Mentre l'allarme per i cyber-attacchi si fa più pressante, il governo vara e presenta la Strategia nazionale di cybersicurezza 2022-2026: un cambio di passo nel segno della continuità, e non dell'emergenza; un'ottantina di azioni per rafforzare la resilienza nella transizione digitale del sistema Paese; conseguire l'autonomia strategica in ambito cibernetico; anticipare l'evoluzione della minaccia; gestire le crisi e contrastare la disinformazione online. Un piano atteso da tempo e un tema quanto mai all'ordine del giorno, con la guerra in corso in Ucraina combattuta anche sul fronte cyber, con attacchi che quotidianamente colpiscono siti di istituzioni, banche ed aziende italiane, illustrato oggi a Palazzo Chigi dall'Autorità delegata per la sicurezza della Repubblica, Franco Gabrielli e dal direttore dell'Agenzia per la cybersicurezza Nazionale, Roberto Baldoni.
"È nostra intenzione intensificare i progetti di sviluppo tecnologico per arrivare a disporre di un adeguato livello di autonomia strategica nel settore" della cybersicurezza "e quindi garantire la nostra sovranità digitale. Per farlo, sarà cruciale stanziare fondi adeguati, con continuità" ha scritto il premier Mario Draghi, nella prefazione alla Strategia nazionale di cybersicurezza 2022-2026. Il piano prevede anche "l'implementazione di un'azione di coordinamento nazionale, coerente con le iniziative adottate a livello europeo per prevenire e contrastare la disinformazione online, che sfruttando le caratteristiche del dominio cibernetico, mira a condizionare/influenzare processi politici, economici e sociali del Paese". Il ricorso sempre più massivo alla disinformazione online, si segnala, richiede, specie quando è strutturata, “azioni preventive e di contrasto sinergiche e coordinate a livello sia nazionale che internazionale per ostacolare i tentativi di mettere a repentaglio il sistema di valori su cui si base il nostro Paese” E sottolinea il presidente del Consiglio: "La strategia italiana per la cybersicurezza unisce sicurezza e sviluppo, nel rispetto dei valori della nostra Costituzione. È in linea con quanto previsto dalla Strategia dell'Unione europea per la cybersicurezza del dicembre 2020, dalla Bussola Strategica per la sicurezza e la difesa dell'Ue del marzo 2022 e dai recenti indirizzi strategici della Nato".
La guerra in Ucraina ha aperto un fronte tecnologico per tutte le nazioni direttamente o indirettamente coinvolte: si teme un'intensificazione delle campagne offensive, nell'ambito della cosiddetta 'guerra ibrida' e la necessità di governare il flusso delle informazioni è diventata una priorità. "Siamo di fronte a attacchi simbolici e non a vere e proprie campagne. Occorre prepararsi a campagne che potranno portare a decine di incidenti" ha chiarito Baldoni, a proposito dei rischi di attacchi informatici alle infrastrutture del Paese. Finora vari attacchi hacker subiti dall'Italia hanno puntato soprattutto alla disinformazione, ha spiegato il direttore dell'Agenzia: "Non vanno a toccare l'infrastruttura digitale ma colpiscono il nostro inconscio e puntano ad una polarizzazione delle opinioni". Una polarizzazione delle opinioni, ha aggiunto, "che viene utilizzata per portare gruppi di utenti verso una strategia che può poi essere utile ai piani anche di attori stranieri". È dunque necessario “anticipare la minaccia, perché quando la minaccia è attiva è già troppo tardi”. Tuttociò tenendo fermo però un punto: "L'Agenzia deve diventare il faro a cui tutti si dovranno interconnettere, ma la gestione degli attacchi non si delega all'Agenzia. Noi forniamo le misure, le linee guida, ma poi ognuno deve adottarle al suo interno. Nella cybersicurezza non si delega". Insomma, un impegno comune e partecipato, dai vari soggetti in campo.
Il governo ha quindi accelerato per alzare le difese e creare le condizioni per un perimetro di sicurezza nazionale cibernetica, che comprende le aziende, sia pubbliche che private dalle telecomunicazioni alla sanità, dal settore energetico a quello finanziario, dai trasporti alla difesa, dallo spazio ai servizi digitali: attività fondamentali per gli interessi dello Stato.
Il tema “legittimamente rappresenta una delle preoccupazioni soprattutto in questo momento di contesto bellico” ha detto Franco Gabrielli, sottosegretario alla Presidenza del Consiglio dei ministri, e Autorità delegata alla sicurezza della Repubblica. "Il Paese vive una condizione di deficit complessivo di sicurezza del dominio cibernetico, la maggior parte dei server non ha standard che garantiscono la sicurezza dei dati. E' un ritardo che pesa", ha osservato Gabrielli. "Non serve però - ha aggiunto - un atteggiamento isterico. Se ogni volta che che c'è un attacco 'dos' (Denial of service) pensiamo che il Paese è alla mercè di potenze straniere non si capisce il livello di minaccia". Il punto non è l'attacco, "ma la conseguenza dell'attacco. Ci sono strutture in grado di poterlo sostenere e altre meno. Si calcola che nel mondo ci siano 40 gang che operano nel ransomware e che prima avevano decuplicato il fatturato. Adesso vanno di moda i russi, ma non è così: il mondo è molto più ampio e diversificato e insidioso", nota il sottosegretario. Servono "consapevolezza, sangue freddo, cultura", ha continuato aggiungendo che "le battaglie si fanno insieme". Poi assicura: ”Già oggi, a legislazione vigente, l'intelligence gode delle garanzie funzionali e può svolgere attività di contrattacco in campo cyber" sottolineando che "la certa individuazione dell'attaccante non è sempre immediatamente circoscrivibile ed un'attività di contrattacco che sbagli il bersaglio implica conseguenze molto più complicate da gestire dell'attacco stesso". Sul piano operativo, "nei prossimi giorni il Presidente del Consiglio firmerà documento in cui nominerà i componenti del Comitato tecnico scientifico” che affiancherà l’Agenzia.
