).

Ci siamo occupati di un tema molto importante e attuale: la cybersicurezza.

Il Pentagono, nel 2010, e successivamente, la Nato, nel 2016 hanno riconosciuto lo spazio cibernetico come un nuovo dominio di confronto internazionale: dopo terra, mare, aria e spazio, c’è la realtà cyber.

Il Tallinn Manual 2.0  – principale documento di area NATO che disciplina la guerra cyber – ha rappresentato lo spazio cibernetico come il quinto dominio. Si tratta di uno spazio unico: da un lato è un bene che non appartenga a nessuno; dall’altro lato è un ambito in cui i singoli Stati possono esercitare una discrezione normativa.

Certamente, è una realtà di cui tutti dobbiamo farci carico.

Ma soprattutto è una realtà che va protetta e resa sicura.

Fino al 2015 soltanto 67 Paesi in tutto il mondo disponevano di una Strategia nazionale per la cybersecurity.

Con questo strumento il nostro Paese si mette al passo con gli altri Paesi europei. A dimostrazione di ciò, metto in evidenza che in Germania un’agenzia analoga (il BIS) è nata nel 1991 e conta 1200 persone; mentre in Francia una struttura simile è nata nel 2009 e può contare sul lavoro di 1000 persone.

L’Italia colma un ritardo e lo fa con l’istituzione dell’Agenzia per la cybersicurezza nazionale, istituita dal decreto 82/2021.

Nel mio breve saluto ho messo in evidenza alcuni aspetti.

Come attestano le relazioni annuali del comparto informativo italiano e i rapporti del CLUSIT (Associazione italiana per la sicurezza informatica), i rischi informatici sono in aumento nel nostro Paese e soprattutto sono sempre più insidiosi.

Possiamo osservare insieme questa tabella che è molto chiara.

In Italia, nell’arco di tempo compreso tra il 2010 e il 2019, in Italia abbiamo registrato una crescita di attacchi in tutti gli ambiti: +4,5 ad enti governativi; +5,90% nel comparto della salute; + 40% nelle cosiddette infrastrutture critiche (ce ne parleranno sicuramente più avanti i relatori qui presenti oggi); + 45,5% a consulenti e… governativi; +46,8% al comparto della ricerca e dell’educazione; +61,4% a organizzazioni specializzate nella produzione e vendita di software e hardware;

Questo Governo, rimediando ai ritardi maturati nel tempo – e di questo penso sia giusto darne atto – ha accelerato l’istituzione di questa Agenzia, avendo individuato la necessità e l’urgenza di dare attuazione al Piano nazionale di Ripresa e Resilienza.

Il Recovery Plan, infatti, destina proprio alla sicurezza cibernetica un capitolo importante e risorse pari a 620 milioni di euro, di cui 241 milioni per la creazione di un’infrastruttura nazionale per la cybersicurezza; 231 milioni per il rafforzamento delle principali strutture operative del PSNC (Perimetro Sicurezza nazionale cibernetica) e 150 milioni per il rafforzamento delle capacità di difesa informatica presso i Ministeri di Interno-Difesa-Giustizia, Guardia di finanza e Consiglio di Stato.

L’accelerazione nell’istituzione dell’Agenzia per la cybersicurezza nazionale, dunque, è stata dettata da tre motivi: attuare il PNRR; proteggere le infrastrutture critiche del Paese; dare all’Italia la posizione che merita nell’ambito dell’industria e della sicurezza cyber.

Ci tengo a sottolineare che il settore della sicurezza cibernetica rappresenta un volano per la nostra economia. Lo è perché, nel contesto attuale, è indispensabile mitigare i rischi informatici per imprese e amministrazioni.

E’ molto efficace una metafora utilizzata dal Sottosegretario Gabrielli in una recente intervista sulla stampa. Pensiamo ai furti in appartamento. Certo, lo Stato deve individuare e arrestare i ladri, ma è altrettanto importante prevenire i furti attraverso adeguati sistemi di allarme. Nell’eco-sistema cyber, di cui parliamo oggi, l’Agenzia ha proprio l’obiettivo di controllare che il funzionamento di allarmi e sirene avvenga correttamente, per prevenire un attacco informatico.

Lo spazio cibernetico, infatti, con tutti i nostri dispositivi connessi tra di loro – penso all’Internet delle cose e alla tecnologia 5G – con sensori e sistemi informativi connessi tra di loro, diventerà sempre più centrale.

Quanto più riusciremo a proteggere in maniera efficace il nostro spazio cyber, tanto più il nostro Paese diventerà attrattivo per gli investitori stranieri.  D’altronde, chi investirebbe in un Paese dove non c’è una forza di polizia in grado di far rispettare le leggi e mantenere l’ordine pubblico? Nessuno. Lo stesso ragionamento vale per il mondo virtuale.

Andando avanti con la digitalizzazione – ne sono convinto – bisognerà implementare gli strumenti di tutela. La cybersicurezza si inserisce in questa partita e non va intesa come spie e servizi segreti ma come la capacità di difendere la porta elettronica degli italiani.

Il concetto di vulnerabilità del nostro sistema-Paese è stato sottolineato più volte da più parti. L’Italia sconta una fragilità per mancanza di consapevolezza dei rischi, per un deficit di cultura su questi temi. A conferma di ciò, c’è un dato: l’aumento significativo dei reati legati alla cybersicurezza.

