Generic selectors
Exact matches only
Search in title
Search in content
Top

Dal cyber al cloud, le nuove sfide per il Copasir – Conversazione con l’on. Federica Dieni

Copasir

Dal cyber al cloud, le nuove sfide per il Copasir – Conversazione con l’on. Federica Dieni

La sfida della cybersicurezza e le nuove partite geopolitiche globali sono da tempo all’attenzione del Copasir, il comitato parlamentare di controllo sui servizi segreti che sta acquisendo un ruolo sempre più importante nel perimetro della sicurezza nazionale italiana. Delle sfide future per il sistema-Paese abbiamo voluto oggi conversare con l’onorevole Federica Dieni, vicepresidente del Copasir e esponente del Movimento Cinque Stelle.

Onorevole Dieni, l’Agenzia per la cybersicurezza nazionale è realtà. Quali ritiene siano le principali innovazioni che l’Acn può portare al sistema Paese?

Per rispondere a questa domanda, ritengo sia opportuno partire da un’analisi del contesto. La situazione legata alla cybersicurezza in Italia nell’ultimo periodo ha assunto importanti connotati legati tanto allo sviluppo del digitale che ha interessato tutti noi, specie nel corso della pandemia da COVID19; quanto alla necessità di rafforzare il proprio sistema di difesa soprattutto per quel che riguarda le infrastrutture della pubblica amministrazione. Non a caso il Ministro Colao ha dichiarato che “il 93-95% dei server della Pubblica amministrazione non sono in condizioni di sicurezza”.

Nell’ambito di questo scenario non meravigliano, ma sicuramente spaventano, i numerosi attacchi hacker che hanno riguardato il nostro Paese, in particolare quello al sistema sanitario della Regione Lazio. Stando all’ultimo Report di TrendMicro Research, i dati evidenziano come nel primo semestre 2021 l’Italia è il quarto paese al mondo più colpito dalle minacce informatiche correlate al Covid-19 e alla pandemia, preceduta solo da Stati Uniti, Germania e Colombia. 

Secondo la società di sicurezza informatica, sul nostro Paese si sono abbattuti 131.197 attacchi tra e-mail di spam, malware e siti maligni a tema pandemia. In particolare, le minacce arrivate via e-mail in Italia sono state 194.879.311, i siti maligni visitati sono stati 7.559.192. Il numero di app maligne scaricate nella prima metà del 2021 è di 28.215; nella prima metà del 2021 sono stati 1.712 i malware unici di online banking che hanno colpito l’Italia.

A conferma di ciò, si aggiungono anche i dati riportati nel Rapporto annuale di Ferragosto del Ministero dell’Interno, sulla base del quale è emerso che il numero di siti web controllati dalla Polizia Postale è aumentato del 359% – rispetto al 2019 – a dimostrazione che l’attività criminale si stia sempre più spostando sul piano digitale, piuttosto che fisico, e la sicurezza digitale è e deve essere un punto cardine dell’agenda politica di questo e dei governi a venire.

Sulla base di questi dati, l’istituzione dell’Agenza nazionale per la cybersicurezza – ACN di seguito – (regolata dal DL 82/2021 convertito in Legge 109/2021), di cui Roberto Baldoni è stato nominato Presidente e Nunzia Ciardi Vicepresidente, rappresenta essa stessa una novità in quanto rende il tema cyber, finalmente, centrale per il Sistema Paese segnando così un vero e proprio cambio culturale. Questo aspetto è avvalorato anche dal PNRR che per la cybersecurity ha “stanziato” circa 620 milioni di euro, una cifra che non è considerevole ma che segna sicuramente un buon inizio.

Per comprendere il notevole apporto che l’Agenzia avrà sul nostro Paese è bene soffermarci sulle sue importanti attribuzioni. Alcune di queste, ad esempio, attengono ai servizi cloud e alla crittografia nonché a tutta quella serie di leggi, in materia, che siamo tenuti a rispettare (il Cloud Act ad esempio). 

Nel primo caso l’ACN dovrà provvedere alla qualificazione dei servizi cloud per la pubblica amministrazione, aspetto questo centrale se si considera la spinta impressa dalla Strategia Cloud Italia. Nel secondo caso, l’ACN dovrà promuovere il rafforzamento dell’autonomia industriale e tecnologica italiana, puntando a svincolarci dalla dipendenza da altri stati e apportando, al contempo, benefici all’intero comparto produttivo.

