sicurezza informatica
Perché la sicurezza informatica è una lotta di potere nel governo Meloni
Dopo gli scandali dei dati rubati, che c'entrano poco e nulla, l'attenzione politica si è spostata sull'Agenzia nazionale per la cybersicurezza: creata dal governo Draghi e ora sotto l'egida del sottosegretario Mantovano, è chiamata al salto di qualità. Per farlo ha grandi competenze e grandi dotazioni economiche. Questo non piace a tutti però
Una volta il mai troppo compianto Gianni Clerici, lo “scriba” del tennis, spazientito per le contestazioni alle sue telecronache di Wimbledon, si mise a descrivere (parola chiave) una partita come se il pubblico fosse composto unicamente da bambini dell’asilo. Spiegò addirittura che il tiro di battuta va indirizzato in diagonale. Questo metodo, adesso, torna utile per descrivere, con la stessa essenzialità seppur senza la stessa eleganza narrativa, le attività che svolge l’Agenzia Nazionale per la Cybersicurezza (Anc), cioè l’ente di governo che deve garantire la sicurezza informatica italiana. In questi tempi di spioni o presunti tali, di banche dati violate, di esfiltrazioni di archivi, di sistemi compromessi, di riservatezza friabile, con una certa frequenza viene citata l’Agenzia Nazionale per la Cybersicurezza. Spesso a ragione, ancora più spesso a sproposito. La confusione volontaria, la “disinformazja”, favorisce dispetti, ripicche, baruffe che si consumano attorno all’Agenzia. Per ovvie esigenze di sicurezza cibernetica, esigenze planetarie non romane, l’Agenzia è un luogo in crescita, piena di denaro, di poteri che si sommano, di competenze possibili, di assunzioni da fare, peraltro ben retribuite, ai livelli di Banca d’Italia.
A oggi l’Agenzia non è un organismo compiuto. È in una fase di sviluppo. La fase più delicata. Tutto ciò che accade in questi mesi in Italia è in differita. La Gran Bretagna, la Germania, la Francia hanno trovato un assetto da decenni. Qui la cybersicurezza è diventato un argomento a margine di un incontro fra il presidente americano Barack Obama e il presidente italiano Mario Monti. Da allora al Quirinale hanno giurato sette governi e ciascuno dei sette ha avuto la sua buona idea per la sicurezza informatica. Matteo Renzi voleva coinvolgere il suo amico imprenditore Marco Carrai; Paolo Gentiloni nominò vicedirettore del Dipartimento per l’Informazione e la Sicurezza il professore Roberto Baldoni, il massimo esperto del settore; Giuseppe Conte voleva creare una Fondazione e affidarne il comando al generale Gennaro Vecchione in quel momento direttore del Dipartimento per l’Informazione e la Sicurezza; infine soltanto tre anni fa si è arrivati a qualcosa di concreto quando il governo Draghi con Franco Gabrielli, sottosegretario delegato per la Sicurezza della Repubblica, è riuscito a plasmare l’attuale Agenzia nazionale per la cybersicurezza con a capo Baldoni, poi sostituito in un semestre col prefetto Bruno Frattasi dal governo Meloni su indicazione del sottosegretario Alfredo Mantovano.
