Nasce in Italia l’Agenzia per la cybersicurezza nazionale: è una svolta epocale o solo un intervento tardivo?
Con il progressivo incremento della facilità di fruizione della connessione ad Internet, negli ultimi anni l’Italia si è trovata sempre più esposta ad attacchi informatici, molte volte a danno della Pubblica Amministrazione. Le piattaforme digitali di enti pubblici che erogano servizi (anche essenziali) per il cittadino, infatti, vengono costantemente aggredite a causa dell’insufficienza di sistemi di protezione o protocolli di autenticazione.
A seguito della pandemia da COVID-19, inoltre, il già crescente utilizzo di dispositivi informatici e del web ha subito una accelerazione senza precedenti. Agli svariati lati positivi generati da questo incremento, dobbiamo tuttavia aggiungere anche le conseguenze negative. L’incredibile balzo tecnologico ha portato con sé un sostanzioso aumento degli attacchi informatici, aventi spesse volte come obiettivo non soltanto enti pubblici, ma anche le aziende private già martoriate dalla disastrosa situazione economica post-pandemica. Il 2020, in particolar modo, è stato un anno d’oro per i cybercriminali. Secondo i risultati di una ricerca condotta dall’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano, il 40% delle grandi imprese ha visto aumentare gli attacchi informatici subiti rispetto all’anno precedente.
La crescita del 4% della spesa in soluzioni di cybersecurity da parte delle aziende italiane, che nel 2020 ha raggiunto la cifra di 1,37 miliardi €, non è più sufficiente. Per far fronte alla ormai fondamentale esigenza di cybersecurity dei cittadini italiani, è giunto il momento di un deciso intervento da parte dello Stato. Il Piano Nazionale di Ripresa e Resilienza (PNRR) e la costituzione di un’Agenzia nazionale di cybersecurity vanno finalmente in questa direzione.
Problemi di cybersecurity nazionale
La crescita degli attacchi informatici in Italia non accenna a placarsi neanche nei primi mesi del 2021, complice lo scarso livello di sicurezza dei siti web legati alla Pubblica Amministrazione. A descrivere questa situazione a giugno 2021 è Vittorio Colao, Ministro per l’innovazione tecnologica e la transizione digitale nel Governo Draghi. Secondo il Ministro, “l’ultimo censimento del patrimonio delle infrastrutture di elaborazione dati ha rilevato che circa il 95% delle infrastrutture dati della Pubblica amministrazione è privo dei requisiti minimi di sicurezza e affidabilità necessari per fornire servizi e gestire dati”. Un quadro desolante, che mostra tutta la vulnerabilità delle infrastrutture informatiche in assenza di sistemi di cybersecurity sufficienti a tutelare i cittadini italiani.
Si tratta di un problema che non deriva direttamente da scelte politiche, quanto piuttosto da un retaggio culturale ormai arcaico. La popolazione italiana non è ancora del tutto consapevole dell’entità del rischio che la Pubblica Amministrazione corre ogni giorno, lavorando senza sistemi di cybersecurity in settori particolarmente delicati come quello della sanità.
Per il Ministro Colao “è fondamentale far sì che i dati in possesso della Pubblica amministrazione siano inviolabili”, ma la strada da percorrere è ancora lunga. Secondo uno studio condotto dall’Agid, l’Agenzia per l’Italia Digitale, solo il 9% dei siti della Pubblica Amministrazione è “sufficientemente sicuro” e il 67% presenta “gravi problemi di sicurezza”. Il 2% dei domini della PA, addirittura, non utilizza neanche il protocollo HTTPS, standard di crittografia di dati di base per avere una connessione sicura.
Non è un caso che, poco più di un anno prima della del rilascio della dichiarazione del Ministro per l’innovazione tecnologica, è stato scoperto quello che la Polizia postale ha definito come il più importante attacco hacker alla Pubblica Amministrazione italiana. Tra le diverse vittime prese di mira, numerosi comuni sul territorio italiano, banche dati dell’Agenzia delle entrate, Inps e Aci. Dati rubati e venduti su un portale illecito, contenenti centinaia di nomi, cognomi, dati sensibili, indirizzi, posizioni retributive e contributive.
PNRR, sicurezza cibernetica e cloud
Le dichiarazioni del Ministro Colao, per quanto sinceramente dolorose, costituiscono una netta apertura da parte dello Stato nei confronti del bisogno di sicurezza cibernetica dello stivale. Una sensibilità confermata anche dal contenuto del Piano Nazionale di Ripresa e Resilienza (PNRR), stilato dal Governo italiano nell’ambito dell’utilizzo dei fondi del NextGeneration UE, il fondo approvato nel luglio 2020 dal Consiglio europeo al fine di sostenere gli Stati membri colpiti dalla pandemia di COVID-19.
Costituendo uno dei settori interessati dagli interventi previsti dal PNRR nell’ambito della digitalizzazione della Pubblica Amministrazione, infatti, la sicurezza cibernetica sarà finanziata con un fondo di 620 milioni di euro totali per potenziare personale e strutture di cui:
- 241 milioni per la creazione di una infrastruttura per la cyber sicurezza;
- 231 milioni per il rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica;
- 15 milioni per il rafforzamento delle capacità nazionali di difesa informatica presso il Ministero dell’Interno, Ministero della Difesa, Guardia di Finanza, Giustizia e Consiglio di Stato.