Una particolare attenzione dell’Agenzia è poi rivolta alla formazione. Questa si muove su due percorsi distinti ciascuno con un obiettivo specifico. Nel primo caso, la formazione – intesa in chiave generale – è volta a sensibilizzare e creare consapevolezza delle minacce cibernetiche, tramite campagne di comunicazione ad hoc volte a creare quell’humus necessario a prevenire un attacco cyber.

Nel secondo caso la formazione punta a creare personale qualificato tramite percorsi accademici e la costituzione di aree dedicate allo sviluppo dell’innovazione con l’obiettivo di raggiungere quella condizione che il Prof. Baldoni ha definito “security e resilience by design”: quella cioè in cui  una volta che l’attacco cyber si verifica, il software continua comunque a funzionare, mitigandone gli effetti. 

Il detto “meglio prevenire che curare” in questo ambito è fondamentale! Bisogna però essere realisti, attacchi cyber ce ne saranno, è importante si prevenire ma ancora più importante è conoscere la cura e saperla applicare.

  • Cyber-sicurezza e cyber-intelligence sono mondi sempre più complementari. Come può l’Italia mettere a sistema le forze del suo patrimonio pubblico e privato in materia? 

Uno dei principali cambiamenti introdotto dal decreto DL 82/2021 è che non sarà più il Dipartimento che coordina i servizi d’intelligence – DISil depositario della cyber security nazionale, ma la nuova Agenzia che opererà sotto la responsabilità del Presidente del Consiglio e dell’Autorità delegata per la sicurezza della Repubblica (incarico ora ricoperto da prefetto Gabrielli) e in stretto raccordo con l’intelligence.

La distinzione tra intelligence e cybersecurity è fondamentale perché risponde appieno a quel principio sopraesposto, della cyber-resilience. L’intelligence ha svolto sino ad ora un lavoro incredibile, ma pur sempre di supplenza rispetto alla cybersecurity e gestendola in maniera emergenziale. Questo, ora, non è più possibile. 

Gli attacchi cibernetici sono all’ordine del giorno, avvengono in sistemi che richiedono costanti aggiornamenti, tecnologie adeguate. C’è bisogno di quella che il prefetto Gabrielli ha definito una “visione olistica”, di una continuità di azione e non più di eccezionalità. Questa è appunto la funzione dell’ACN.

Tale distinzione, si badi bene, non significa anonimia tra le parti coinvolte. L’Agenzia si pone come attore di riferimento unico della sicurezza cibernetica, con il compito di redigere la strategia nazionale di sicurezza informatica e assicurare lo svolgimento di azioni comuni per il raggiungimento di più alti livelli di resilienza nazionale. 

Per farlo, l’ACN lavorerà di concerto con gli organismi di cyber-intelligence (DIS, AISE, AISI); di cyber-defence (di competenza del Ministero della Difesa) e con gli organi della Polizia di Stato ed in modo ancora più ampio con i rappresentati dei Ministeri inclusi nel Comitato interministeriale per la sicurezza della Repubblica (Cisr) e quelli del Ministero dell’Università e della Ricerca, del Ministro delegato per l’Innovazione Tecnologica e la Transizione Digitale, e della Protezione Civile presenti nel Nucleo per la cybersicurezza (Nsc), in modo da assicurare un’interfaccia unica a livello nazionale, europeo e internazionale. 

Allo stesso modo, la parola concertazione si ripropone anche nell’ambito dello sviluppo tecnologico che è uno degli elementi al quale l’ACN deve puntare per favorire quella sovranità digitale che ci permetterà di essere indipendenti dalle altre grandi potenze affermatesi in questo settore.

La tutela dei nostri asset strategici definiti dal Perimetro di sicurezza nazionale cibernetica può e deve essere assicurata anche dallo sviluppo di tecnologie nazionali o comunque europee. Proprio per questa ragione è stata attribuita all’Agenzia la funzione di centro nazionale di competenza che collaborerà con il Centro europeo di Cybersicurezza (Cybersecurity Competence Center) con sede a Bucarest. L’obiettivo nell’esercizio di questa funzione, dovrà essere per l’Agenzia, proprio quello di fare da “epicentro” tra il sistema privato e quello di ricerca. Le collaborazioni tra questi due attori sono imprescindibili

In sintesi, sottoscrivendo un pensiero del Prof. Baldoni“l’unica soluzione possibile per raggiungere l’indipendenza digitale è quella di mettere insieme chi conosce i problemi, con chi è in grado di produrre soluzioni complesse e chi è in grado di industrializzarle”.