Come sappiamo, le nuove modalità di smart working o lavoro agile  –  e di questo credo possa darci conferma tra qualche istante la Dottoressa Ciardi – hanno comportato un innalzamento significativo degli attacchi cyber, sia nei confronti di soggetti pubblici che privati.

Tra il 2019 e il 2020, infatti, si sono registrati dati preoccupanti: +50% circa di aumento di attacchi a pc personali (85.000); gli attacchi attraverso malware hanno registrato un aumento del 7% e costituiscono il 42% del totale degli attacchi cyber; il tasso di crescita dei danni è costante ed è del 15% annuo: il CLUSIT stima che i danni globali causati dalle cyber minacce raggiungeranno, nel 2025, 1/5 del Pil dell’Unione europea.

Arriviamo alle novità delle ultime settimane.

Mi riferisco al Decreto 82/2021 che definisce complessivamente l’architettura della sicurezza cibernetica. Questo provvedimento completa un percorso iniziato con la direttiva NIS (direttiva comunitaria Network and Information Security, che ha contribuito a incrementare il livello di sicurezza comunitaria); proseguito con il decreto n. 65/2018 che ha individuato i soggetti competenti per dare attuazione alla direttiva NIS; con il decreto 105/2019 che ha previsto l’istituzione del “Perimetro di Sicurezza nazionale cibernetica”, definendo misure volte a garantire i necessari standard di sicurezza.

Sul “Perimetro della sicurezza nazionale cibernetica”, apro una breve parentesi: si tratta, a mio modesto avviso, della misura più ambiziosa adottata dal nostro Paese sotto il profilo delle politiche cyber. L’idea di dotare l’Italia di uno “scudo difensivo” contro gli attacchi informatici è un’iniziativa che nasce in ambito europeo e, come sappiamo, amplia l’impatto della sicurezza cyber che non è limitata solo ed esclusivamente all’ambito pubblico ma riguarda anche soggetti privati.

Con il Decreto 82/2021 – che, lo ricordiamo, istituisce l’Agenzia Nazionale per la Cybersicurezza; il Nucleo per la Cybersicurezza presso l’Agenzia; il CIC (Comitato interministeriale per la sicurezza cibernetica – si compie un salto in avanti sul fronte delle politiche cyber.

L’Agenzia per la cybersicurezza nazionale – che avrà compiti di prevenzione e monitoraggio delle minacce informatiche; innalzamento degli standard di sicurezza; determinazione del piano di protezione del sistema Paese di concerto con altri organi e soggetti competenti – sarà indispensabile per orientare i Governi nella definizione di una strategia per realizzare un ecosistema cyber sicuro.

Realizzare oggi un ecosistema sicuro è un fattore fondamentale.

Lo è ancora di più nel contesto attuale che stiamo vivendo, con il processo di transizione digitale in atto.

Lo è perché stiamo parlando di una sfida che, se vinta, porrà il nostro Paese sul piano geopolitico in una posizione di maggiore autonomia, sul fronte delle politiche cyber.

Lo scorso maggio, a seguito del grave attacco malware ai danni dell’oleodotto Colonial Pipeline, negli Stati Uniti, è stato il nostro sottosegretario di Stato alla Presidenza del Consiglio dei ministri, Franco Gabrielli, a richiamare l’attenzione su questo tema.

Come è stato detto, da parte dello Stato italiano c’è la volontà di rispondere non solo alle comuni minacci criminali cibernetiche ma anche agli attacchi cyber di matrice statuale.

Secondo la più recente Relazione del comparto intelligence, nel 2020, si è registrato un generale incremento delle aggressioni degli assetti informatici rilevanti per la sicurezaz nazionale (+20%).

Ecco perché io ritengo che l’Agenzia abbia l’ambizione, da un lato, di migliorare la capacità di risposta strategica del Paese di fronte a scenari di guerra ibrida – in cui l’ecosistema cyber è un campo di battaglia a tutti gli effetti – , e dall’altro lato, di supportare il comparto di intelligence e forze armate nella loro attività quotidiana al servizio del Paese.

Mi avvio alle conclusioni.

L’Agenzia, accanto alla protezione delle infrastrutture essenziali, a mio avviso, potrà e dovrà svolgere un ruolo di programmazione in grado di superare lo stesso perimetro cibernetico nazionale, garantendo unicità di indirizzo nell’evoluzione tecnologica e strategica del Paese.

Il 2021 è stato un anno di svolta.

L’Italia doveva “cambiare macchina” per affrontare le nuove sfide.

E lo ha fatto. Ora, come ha detto Lei, sottosegretario Gabrielli, “è il momento di correre”.

La più grossa minaccia per le democrazie occidentali non arriverà dai virus. La pandemia ha messo ancor di più in connessione le nostre vite e condiviso i nostri dati che viaggiano e si muovono in questo grande cyber-spazio sopra e intorno e a noi.

Alle istituzioni spetta l’onere di proteggerlo.

E’ l’ambito cyber di esercizio della sovranità statale.

Antonio

VIDEO INTEGRALE CONFERENZA STAMPA

INTERVISTA SENATO TV AL SENATORE DE POLI 

INTERVISTE AL PRESIDENTE CASELLATI, SENATORE DE POLI E SOTTOSEGRETARIO GABRIELLI

PASSAGGIO A TG PARLAMENTO 

VIDEO TRIVENETATV

VIDEO SENATORE DE POLI 

SPECIALE SENATO TV

 

FOTOGALLERY