Prendete fiato. Dunque che fa l’Agenzia? La definizione più sintetica è pure quella più complessa: «Si occupa di resilienza e protezione cibernetica delle infrastrutture critiche nazionali». Insomma l’Agenzia, come una sorta di torre di controllo che monitora il traffico, deve vigilare sui sistemi informatici che tengono connessa l’Italia: amministrazione pubblica, scuole di ogni tipo, aziende di trasporto, di energia, di telefonia, di comunicazioni, centri ospedalieri. Quando serve, in caso di «eventi cyber» o di «incidenti cyber», qualcosa che non funziona per un attacco o per altri motivi, che sia la prenotazione di una visita medica o l’apparato digitale ferroviario, deve intervenire e lo fa con una squadra tecnica di circa ottanta dipendenti che si chiama Csirt. Però va sottolineato che l’Agenzia non tutela la sicurezza informatica in maniera esclusiva, anzi è uno dei quattro pilastri della strategia cyber che furono individuati tre anni fa dal governo Draghi. Il contrasto dei crimini, la sicurezza militare, la ricerca delle informazioni, gli altri tre pilastri, in ordine riguardano la Polizia postale, il ministero della Difesa, i Servizi segreti. È auspicabile che i quattro pilastri interagiscano in armonia e che la politica, in questo caso il governo, li gestisca con alto senso di Stato. Per non scadere in facile retorica, detto che fa e come lo fa l’Agenzia, va spiegato cosa ha fatto. Dal rapporto più aggiornato si evince che gli «eventi cyber» aumentano, ma diminuiscono gli «incidenti cyber», che sono i danni: «A settembre sono stati individuati 126 eventi (più 3% su agosto) e 31 incidenti (-24% su agosto)». La relazione annuale alle Camere ha uno sguardo più ampio: «Gli eventi totali sono stati 1.411. In prevalenza contro le telecomunicazioni e la pubblica amministrazione. L’Italia è risultata il terzo paese dell’Unione europea più colpito da ransomware (virus), mentre a livello globale è stato il sesto». Le guerre incidono parecchio, in particolare quella scatenata dai russi in Ucraina: «È in ascesa un fenomeno prima estremamente poco significativo: il cyber attivismo. Con tale denominazione si fa riferimento a gruppi che hanno lo scopo di sostenere la causa di una delle parti in conflitto attraverso azioni cyber malevole con impatti chiaramente visibili». Questi «eventi cyber» hanno registrano un +625 per cento lo scorso anno.
Il governo Meloni è decisivo per l’Agenzia: può rafforzare la sua funzione oppure affondarla con normette, deroghe, protocolli. Il denaro è disponibile, e in abbondanza. I fondi sono due, uno per l’attuazione della Strategia, uno per la Gestione, assieme fanno 80 milioni di euro nel 2023, 140 milioni nel 2024, 180 milioni nel 2025, 220 milioni dal 2026. In aggiunta ci sono 623 milioni di euro di Pnrr per finanziare dei progetti per il «rafforzamento dell’ecosistema digitale nazionale». I primi 100 milioni di euro sono finiti a grandi comuni, città capoluogo, città metropolitane, aziende sanitarie, autorità portuali. Queste prospettive di espansione, posti e soldi, provocano l’insofferenza di mezzo governo, per non dire invidia. Le ultime modifiche legislative o gli ultimi accordi, per esempio con la Difesa per un nucleo in distacco triennale, tendono a scompaginare l’impostazione iniziale. Il disegno di legge del governo, approvato a luglio, allarga i tavoli, moltiplica le riunioni, la cosiddetta concertazione che annacqua le responsabilità. La maggiore collaborazione dell’Agenzia con la magistratura e la polizia giudiziaria, che mezzo governo voleva introdurre con decreto in risposta nazional popolare all’inchiesta sulla banda di Milano, di fatto già deriva dal disegno di legge: «Si prevede il rafforzamento della collaborazione - riportano i documenti parlamentari - tra l’Agenzia per la cybersicurezza nazionale, il procuratore nazionale antimafia e antiterrorismo, la polizia giudiziaria e il pubblico ministero, prevedendo, tra l’altro, l’introduzione dell’obbligo di immediata trasmissione delle notizie dei gravi delitti informatici, al fine di procedere ad una tempestiva azione di contrasto degli stessi». Se l’Agenzia è la torre di controllo, trascorsi anni di educazione civica alla sicurezza informatica, deve poter sanzionare chi sbaglia rotta. Le amministrazioni pubbliche. Le società private. È un tema. E deve scacciare quella brutta sensazione di rifugio dorato o, peggio, di classico poltronificio. Cosa vuole essere da grande l’Agenzia è una domanda ancora senza riposta. Lo “scriba” Clerici avrebbe chiosato: «Devi cominciare a chiederti non cosa desideri, ma cosa puoi permetterti di desiderare».