Il Ministero dell’Economia e delle Finanze (MEF), l’Agenzia per la Cybersicurezza Nazionale (ACN) e Consip S.p.A. hanno formalizzato un accordo di collaborazione attraverso la sottoscrizione di un protocollo d’intesa volto a intensificare la cooperazione in materia di sicurezza cibernetica.
Il focus di tale sinergia è rivolto eminentemente alla salvaguardia del sistema nazionale di e-procurement.
Indice degli argomenti
Cyber security nella PA: quali scenari
Nell’ambito del processo di digitalizzazione della Pubblica Amministrazione italiana, la necessità di ottimizzare le risorse, migliorare l’accessibilità e la qualità dei servizi pubblici, nonché incrementare la trasparenza amministrativa e la partecipazione civica ha prodotto un utilizzo sempre più pervasivo e capillare di infrastrutture tecnologiche avanzate.
Se da un lato tale ricorso all’informatizzazione sta producendo ampi incrementi nell’efficienza, grazie alla standardizzazione dei dati per garantire l’interoperabilità tra differenti enti, alla dematerializzazione dei procedimenti burocratici e alla semplificazione della gestione dei processi, dall’altro esso comporta intrinseche sfide alla sicurezza, poiché la concentrazione di dati sensibili e processi in sistemi digitali potenzialmente vulnerabili espone ad un rischio cyber crescente.
L’attuale panorama della sicurezza informatica in Italia evidenzia infatti un incremento degli attacchi cyber, quadruplicati rispetto al dato mondiale, con un’escalation che prende di mira sia il settore privato che quello pubblico.
La Nazione si confronta anche con una marcata presenza di hacktivism, fenomeno che si inserisce nel contesto del conflitto tra Russia e Ucraina e vede un ulteriore occasione di potenziale incremento a causa della crisi in Medioriente.
In particolare, a fronte di una crescita globale degli attacchi cyber dell’11% nel primo semestre del 2023, l’Italia registra una crescita del 40%, con un significativo 9,6% delle vittime a livello globale. Le puntate offensive legate all’hacktivism rappresentano il 30% degli attacchi complessivi nel Paese, con un rilevante incremento della tipologia DDoS.
Il caso del ransomware a Westpole e PA Digitale
Queste aggressioni sono spesso correlate a motivazioni geopolitiche, con gruppi di attivisti che prendono di mira l’Italia nell’ambito di campagne più ampie. Esempio recente di attività offensiva ai danni del settore pubblico nazionale è rappresentato dall’attacco ransomware condotto dal gruppo di hacker russofono Lockbit 3.0 nella giornata dell’8 dicembre 2023 contro le società Westpole S.p.A. e PA Digitale S.p.A., che ha coinvolto circa 1.000 entità pubbliche legate a PA Digitale.
Quest’ultima offre servizi di gestione digitale a oltre 1.300 enti della Pubblica Amministrazione italiana, tra cui circa 500 Comuni, alcune Province, diverse Unioni di Comuni e Comunità montane, e organizzazioni come l’Agenzia per l’Italia digitale (Agid) e l’Autorità anticorruzione (Anac).
In risposta, l’Agenzia per la Cybersicurezza Nazionale ha agito per contenere i danni, collaborando attivamente per ripristinare i servizi e riuscendo a recuperare i dati di oltre 700 entità collegate a PA Digitale.
Dettagli del protocollo d’intesa tra MEF, ACN e Consip
Alla luce di tale contesto, in cui la componente digitale della Pubblica Amministrazione si presenta come bersaglio particolarmente pagante, il 12 gennaio 2024 è stato firmato a Roma un protocollo d’intesa tra Ministero dell’Economia e delle Finanze (MEF), Agenzia per la Cybersicurezza Nazionale (ACN) e Consip S.p.A. con l’obiettivo di raggiungere un più elevato livello di sicurezza informatica nella P.A., con particolare attenzione alla protezione del sistema di e-procurement nazionale.