Per farlo, l’ACN avrà a disposizione oltre alle già citate risorse del PNRR, i fondi europei distribuiti dal Centro europeo per la cybersicurezza, di Bucarest. Questi fondi ed il loro utilizzo saranno sottoposti al controllo dell’UE ulteriore motivo questo per cui le funzioni di cybersecurity non sarebbero potute rimanere nelle mani del DIS organismo statale, la cui struttura si regge prevalentemente su fondi nazionali.

  • Il mondo della tecnologia è oramai fondamentale per definire il perimetro della sicurezza nazionale di un Paese come l’Italia. Come si muove il Copasir per contrastare le minacce in materia? 

Il ruolo centrale del COPASIR è quello di sensibilizzare il Governo sulle tematiche rispetto le quali si rende necessario un intervento immediato da parte del Parlamento per garantire la sicurezza nazionale. Quest’ultima, come già ribadito in precedenza, non risulta più solo minacciata sul piano fisico, ma anche su quello digitale rispetto al quale il Comitato, è giusto ribadirlo, si è sempre dimostrato precursore sostenendo la necessità di colmare quanto prima la nostra lacuna in tale ambito aspetto che ci rende deboli ed esposti a qualsiasi tipo di compromissione.

A tal proposito, ritengo opportuno richiamare 3 relazioni sulle quali il COPASIR ha acceso il campanello di allarme: 

  • Relazione sulle politiche e gli strumenti per la protezione cibernetica e la sicurezza informatica, a tutela dei cittadini, delle istituzioni, delle infrastrutture critiche e delle imprese di interesse strategico nazionale; 
  • Relazione del Copasir per l’utilizzo di contratti secretati e la disciplina del sistema di intercettazioni; 
  • Relazione su una efficace azione di contrasto al fenomeno della radicalizzazione di matrice jihadista di cui sono stata co-relatrice.

Nella prima, il Comitato è giunto alle conclusioni che oltre a “un innalzamento degli standard di sicurezza idonei per accedere all’implementazione delle infrastrutture TLC”, è opportuno valutare la possibilità di “escludere aziende cinesi dalla attività di fornitura di tecnologia per le reti 5G anche sulla base di quanto prevede la disciplina dettata dal decreto-legge n. 105/2019 che regola il Perimetro di Sicurezza Cibernetica”. 

A tal proposito diventa ancora più importante raggiungere quella sovranità digitale di cui sopra, che ci permetterà di competere e difenderci dai grandi operatori (come quelli cinesi) i cui legami, più o meno indiretti, con gli organi di governo del loro Paese appaiono evidenti.

Nella seconda Relazione, l’attenzione è stata rivolta alla tutela dei dati sensibili (tema che si connette direttamente a quello del Cloud nazionale). In questo caso, il COPASIR – che dal 2020 è destinatario dell’esito delle attività di controllo sui contratti secretati, svolte dalla Corte dei Conti – ha ribadito la necessità ed aggiungerei anche l’obbligo (nel rispetto delle normative europee) di sviluppare apposite linee guida tra le aziende coinvolte e gli uffici giudiziari competenti, sull’esempio di alcune procure italiane, per il corretto impiego delle strumentazioni volte ad attività di intercettazione e captazione anche tenuto conto dell’impatto del recente caso Exodus. 

Mancano infatti contratti sottoscritti dai tribunali, manca l’albo fornitori, mancano informazioni sui criteri di affidamento e valutazione dei costi, una procedura che risulta irregolare e senza controllo ai gestori privati, con conseguente pericolo per la privacy e rischio d’infrazione da parte dell’Ue.

Nella terza ed ultima Relazione, abbiamo evidenziato come il web, in particolare i social come Telegram,  oltre alle carceri, continuano ad essere “terreno fertile” per i fenomeni di radicalizzazione di matrice jihadista. Sulla base di questa analisi, il Comitato ha segnalato l’esigenza urgente e non più dilazionabile di un intervento legislativo che doti il nostro Paese di una disciplina idonea a contrastare in modo più incisivo questo fenomeno. Non solo, ma il Comitato ha poi invitato a valutare la possibilità di punire non solo la pubblicazione di materiale di propaganda ma anche la detenzione, così come avviene con la pedopornografia. 