La Strategia verrà finanziata con una quota pari all'1,2% degli investimenti nazionali lordi. Vanno colmati ritardi di anni: il ministro per l'Innovazione tecnologica, Vittorio Colao, ha dichiarato che il 95% dei server della Pubblica amministrazione non rispetta gli standard sicurezza; il direttore Baldoni ha segnalato più volte la carenza di professionalità in questo campo, caratterizzato da un fuga all'estero dei giovani verso Paesi che offrono remunerazioni maggiori e la necessità, conseguente, di puntare sulla formazione di personale specializzato, la cui mancanza è una delle debolezze dell'Italia; c'è poi da scontare l'assenza di prodotti tecnologici 'made in Italy', che portano ad una dipendenza dall'estero che può aprire a vulnerabilità, come nel caso degli antivirus di produzione russa usati da molte amministrazioni. Proprio quello del conseguimento dell'autonomia strategica nella dimensione cibernetica è uno degli obiettivi più ambiziosi della Strategia.
Da qui la necessità di un potenziamento dell'Agenzia per la cybersecurity, che già nel 2023 dovrebbe aumentare il numero del personale impiegato (a oggi un centinaio di persone) e quello della dotazione finanziaria: 41 milioni di euro per il 2022, destinati progressivamente a crescere fino ai 122 milioni previsti nel 2027. Vi saranno poi le risorse dei programmi Orizzonte Europa ed Europa Digitale, nonché del Pnrr, che stanzia 623 milioni di euro per la cybersicurezza. Possibili sgravi fiscali per le aziende e la creazione di aree nazionali a tassazione agevolata per la costituzione di un 'Parco nazionale della cybersicurezza' e dei relativi hub delocalizzati sull'intero territorio italiano.
Intanto, per colmare la carenze di risorse, sulla scia della firma della Strategia Nazionale le università Luiss Guido Carli e Sapienza Università di Roma hanno siglato la nascita di un nuovo Dottorato di ricerca in 'Cybersecurity', per formare ricercatori capaci di operare in ambito accademico e nelle istituzioni pubbliche e private e sviluppare nuove tecnologie e professionisti con competenze ingegneristiche e gestionali, specializzati in innovazione e digitale. Ma anche favorire la fondazione di startup basate sui prodotti sofisticati di ricerca più avanzata. I due atenei spiegano che il percorso, in partenza a novembre 2022, prevede il finanziamento di 5 borse per ciascun anno accademico (3 da Sapienza e 2 dalla Luiss).
"L'accordo che abbiamo siglato con la Luiss costituisce un proficuo terreno di confronto, anche per sviluppare e approfondire tematiche emergenti ed innovative come quelle della cybersecurity e della sostenibilità, settori strategici per lo sviluppo della società e dell'economia del Paese" afferma la Rettrice della Sapienza Antonella Polimeni. "In questi ambiti disciplinari - sottolinea- il nostro Ateneo ha una competenza scientifica maturata negli anni grazie alle attività di ricerca transdisciplinari, rafforzate dal fitto dialogo con tutti gli stakeholder pubblici e privati, nonché grazie alle iniziative volte a formare e stimolare nuovi talenti, come la Cyber Challenge, il corso di laurea in Cybersecurity e il recente dottorato nazionale in Intelligenza artificiale".
Per l'Ateneo intitolato a Guido Carli, il nuovo Dottorato rappresenta solo l'ultimo tassello di un nuovo mosaico disciplinare in cui lo studio e la ricerca sui temi cyber hanno assunto crescente rilevanza: lo scorso marzo, infatti, l'Ateneo ha firmato un accordo di collaborazione con l'Agenzia per la Cybersicurezza Italiana, per lo scambio di conoscenze scientifiche e le possibilità di sviluppare programmi formativi congiunti, in occasione del lancio della quinta edizione del master in "Cybersecurity" nato da un'idea della Vicepresidente Luiss, Paola Severino, ed organizzato dalle 4 scuole post-lauream dell'Ateneo. "È una collaborazione importante quella tra il nostro Ateneo e l'Università Sapienza per formare ricercatori e professionisti con forti competenze su cybersecurity e innovazione digitale" evidenzia il Rettore della Luiss Andrea Prencipe sottolineando che "il Pnrr ha stanziato fondi significativi in quella area e c'è bisogno di costruire percorsi di ricerca interdisciplinari in grado di coprire tutto lo spettro delle attività per garantire sicurezza delle informazioni e sistemi di protezione e prevenzione delle nostre infrastrutture digitali".