Tale sinergia interistituzionale si rivela di fondamentale importanza alla luce dell’imminente applicazione delle disposizioni normative inerenti alla digitalizzazione complessiva del ciclo di vita dei contratti pubblici. La piattaforma di e-procurement del MEF, operativamente gestita da Consip S.p.A., assume infatti una posizione di preminenza, essendo classificata come infrastruttura critica di rilevanza nazionale.
Questo strumento si configura come uno dei mezzi fondamentali per potenziare l’efficacia e la coerenza nei processi di assegnazione e gestione dei contratti pubblici e mira a sostituire i tradizionali procedimenti cartacei con soluzioni digitali che regolamentino e gestiscano le gare di appalto pubblico attraverso procedure telematiche, in conformità alle direttive europee.
Un nuovo processo di approvvigionamento digitalizzato
Tale processo di approvvigionamento digitalizzato è articolato in due fasi principali: pre-aggiudicazione e post-aggiudicazione.
Nella prima fase, vengono impiegati diversi strumenti e procedure, come la pubblicazione elettronica dei bandi di gara (e-notification), l’accesso elettronico ai documenti di gara per gli offerenti (e-access), la presentazione elettronica delle offerte (e-submission), l’utilizzo del documento di gara unico europeo (ESPD) e il sistema informatico e-Certis per semplificare la ricerca dei certificati richiesti.
Differentemente, la fase di post- aggiudicazione vede la gestione dell’appalto elettronico attraverso la vigilanza su consegne, implementazioni e pagamenti, valuta la qualità e l’efficienza del fornitore per mezzo dell’analisi dei dati e dei feedback, rende immediata la comunicazione tra le parti per concordare variazioni o miglioramenti della prestazione.
L’intero sistema di e-procurement nazionale è in linea con le indicazioni emanate dalla Commissione Europea per la completa digitalizzazione del processo di approvvigionamento pubblico, dalla fase di annuncio delle gare fino al pagamento, in base allo standard “appalto elettronico end-to-end”.
Inoltre, la piattaforma di e-procurement è parte essenziale del Programma per la Razionalizzazione degli Acquisti nella P.A. che si propone di riorganizzare gradualmente la spesa pubblica per beni e servizi, orientando le stazioni appaltanti verso l’utilizzo delle procedure di acquisto fornite dai soggetti aggregatori al fine di creare un “sistema a rete” che favorisca la razionalizzazione della spesa pubblica e generi collaborazioni nell’utilizzo condiviso di strumenti informatici per gli acquisti.
Nuove strategie di difesa avanzate per il sistema di e-procurement
Per proteggere questa struttura digitale, il protocollo siglato venerdì identifica come obiettivo cardine il supporto da parte dell’ACN nell’elaborazione di strategie di difesa avanzate per il sistema di e-procurement stesso e per la tutela del patrimonio informativo di Consip.
L’approccio prevede l’implementazione di misure preventive e di risposta agli incidenti di sicurezza, in sinergia con le attività del CSIRT Italia (Computer Security Incident Response Team) dell’ACN.
In aggiunta, la cooperazione si configura attraverso un’attiva di condivisione di dati, analisi e informazioni inerenti alle criticità note e agli attacchi subiti in modo da individuare dei pattern di offesa ricorrenti.
Lo scambio informativo è finalizzato a elevare il livello di protezione dell’intera Pubblica Amministrazione, particolarmente nel sensibile contesto delle procedure di gara nell’ambito del Programma di Razionalizzazione degli Acquisti nella PA.
Tali pratiche mostrano come il protocollo siglato tra MEF, ACN e Consip rappresenti un passo importante nella direzione di incrementare e consolidare i numerosi guadagni in termini di efficienza e trasparenza dovuti alla digitalizzazione della Pubblica Amministrazione, contribuendo al contempo a mitigare gli inevitabili rischi alla cyber sicurezza che tale processo porta con sé.