Tutto questo serve a ribadire che l’attenzione da parte del COPASIR c’è o meglio c’è sempre stata ed è completare, se non indispensabile, al buon e sicuro funzionamento dell’Agenzia e degli altri organismi preposti alla sicurezza della nostra Repubblica.

  • Il Copasir, stando al Dl Cybersicurezza, avrà un importante potere di scrutinio sull’ACN. Come giudica nel complesso la norma?

Il mio giudizio sulla norma non può che essere positivo. E lo è perché essa, con le dovute integrazioni che sono state introdotte a seguito dei circa 140 emendamenti presentati dai gruppi parlamentari, la struttura rispecchia il principio democratico che definisce la nostra forma di Stato.

Esso è garantito dalla procedura di controllo cui sarà sottoposta l’attività dell’ACN, da parte del COPASIR e delle commissioni parlamentari competenti. La legge infatti affida un ruolo importante al controllo del Copasir, sia in fase preventiva che quando l’Agenzia sarà a sistema.  

Nel primo caso, il Comitato – e le commissioni parlamentari competenti – devono essere informati dal Presidente del Consiglio preventivamente alle nomine del Direttore e Vice Direttore dell’Agenzia (come è stato con le attuali figure). Questo importante ruolo fa comprendere come la ratio legis pone la governance della neonata Agenzia sotto l’egida governativa, mentre il controllo di tale governance è posto sotto l’egida di quella parlamentare

Per quanto riguarda il controllo a sistema questo è disciplinato dall’art.5 della legge che prevede che il Copasir possa chiedere l’audizione del Direttore Generale dell’Agenzia su questioni di propria competenza e per accertare che il compito attribuitogli dalla legge si svolga tutto nel rispetto della Costituzione e delle normative nell’interesse esclusivo e per la difesa della Repubblica.

Altresì, si aggiunge quanto delineato nell’art. 14 che stabilisce che entro il 30 giugno di ogni anno, il Presidente del Consiglio trametta proprio al Copasir una relazione sulle attività svolte nell’anno precedente dall’Agenzia (negli ambiti concernenti la tutela della sicurezza nazionale nello spazio cibernetico relativamente ai profili di competenza del Comitato).

A fronte di quanto descritto, non posso non esprime un parere positivo della norma.

  • Come fare sistema tra le eccellenze tecnologiche del sistema Paese? Può una strategia di questo tipo passare per la realizzazione di un cloud nazionale sicuro e protetto da minacce e ingerenze esterna? 

La trasformazione digitale della Pubblica Amministrazione, è uno dei principali obiettivi perseguiti dal Piano Nazionale di Ripresa e Resilienza (PNRR). La prima “missione” del Piano è infatti dedicata alla digitalizzazione della PA che ha, tra gli obiettivi, quello di favorire e supportare le amministrazioni nella migrazione verso soluzioni cloud secondo il principio del cloud first.

Da qui nasce la necessità di realizzare il Polo Strategico Nazionale, un’infrastruttura destinata a tutte le Pubbliche Amministrazioni, ad alta affidabilità e localizzata sul territorio nazionale nella quale convergere tutti quei dati considerati sensibili dello Stato.

In questo contesto, l’ACN svolge un ruolo fondamentale in quanto ad essa spetterà – insieme con il supporto del Dipartimento per la trasformazione digitale classificare dati e servizi – la classificazione dei dati e dei servizi. Tale classificazione si distingue in 3 tipologie: 

  1. dati e servizi strategici: con impatto sulla sicurezza nazionale. Ad esempio il bilancio dello stato;
  2. dati e servizi critici: funzioni rilevanti per la società come la salute, la sicurezza e il benessere economico e sociale del Paese. Ad esempio i dati sanitari;
  3. dati e servizi ordinari: non provoca l’interruzione di servizi essenziali o rilevanti dello Stato. Ad esempio dati e servizi dei siti istituzionali.