Per garantire ulteriormente la sicurezza informatica dei dati dei cittadini italiani, si terranno i bandi di gara per un cloud pubblico. L’idea è quella di creare un polo strategico nazionale in cloud, che possa consentire la conservazione in totale sicurezza delle applicazioni della PA e dei dati dei cittadini.
Il PNRR ha destinato a questa operazione 900 milioni di euro con l’obiettivo di mettere l’amministrazione pubblica nella posizione di poter gestire grandi quantità di dati, eliminare i data center locali ritenuti obsoleti e non sicuri, nonché condividere le banche dati in modo rapido ed efficiente tra le diverse istituzioni.
L’Agenzia per la cybersicurezza nazionale
Il perno intorno al quale ruota il progetto di transizione digitale dello Stato italiano è rappresentato dalla nascita dell’Agenzia per la cybersicurezza nazionale, così come previsto dal D.L. 82/2021 pubblicato in Gazzetta Ufficiale n.40 del 14 giugno 2021.
Il suddetto decreto, che reca “disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale”, entrerà in vigore il 29 giugno 2021. Seppur, come abbiamo visto, si attendeva da tempo un intervento di questo tipo da parte dello Stato italiano, questo provvedimento costituisce una vera e propria svolta.
Salvaguardare l’efficace erogazione dei servizi pubblici e l’enorme patrimonio di dati dei cittadini è diventato un bisogno indispensabile. L’evolversi delle nuove tecnologie non può più prescindere da un’altrettanto forte crescita della sicurezza informatica, la cui assenza minerebbe lo sviluppo dell’economia del paese. Con l’intento di raggiungere questi obiettivi, tramite l’art. 5 del D.L. 82/2021 il Governo Draghi ha istituito l’Agenzia per la cybersicurezza nazionale.
Sarà un ente pubblico dall’organico competente in materia di sicurezza cibernetica, che verrà selezionato tramite concorso pubblico. Per specifici progetti di assoluta importanza, l’Agenzia potrà poi avvalersi di esperti in possesso di alta e particolare specializzazione, tramite incarichi a tempo determinato. L’organico selezionato lavorerà sotto la guida di un dirigente di prima fascia, il cui mandato avrà una durata di quattro anni.
All’Agenzia, che verrà considerata come ente principale in materia di cybersecurity, sono state attribuite numerose competenze fino ad ora riservate ad altri organi quali il Ministero dello Sviluppo Economico, la Presidenza del Consiglio dei ministri, il Dipartimento delle informazioni per la sicurezza (DIS) e l’Agenzia per l’Italia digitale (AgID). Tra i principali compiti facenti capo alla neonata Agenzia per la cybersecurity nazionale, previsti dall’art. 7 del D.L. 82/2021, sono da segnalare:
- il coordinamento dei soggetti pubblici coinvolti in materia di cybersicurezza;
- la promozione di azioni dirette a garantire la sicurezza e la resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese;
- la predisposizione della strategia nazionale di cybersicurezza;
- l’accertamento delle violazioni e l’irrogazione delle sanzioni amministrative previste in materia di sicurezza delle reti e dei sistemi informativi;
- lo sviluppo delle capacità nazionali di prevenzione, monitoraggio, rilevamento, analisi e risposta per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici;
- la cura e la promozione di un quadro giuridico nazionale aggiornato, esprimendo pareri non vincolanti sulle iniziative legislative in materia di cybersicurezza;
- la comunicazione e promozione della consapevolezza in materia di cybersicurezza, contribuendo allo sviluppo di una cultura nazionale in materia;
- la promozione della formazione tecnico-professionale delle risorse umane nel campo della cybersicurezza, sviluppando e finanziando specifici progetti ed iniziative.
Normativa ulteriore rispetto all’Agenzia per la cybersicurezza nazionale
Il decreto legge che reca “Disposizioni urgenti in materia di cybersicurezza”, che entrerà in vigore il 29 giugno 2021, non disciplina solo la creazione dell’Agenzia per la cybersicurezza nazionale. Attorno a questo organo viene formata una complessa struttura composta da diversi altri enti pubblici.
L’art. 4 del D.L. 82/2021 ha istituito, presso la Presidenza del Consiglio dei Ministri, il Comitato interministeriale per la cybersicurezza (CIC). Tra i principali compiti del CIC quello di propone al Presidente del Consiglio gli indirizzi da perseguire nelle politiche di cybersicurezza nazionale, di sorvegliare sull’attuazione della strategia nazionale di cybersicurezza e di esprimere il parere sul bilancio preventivo e sul bilancio consuntivo dell’Agenzia per la cybersicurezza nazionale.
L’art.8 dello stesso decreto ha poi istituito, presso l’Agenzia per la cybersicurezza nazionale, il Nucleo per la cybersicurezza. Questo avrà il compito di supportare il Presidente del Consiglio dei ministri nella prevenzione e nella preparazione ad eventuali situazioni di crisi di sicurezza informatica.
Con il D.L. 82/2021 l’Italia ha dunque compiuto un deciso passo avanti verso l’istituzione di sistemi di protezione informatici adeguati alla nuova società digitale in cui viviamo. Sarà un processo molto lungo e complesso, ma stiamo piano piano prendendo sempre più coscienza del reale rischio che corrono i nostri dati e la corretta erogazione dei servizi pubblici.
