Dopo l’adozione nel 2013 del Quadro strategico nazionale per la protezione dello spazio cibernetico e dell’annesso Piano nazionale per la protezione cibernetica e la sicurezza informatica poi aggiornato nel 2017, il 25 maggio scorso è stata presentata la Strategia nazionale di cybersicurezza 2022-2026 e il relativo piano di implementazione.
Tale strategia, in particolare, partendo dalla constatazione che nello spazio cibernetico trovano posto, interconnessi e comunicanti, innumerevoli servizi tesi a consentire lo svolgimento delle attività socio-economiche fino ad arrivare all’esercizio delle funzioni essenziali dello Stato, evidenzia con piena consapevolezza l’esigenza di porre la cybersicurezza al centro della trasformazione digitale. Lo scopo è conseguire l’autonomia nazionale strategica e definire, dunque, adeguate strategie volte a pianificare, coordinare e attuare misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale e assicurare la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali.
Se questo è il macro-obiettivo, la strategia pone in luce una duplice esigenza: da un lato, mettere in sicurezza infrastrutture, sistemi e informazioni dal punto di vista tecnico, pensando la cybersicurezza non come un costo bensì come un investimento. Dall’altro, accompagnare il progresso culturale a ogni livello della società verso un approccio “security-oriented”, indispensabile per tutelare il sistema valoriale e democratico nazionale.
Centrale, al di là delle figure istituzionali a diverso titolo chiamate a esercitare competenze in materia cyber, è l’approccio “whole-of-society” secondo cui a svolgere un ruolo attivo sono chiamati tutti gli attori e, dunque, gli operatori privati, il mondo accademico e della ricerca, nonché la società civile nel suo complesso e la stessa cittadinanza, nell’idea che l’obiettivo ultimo della sicurezza cibernetica nazionale possa essere raggiunto solo attraverso un gioco di squadra che veda fattivamente coinvolte tutte le componenti socio-economiche.
Per quanto concerne le sfide da affrontare, la strategia mette a fuoco una serie di rilevantissime questioni collegate all’esigenza di assicurare una transizione digitale cyber resiliente della pubblica amministrazione e del tessuto produttivo, perseguire l’autonomia strategica nazionale ed europea nel settore del digitale con riguardo, in particolare, alla produzione di software e alle cosiddette Emerging and Disruptive Technologies (ad esempio, l’intelligenza artificiale e il quantum computing) attraverso cui detenere un controllo diretto sui dati conservati, elaborati e trasmessi mediante tali tecnologie, anticipare l’evoluzione della minaccia cyber, gestire le crisi cibernetiche e contrastare la disinformazione online nel più ampio contesto della cosiddetta minaccia ibrida.
Con riferimento, invece, agli obiettivi, la strategia ne individua tre: protezione, risposta e sviluppo. Per ciascuno di essi declina una serie di misure – complessivamente 82 – con relativi attori responsabili, prevedendo inoltre la definizione di metriche e di Key Performance Indicator (KPI) come strumenti che consentano di misurarne l’effettiva attuazione ed efficacia.
Centrale anche il tema delle risorse, rispetto alle quali la strategia annuncia, oltre agli strumenti finanziari già assegnati alle amministrazioni con competenza in materia cyber, appositi fondi previsti di anno in anno dalle leggi finanziarie, per supportare specifici progetti di interesse. A ciò si aggiungeranno i finanziamenti che l’Agenzia sarà chiamata a gestire in quanto Centro Nazionale di Coordinamento (Ncc), che confluendo nella rete dei centri nazionali di coordinamento, consentirà al Paese di accedere ai finanziamenti provenienti dai programmi Orizzonte Europa ed Europa Digitale. Rispetto al Piano nazionale di ripresa e resilienza (Pnrr), la stessa strategia richiama la Missione 1 “Digitalizzazione, Innovazione, Competitività, Cultura e Turismo” e, in particolare, l’investimento 1.5 “Cybersecurity”, per complessivi 623 milioni di euro, rimesso all’Agenzia per la Cybersicurezza Nazionale quale soggetto attuatore e che prevede la realizzazione di specifiche progettualità per la creazione e lo sviluppo di servizi all’avanguardia per la gestione del rischio cyber, con strette connessioni, a livello nazionale e internazionale, con tutti i principali partner della pubblica amministrazione, dell’impresa e dei fornitori di tecnologia.
