di Ranieri Razzante
Una risposta dura e risoluta contro la cyberwar lanciata dagli hacker di tutto il mondo anche contro il nostro Paese. La nascita dell’Agenzia per la cybersicurezza, unita alla riorganizzazione del comparto intelligence e security dedicato al contrasto alla criminalità informatica, è quanto mai tempestiva, ed è avvenuta proprio a ridosso dell’attacco informatico alla Regione Lazio.Il decreto-legge del 14 giugno scorso, n. 82, ha trovato conversione con la legge 4 agosto 2021, n. 10, con la quale si attuano le “Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”.Il tutto in attuazione del d.lgs. del 18 giugno 2018, n. 65, che aveva recepito la Direttiva Ue 2016/1148 del 6 luglio del 2016, cosiddetta “NIS” (Network and Information Security), ove erano – in sintesi – stati disegnati cornice e strumenti per le difese nazionali delle infrastrutture critiche e informatiche dei Paesi europei.Le disposizioni italiane contengono una serie di novità di non poco conto per l’ordinamento giuridico del nostro Paese.Innanzitutto, la delimitazione degli oggetti di tutela: reti, sistemi informativi, servizi informatici, comunicazioni elettroniche, al fine di assicurarne – recita l’art. 1 – “la disponibilità, la confidenzialità, l’integrità, la resilienza”. Beni comuni, tra pubblico e privato, in una concettualizzazione chiarificatrice che il decreto fa delle minacce e degli strumenti di contrasto.Troppo il ritardo accumulatosi nel nostro Paese, come hanno sottolineato le Autorità di settore. Una cultura dell’attacco non convenzionale che non è stata recepita dai Governi precedenti, senza nulla togliere alle strutture di intelligence e alle forze di polizia del nostro Paese, che pure troppo hanno fatto in assenza di cornici regolamentari chiare e di strumenti rafforzativi a disposizione.Se vogliamo, però, ma è magra consolazione, anche il resto dei Paesi membri dell’Unione europea non è assai più avanti nel comparto. Qualche cenno alle principali iniziative forse lo dobbiamo.Partendo però da oltreoceano. A gennaio, il Dipartimento della Difesa degli Stati Uniti (DoD) ha rilasciato la “Cybersecurity Maturity Model Certification” (CMMC), uno standard unificato per l’implementazione della sicurezza informatica in tutta la base industriale della difesa (DIB), che comprende oltre 300mila aziende nella catena di approvvigionamento. Il CMMC esamina e combina vari standard e migliori pratiche di sicurezza informatica, mappando controlli e processi su diversi livelli di maturità che vanno dall’igiene informatica di base a quella avanzata.In Spagna, ad aprile, il segretario di stato per la digitalizzazione e l’intelligenza artificiale ha rivelato che il Governo spagnolo investirà più di 450 milioni di euro in un periodo di tre anni per potenziare il settore della sicurezza informatica del Paese. Egli ha anche annunciato l’apertura di una “Hacker Academy” online per i residenti spagnoli dai 14 anni in su per formare e attirare talenti.Ancora, in Francia, a luglio, il Governo ha lanciato un nuovo sistema di allerta per le piccole e medie imprese al fine di supportarle in caso di attacchi informatici, informandole delle azioni da intraprendere in risposta agli incidenti. Quando viene rilevata una vulnerabilità o una campagna di attacco particolarmente critica per le piccole e medie imprese, viene pubblicato un avviso breve e comprensibile per i dirigenti aziendali dal sistema nazionale di assistenza alle vittime e dall’Agenzia nazionale per la sicurezza dei Sistemi Informativi (ANSSI). Viene quindi trasmesso agli organismi tra cui le organizzazioni interprofessionali, le reti consolari delle Camere di commercio e industria (CCI) e le Camere dei mestieri e dell’artigianato (CMA), prima di essere inviato alla dirigenza. Il Governo francese ritiene che la velocità delle informazioni e la capacità di agire immediatamente consentiranno alle aziende di proteggersi meglio e quindi di limitare l’impatto degli attacchi informatici sul tessuto economico francese.
Ad agosto, il ministero della Difesa del Regno Unito (MoD) ha annunciato il completamento del suo primo programma di “bug bounty”. In associazione con HackerOne, ha invitato gli hacker etici a prendere parte a una sfida di 30 giorni per indagare e identificare le vulnerabilità nelle sue risorse digitali che richiedevano una correzione, garantendo loro l’accesso diretto ai propri sistemi interni. Il programma mirava ad aiutare il dicastero a proteggere e difendere meglio i suoi sistemi informatici e 750mila dispositivi, seguendo la nuova strategia informatica del governo del Regno Unito (rilasciata a marzo) per rafforzare la solidità informatica del Paese. Il MoD ha abbracciato una strategia di sicurezza, fin dalla progettazione, con la trasparenza che è parte integrante per identificare le aree di miglioramento nel processo di sviluppo. In Italia il suddetto decreto accentra le competenze, nel senso però del loro migliore coordinamento, che passa alla Presidenza del Consiglio in via diretta. Troppe erano infatti le frammentazioni tra enti, ministeri, organi investigativi, come ribadito nelle audizioni parlamentari.Si chiarisce, in buona sostanza, che al ministero della Difesa rimarrà l’avanzata expertise e cura della protezione delle strutture militari e strategiche, al Dis e ai Servizi la raccolta di informazioni, alle Forze di Polizia la repressione degli attacchi cyber.Viene creato un “Comitato interministeriale per la cybersicurezza”, con funzioni consulenziali, di proposta e vigilanza sulle policy in materia. In sostanza, ci finiscono i rappresentanti dei dicasteri tutti, ed è evidente, con ciò, la “trasversalità” della minaccia, così come la necessità integrata della risposta. Esso sostituirà il Comitato per la sicurezza della Repubblica.
L’Agenzia avrà un direttore (Il professor Roberto Baldoni, attualmente vice direttore del Dis) e un vice (la dottoressa Nunzia Ciardi, attuale capo della Polizia Postale), due figure di indubbio riferimento e prestigio sulla materia.La centralità dell’Agenzia si ravvisa nelle potestà di collegamento pubblico-privato, attraverso convenzioni ad hoc. Essa è inoltre autorità unica di certificazione di competenze e qualifiche, e ciò consentirà di formare personale specializzato, di cui in verità il nostro Paese ha bisogno. Quello della formazione è, difatti, un refrain per il Governo, che punta su esperti interni ed esterni per andare a “skillare” anche nuclei investigativi appositi per le indagini sui “ransomware”.
Non più la mera protezione del dato, ferma spesso – nel comune sentire – agli antivirus classici e alle misure di sicurezza, che pure devono rimanere. Ma uno “scudo” protettivo dello Stato sulle attività pubbliche e private, perché i casi all’ordine del giorno insegnano – al di là dei numeri – che nessuno è al sicuro, dal piccolo commerciante all’azienda di Stato.La creazione di un cloud che faccia da “recovery” dei dati essenziali da proteggere è una delle mission più importanti, nonché – come conclusione sembra la migliore – “il rafforzamento dell’autonomia industriale e tecnologica dell’Italia, valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali” (art. 7, comma 2, lett. m-bis). Una “nostra” industria cyber, insomma.Le prospettive sono rassicuranti, e dobbiamo crederci, soprattutto nella destinazione di risorse economiche da parte sia dello Stato sia dei privati, perché la sicurezza fisica si sta legando sempre più alla protezione di quella informatica.
