Se la sicurezza cibernetica fosse una trasmissione televisiva, recentemente si sarebbe notato un’impennata negli ascolti. Complici sono stati lo stanziamento di 150 milioni nell’ultima legge di stabilità per il “potenziamento degli interventi e delle dotazioni strumentali in materia di protezione cibernetica e di sicurezza informatica nazionali” e la possibile nomina da parte del governo dell’imprenditore Marco Carrai a capo di una non meglio precisata “agenzia cibernetica”.
La pubblicazione a marzo del Documento di sicurezza nazionale (Dsn), redatto dal Dipartimento delle informazioni per la sicurezza (Dis) e allegato alla Relazione sulla politica della sicurezza 2015, ha purtroppo suscitato meno clamore dei precedenti episodi, sebbene avrebbe meritato decisamente più spazio. Il Dsn, infatti, è al momento l’unico documento ufficiale che offre una panoramica aggiornata sulla “messa a sistema” degli attori delineati nel Quadro Strategico e dell’implementazione del Piano nazionale, i due documenti di riferimento della strategia governativa sulla sicurezza informatica pubblicati nel dicembre 2013. Il Dsn 2015 sarebbe potuto diventare un elemento chiave nella storia della politica di protezione dello spazio cibernetico italiano, poiché sembrava dovesse contenere la “matrice di verifica” sull’implementazione del Piano nazionale.
Infatti, secondo il Dsn 2014, la matrice di verifica è lo “strumento idoneo a misurare, al termine del biennio di validità del Piano Nazionale (2014-2015), il complessivo livello di crescita degli assetti cyber nazionali e la loro capacità di rispondere […]” alle minacce dello spazio cibernetico. Gli esperti di politiche di sicurezza cibernetica aspettavano con ansia la valutazione delle politiche pubbliche poste in essere con il Quadro Strategico e il Piano Nazionale, purtroppo non presente nel Dsn 2015. Premessa la possibilità che i risultati siano pubblicati nel Documento dell’anno venturo, rimane quanto mai urgente certificare l’effettivo stato delle istituzioni e degli strumenti preposti alla protezione dello spazio cibernetico, a maggior ragione a fronte di una minaccia in costante aumento, sia da un punto di vista qualitativo che quantitativo. Sebbene qualche cosa di concreto si stia muovendo e vi siano degli sforzi evidenti nella giusta direzione, è difficile al momento essere completamente fiduciosi sullo stato delle sicurezza cibernetica a livello nazionale.
A tal riguardo, un recente rapporto dello IAI, pubblicato nella collana “Osservatorio di politica internazionale” del Parlamento italiano, evidenzia le principali criticità del Quadro strategico e del Piano nazionale. In particolare la ricerca sottolinea:
1) l’istituzionalizzazione di una governance che, anche in virtù della natura stessa dell’ordinamento costituzionale italiano, rende complesso identificare la linea politica in materia di sicurezza cibernetica;
2) un meccanismo di risoluzione delle crisi cibernetiche in seno al Nucleo per la sicurezza cibernetica (Nsc) che potrebbe essere razionalizzato con una diminuzione degli attori al suo interno;
3) la sovrapposizione di ruoli e di competenze degli attori pubblici nel rapporto con il settore privato;
4) la necessità di disporre di maggiore operatività in termini quantitativi e qualitativi nelle attività quotidiane di prevenzione, gestione e contrasto della minaccia cibernetica a livello di Computer Emergency Response Centers (Certs);
5) l’esigenza di allocare maggiori risorse al settore, anche visti i fondi previsti in paesi come la Francia (circa 1 miliardo) e la Gran Bretagna (circa 2,5 miliardi).
Il rapporto ha fatto emergere un quadro che non è sicuramente di facile analisi. Da un lato, è forse meno problematico di quello che ci si potesse attendere dalla sola lettura della legislazione e dei documenti ufficiali anche se, dall’altro, risulta più complesso per gli aspetti menzionati sopra. In generale, nonostante “l’ecosistema di sicurezza cibernetica” sembra stia trovando il suo equilibrio, si può affermare che la sua struttura e i suoi meccanismi possano essere rivisti e migliorati. Che fare, dunque? Certamente, in aggiunta ai risultati emersi dalla ricerca IAI, sarebbe fondamentale conoscere l’esito della verifica dell’implementazione del Piano nazionale. Poi, dopo aver determinato il quadro globale della sicurezza cibernetica italiana, più che abbattere quello che si è costruito, si dovrebbe prendere quanto di buono fatto finora e guardare alle criticità dell’attuale sistema in ottica riformatrice.
Come da più parti auspicato si dovrebbe armonizzare in unico corpo normativo l’intero settore della sicurezza delle informazioni, possibilmente con una norma di carattere superiore ad un Dpcm. Alcune recenti proposte di legge presentante alla Camera, come ad esempio la 3544, costituiscono sicuramente una buona base di partenza per eventuali discussioni in materia.
Sarebbe tuttavia fuorviante pensare che solo uno o pochi attori del sistema di sicurezza cibernetico si possano fare carico di una riforma che deve essere complessiva. La natura poliedrica della minaccia presuppone che al tavolo delle negoziazioni debbano sedere interlocutori provenienti dal settore pubblico, privato, della politica, dell’accademia e della ricerca scientifica. In preparazione alle prossime sfide provenienti dallo spazio cibernetico, l’istituzione di un Cyber Policy Dialogue, in cui convergano e si amalgamino le diverse parti costituenti del sistema di protezione cibernetico nazionale, sembra quanto mai necessario.
www.affarinternazionali.it