È chiaro che il trasferimento di questa ingente mole di informazioni sul cloud, non cancellerà immediatamente tutti i problemi, però a livello strategico la creazione di una nuvola di Stato è fondamentale in quanto permette, proprio in situazioni quali una pandemia, di garantire la Business Continuity.

A conferma di quanto sia centrale il ruolo dell’ACN nel progetto del cloud nazionale, è giusto sottolineare che per tutte le stratificazioni ci sarà un monitoraggio costante e i fornitori saranno scelti sulla base di requisiti rigidi definiti proprio dall’Agenzia. Questo è l’unico effettivo obbligo, al momento, esistente a dimostrazione di quanto la necessità di una digitalizzazione in sicurezza sia il punto centrale ed imprescindibile dal quale muoversi.

  • Che prospettive può avere l’Italia nel quadro delle iniziative per la difesa comune europea?

Lo stiamo vedendo ora con le immagini terribili di migranti ammassati ai confini con la Polonia rispetto ai quali l’Europa sta solo osservando, senza agire; lo abbiamo visto con il burrascoso ritiro dall’Afghanistan ed il progressivo disimpegno statunitense; lo stiamo vedendo con la gestione della pandemia e le diverse gradazioni che sta assumendo questa quarta ondata, specie nei paesi dell’Europa dell’Est. Sono tutte condizioni che impongono una sola azione: l’Europa deve ripensare al principio sulla base del quale si è costituita, abbandonando i propri egoismi e ragionando in termini di Europa e non di singolo Stato. A partire da una politica estera e di difesa comune. E deve farlo a breve.

Non parliamo di un’alternativa alla NATO, perché come ribadito dal Presidente del Consiglio Draghi durante l’ultimo G20, la strada da perseguire per la sicurezza dell’Italia e dell’Europa nel suo complesso, può passare solo attraverso la strada del multilateralismo. Né di creare necessariamente un esercito europeo, ma di dotarci di una strategia comune che detti le linee di azione che diano modo all’Unione Europea di non stare ferma e attendere le “direttive” dell’Alleanza Atlantica, ma di agire all’interno dei propri confini

Rafforzare la difesa comune europea e l’autonomia strategica dell’Ue servirà per affermare con più forza il ruolo dell’Unione europea sullo scacchiere internazionale.

Bisogna però essere altrettanto onesti. Ad ostacolare, fino ad oggi, la realizzazione di un progetto simile non è tanto la mancanza di un strategia di azione, bensì la mancanza di una volontà politica. La riluttanza ad aderire ad un principio cardine dell’Unione: la cessione di sovranità nazionale a vantaggio di una sovranità comune europea, questo è il vero problema. Come già fatto in altri ambiti, come quello economico con la moneta unica, ed ora, tra mille resistenze, si cerca di fare con le politiche fiscali, e la mutualizzazione del debito. Forse la soluzione alla crisi del ‘modello europeo’ sta proprio in questo: allontanarsi dagli egoismi tornando ai princìpi che hanno garantito al Vecchio Continente più di settant’anni di pace.

Tutte le interviste dell’Osservatorio

Bresciano classe 1994, si è formato studiando alla Facoltà di Scienze Politiche, Economiche e Sociali della Statale di Milano. Dopo la laurea triennale in Economia e Management nel 2017 ha conseguito la laurea magistrale in Economics and Political Science nel 2019. Attualmente è analista geopolitico ed economico per "Inside Over" e "Kritica Economica" e svolge attività di ricerca presso il CISINT - Centro Italia di Strategia e Intelligence.

Post a Comment


доступен плагин ATs Privacy Policy ©

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Questo sito fa uso di cookie, file di testo che vengono registrati sul terminale dell’utente oppure che consentono l’accesso ad informazioni sul terminale dell’utente. I cookie permettono di conservare informazioni sulle preferenze dei visitatori, sono utilizzati al fine di verificare il corretto funzionamento del sito e di migliorarne le funzionalità personalizzando il contenuto delle pagine in base al tipo del browser utilizzato, oppure per semplificarne la navigazione automatizzando le procedure ed infine per l’analisi dell’uso del sito da parte dei visitatori. Accettando i cookie oppure navigando il sito, il visitatore acconsente espressamente all’uso dei cookie e delle tecnologie similari, e in particolare alla registrazione di tali cookie sul suo terminale per le finalità sopra indicate, oppure all’accesso tramite i cookie ad informazioni sul suo terminale.