Nel raggiungimento degli obiettivi fissati dalla strategia, sarà cruciale il ruolo dell’Agenzia per la Cybersicurezza Nazionale (Acn) che, nel rispetto delle competenze in materia assegnate ad altre amministrazioni, è, come noto, chiamata a svolgere numerosissime funzioni. In particolare, a operare come ente regolatore, certificatore, nonché di vigilanza del settore della cybersicurezza, a curare e promuovere la definizione e il mantenimento di un quadro normativo aggiornato e coerente nel settore della cybersicurezza, a contribuire a ridurre il rischio derivante dall’approvvigionamento tecnologico, incrementando i livelli di sicurezza della supply chain, a sviluppare le capacità di monitoraggio, rilevamento, prevenzione, analisi e risposta agli incidenti cibernetici. E ancora, a coordinare, in raccordo con il ministero degli Affari esteri, la cooperazione internazionale nella materia della cybersicurezza, a supportare lo sviluppo di competenze e capacità industriali, tecnologiche e scientifiche, a promuovere la formazione e la crescita tecnico-professionale delle risorse umane nel campo della cybersicurezza e a svolgere attività di comunicazione e di promozione della consapevolezza riguardo al tema della cybersicurezza e ad operare quale Centro Nazionale di Coordinamento (Ncc).
Ai fini dello svolgimento delle funzioni sopra illustrate, operano presso l’Agenzia il Computer Security Incident Response Team (Csirt) Italia, con funzione di prevenzione, monitoraggio, rilevamento, analisi e risposta ad incidenti cibernetici, il Centro di valutazione e certificazione nazionale (Cvcn), che si occuperà di verificare la sicurezza e l’assenza di vulnerabilità note in beni, sistemi e servizi ICT in uso nelle infrastrutture da cui dipendono le funzioni e i servizi essenziali del Paese e il Centro nazionale di coordinamento in materia di cybersicurezza nell’ambito industriale, tecnologico e della ricerca.
Si tratta di un cambio di paradigma importantissimo che ha determinato il superamento del precedente frammentato e farraginoso riparto di competenze in favore di un sistema che ruota intorno a un unico soggetto governativo che si affianca alle autorità di prevenzione e repressione dei reati informatici (Forze di polizia), di difesa e sicurezza militare dello Stato nello spazio cibernetico (Ministero della Difesa) e di ricerca ed elaborazione informativa (Organismi di informazione per la sicurezza).
CONCLUSIONI
La sensazione che permane dopo la lettura della strategia 2022-2026 è certamente positiva e foriera di speranza per il futuro. È chiara la visione adottata, condivisibili gli obiettivi e le misure proposte, encomiabile il tentativo di spiegare concetti complessi con linguaggio semplice, nella logica di favorire il pieno coinvolgimento di tutta la società chiamata a offrire un contributo all’instaurazione di un ecosistema digitale improntato a sicurezza e fiducia.
Sebbene il bilancio sia complessivamente positivo, la strategia sollecita tuttavia qualche riflessione legata all’approccio seguito e alla fase di implementazione.
Per quanto a livello teorico la strategia individui obiettivi e misure certamente validi e aderisca condivisibilmente a un approccio “whole-of-society”, chiarendo che la cybersicurezza è frutto inevitabilmente di un lavoro di squadra, diversi passaggi appaiono perfettibili. Ci si riferisce, ad esempio, rispetto al tema risorse, al fatto che la strategia richiama, come se fosse scontata la possibilità di successo, programmi europei in cui invece la competizione è molto ampia e agguerrita. Nonché al riferimento a “specifici progetti di interesse” e all’impegno a stanziare con continuità negli anni adeguati fondi che appaiono privi di quella concretezza definitoria utile alla comprensione e alla pianificazione. Stessa vaghezza emerge rispetto al tema KPI, di cui la strategia richiede l’individuazione senza tuttavia fornire indicazioni di metodo.
Da un punto di vista più generale, l’entusiasmo che la strategia desta si scontra con la realtà. La strategia ribadisce in diversi passaggi la necessità di disporre delle necessarie competenze sia qualitative che quantitative indispensabili per darvi attuazione in un contesto, quale quello italiano, che sconta uno dei più gravi skills gap al mondo e un’elevata percentuale di analfabeti digitali che, evidentemente, per essere superata, ha bisogno di iniziative formative che richiedono innanzitutto la disponibilità, a oggi niente affatto scontata, di docenti adeguati e, comunque, di tempistiche attuative certamente non fulminee e di campagne davvero in grado di accrescere la consapevolezza della cittadinanza. Anche l’obiettivo della sovranità in cybersicurezza, che deve essere dell’intero Sistema Paese, deve inevitabilmente confrontarsi col fatto che attualmente l’Italia ha una forte dipendenza dall’estero rispetto alle tecnologie emergenti e che tale ritardo di sviluppo richiede anch’esso un tempo per essere – auspicabilmente – colmato.
Da ultimo, in tema governance, se il quadro descritto dalla strategia appare molto articolato e giustamente incentrato per grande parte sul ruolo attivo dell’Agenzia, non può non considerarsi come si tratti di una mole di attività e competenze decisamente complessa da fronteggiare ove si consideri che le procedure di selezione del personale sono in corso e porteranno entro il 2027 (dunque un tempo non brevissimo) a 800 unità.
La sfida è grande, la partita importante, il successo indispensabile per accompagnare in maniera sicura la transizione digitale.
