Con un decreto legge firmato da Presidente del Consiglio Mario Draghi e approvato dal Consiglio dei Ministri, è nata in Italia ACN, l'Agenzia per la Cybersicurezza Nazionale. Ha la funzione di proteggere l'Italia dal rischio cyber e lo farà servendosi di 530 milioni di euro di fondi e di una squadra iniziale di 300 esperti, che secondo il Sole24ore potrebbe ampliarsi fino a 800 unità nei prossimi anni. A capo di questa struttura, che promette di essere cruciale per il Paese, si mormora che potrebbe esserci Roberto Baldoni, attuale numero 2 del DIS con delega cyber.

La nuova Agenzia ha il difficile compito di far fronte a quella che nella bozza del decreto viene definita la "straordinaria necessità ed urgenza" di "attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale". In sostanza, l'obiettivo è quello di proteggere le vulnerabilità di reti pubbliche e private che possano causare "il malfunzionamento o l'interruzione di funzioni essenziali dello Stato con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni, sino a poter determinare un pregiudizio per la sicurezza nazionale".

In altre parole, si mira a scongiurare l'avvenimento di episodi simili a quelli verificatisi negli Stati Uniti con l'attacco a Colonial Pipeline e i tentati sabotaggi degli acquedotti. Il punto di partenza è tutt'altro che semplice, perché come ricordava poco tempo fa il Ministro per l'Innovazione tecnologica e la Transizione digitale Vittorio Colao, "abbiamo il 93-95% dei server della Pubblica amministrazione non in condizioni di sicurezza".


Una premessa per una tempesta perfetta, che peraltro si sta già verificando. Nel corso della presentazione del 2021 Thales Global Data Threat Report, Luca Calindri, Country Sales Manager Italy & Malta di Thales Data Protection, aveva sottolineato come l'Italia sia riuscita negli ultimi 12 mesi "ad attirare l'attenzione dei criminali informatici in misura maggiore rispetto al nostro potenziale economico. Questo vuol dire che ci sono altri aspetti che sono stati presi in considerazione dagli attaccanti: siamo più esposti rispetto ad altri dal punto di vista della protezione delle infrastrutture, e abbiamo una carenza culturale che ci porta ad avere una minore sensibilità agli investimenti di sicurezza rispetto ad altri Paesi europei".

ACN è un primo segnale della volontà di superare se non altro l'annosa carenza culturale. Il presupposto di partenza è infatti la presa di coscienza della necessità di adeguare l'architettura italiana “all’evoluzione tecnologica, al contesto di minaccia proveniente dallo spazio cibernetico, nonché al quadro normativo europeo, e di dover raccordare, altresì, pure a tutela dell’unità giuridica dell’ordinamento, le disposizioni in materia di sicurezza delle reti, dei sistemi informativi, dei servizi informatici e delle comunicazioni elettroniche”.

In altre parole, si è compreso che la cyber security legata alla trasformazione digitale in Italia è un punto nodale dello sviluppo. E che l'Italia non può continuare a muoversi di rincorsa, come denunciava tempo addietro Francesco Taverna, Direttore Tecnico Capo della Polizia di Stato.

L'altro aspetto positivo è che la nuova struttura farà capo direttamente al Comitato Interministeriale per la CyberSicurezza (CICS), un nuovo organismo presieduto dal premier ed è composto dai ministri di Esteri, Interno, Giustizia, Difesa, Economia, Sviluppo economico, Transizione ecologica, Università e ricerca e dal Ministro delegato per l'Innovazione tecnologica. Ha funzioni di consulenza, proposta e deliberazione in materia cyber.

Contestualmente viene istituito anche, presso ACN, il nucleo per la cybersicurezza, che in caso di crisi avrà il compito di assicurare supporto al Presidente del Consiglio. È composto da un consigliere militare, e rappresentanti del DIS, dell’Agenzia Informazioni e Sicurezza Esterna e dell'Agenzia Informazioni e Sicurezza Interna. Vi prendono inoltre parte rappresentanti dei ministeri presenti nel CSIRT, uno del ministero dell’Università, uno per l’innovazione tecnologica e la transizione digitale, e uno del Dipartimento della Protezione civile.

Una novità tardiva

Fin qui le novità. Un po' tardive per dire il vero, considerato che il rafforzamento delle infrastrutture informatiche avrebbe dovuto iniziare un lustro addietro. Taverna ha ragione: l'Italia finora si è mossa di riconcorsa. Continua a farlo anche con la nuova agenzia, che dovrà fronteggiare una situazione al limite del drammatico, come ricordava Colao, e con attacchi già in essere.

L'altro aspetto da non sottovalutare è che oltre al gap culturale, è la burocrazia che nel Belpaese ha sempre fatto da freno all'innovazione e ha limitato il raggio d'azione dei timidi interventi. Oltre a una concezione ancora basata sui confini geografici, che è in netto contrasto con l'internazionalità dei gruppi criminali che sviluppano gli attacchi e con la mancanza di un "nemico pubblico" da combattere, come accade negli Stati Uniti.