L’Italia è forse il Paese che ha cominciato meglio il percorso verso la realizzazione di una rete nazionale 5G. Dopo aver avviato, già nel 2017, le sperimentazioni 5 città in 5G, l’anno successivo ha completato la gara di assegnazione per tutte e tre le bande pioniere – prima in Europa e seconda a livello globale – garantendosi un importante vantaggio rispetto ai competitor internazionali, certificato anche dall’indicatore 5G readiness del DESI (Digital Economy and Society Index).
Sfortunatamente, tale vantaggio non è stato mantenuto nel corso delle operazioni di deployment. Le cifre ufficiose sul numero di stazioni base istallate indicano come l’Italia, con sole 1.500 unità attive, non sia riuscita a tenere il passo con altri grandi paesi come USA e Germania (entrambi a 50 mila circa) e soprattutto con quelli asiatici, Cina in testa (1 milione di base station installate).
Il ritardo nella realizzazione delle infrastrutture di rete rischia di riflettersi in una perdita di competitività delle filiere industriali italiane. Secondo l’EY Digital Infrastructure Index, che ha analizzato lo stato delle infrastrutture abilitanti nelle filiere produttive italiane, a dicembre 2020 il 5G risultava ancora quasi del tutto assente dai territori che ospitano alcune delle principali filiere industriali del nostro Paese, come quelle dei macchinari da produzione e dell’agrifood.
In generale, secondo EY, tutte le strutture produttive dislocate fuori dalle principali aree urbane apparivano notevolmente penalizzate, non solo dall’assenza del 5G, ma anche da una mancanza generale di infrastrutture BUL (Banda Ultra Larga), in particolare nelle “aree grigie”.
In questo contesto si innesta la partita sulla cybersicurezza e in particolare l’esordio della nuova Agenzia italiana, cui spetta il difficile compito di mettere ordine in un contesto tecnologico-normativo piuttosto complesso.
Indice degli argomenti
Le minacce informatiche e il 5G
La vastità e il continuo allargamento del perimetro delle attività comprese nell’ambito digitale, oltre ad abilitare l’accesso a molteplici benefici, se non adeguatamente tutelate, rischiano di costituire anche terreno fertile per azioni criminali. La gamma di potenziali attacchi e aggressori diventa ogni giorno più ampia, al punto che, al Forum economico mondiale di Davos del 2021, la sicurezza informatica è stata considerata uno dei maggiori rischi economici per l’anno in corso.
A livello tecnico, la natura stessa delle reti di telecomunicazione mobile, di cui il 5G rappresenta un’ulteriore estensione, è costituita da sistemi interconnessi e dotati di software aggiornati di frequente, che determinano l’impossibilità di realizzare reti ICT che siano al 100% sicure.
Tale interdipendenza determina una condizione in cui la sicurezza dipende da tutti gli attori della catena, complicando quindi le strategie difensive per via di una maggiore inclusione e per la necessità di un maggior coordinamento.
Possibili conseguenze di un cyber attacco sulle imprese
È ormai noto che l’upgrade al 5G, grazie a tecnologie quali lo slicing delle frequenze, comporterà il progressivo spostamento di crescenti parti dell’economia sulle reti mobili, incrementandone possibilità e benefici ma anche rischi di data breach.
Dal punto di vista delle imprese, subire un attacco informatico genera un impatto negativo sia dal punto di vista economico, sia da quello della perdita di fiducia da parte degli utenti.
L’ultima versione dello studio annuale “The Kaspersky Global Corporate IT Security Risks Survey” indica che l’impatto finanziario medio di un data breach si è attestato nel 2020 a quota 101 mila dollari per le PMI e oltre quota 1,09 milioni per le grandi imprese.
Fortunatamente, l’ammontare di tali controindicazioni mostra valori in calo negli ultimi quattro anni, probabilmente legati al fatto che i nuovi sistemi di sicurezza permettono alle aziende di rilevare e rispondere alle violazioni in un tempo notevolmente inferiore.
Inoltre, il peso della sicurezza informatica risulta cresciuto in termini quantitativi e qualitativi: se nel 2017 solo il 4% delle aziende disponeva di un sistema per prevenire e rilevare le intrusioni, tale quota ha raggiunto il 10% del 2020, mentre tra il 2019 e il 2020 la porzione del budget IT medio dedicato alla sicurezza informatica è cresciuto dal 23% al 26% per le PMI (fino ad una media di circa 275mila dollari l’anno), e dal 26% al 29% per le grandi imprese (in media 14 milioni di dollari l’anno).
Il ruolo dell’Agenzia italiana per la cybersecurity
In questo quadro si colloca la nascita dell’Agenzia per la cybersicurezza (ACN), istituita con il Decreto-legge 14 giugno 2021, n. 82, il quale svolge un’opera di riordino e semplificazione rispetto alla frastagliata normativa di settore, andando a concentrare presso un unico soggetto tutte le competenze e le funzioni in materia di cyber security.
Tra i principali compiti della nuova agenzia figurano in primo luogo le attività di coordinamento – sotto la responsabilità del Presidente del Consiglio e dell’Autorità delegata e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica – a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche.
In particolare, l’Agenzia fungerà da interlocutore unico per i soggetti pubblici e privati per le misure di sicurezza e le attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS) e della sicurezza delle reti di comunicazione elettronica.
Assumerà inoltre tutte le funzioni in materia di cybersicurezza già attribuite al MiSE, incluse quelle relative al perimetro di sicurezza nazionale cibernetica, all’implementazione del CVCN (comprese le attività di ispezione e verifica e quelle relative all’accertamento delle violazioni e all’irrogazione delle sanzioni amministrative), e acquisirà le competenze attribuite al DIS (relative alla sicurezza e all’integrità delle comunicazioni elettroniche), svolgendo tutte le funzioni attribuite alla Presidenza del Consiglio in materia di perimetro di sicurezza nazionale cibernetica, nonché tutte le funzioni in materia di cybersicurezza già attribuite all’AgID dalle disposizioni vigenti.
In attesa del regolamento, l’Agenzia sembrerebbe quindi assumere un ruolo cruciale nella valutazione degli accordi di fornitura per le reti 5G e nella gestione di tutto il processo di implementazione del sistema di certificazione degli apparati.
La cyber security in Europa: analogie con la Francia
La nuova Agenzia per la Cybersicurezza Nazionale (ACN) rappresenta un unicum nel contesto istituzionale europeo legato alla sicurezza digitale, specialmente se si considera l’eterogeneità delle funzioni in essa che vengono accentrate, laddove negli altri Paesi si rileva la distribuzione di compiti tra agenzie di intelligence, ministeri e altri enti di coordinamento.
Rispetto ai casi di Francia, Gran Bretagna, Germania e Spagna, è l’assetto istituzionale francese quello strutturalmente più vicino al nascente sistema italiano.
L’architettura del Paese transalpino fa perno su un soggetto polifunzionale, l’Agenzia Nazionale per la Sicurezza dei sistemi informativi (ANSSI) che, sebbene in seno al Segretariato Generale della Difesa e della Sicurezza Nazionale (SGDSN, i servizi di intelligence francesi) è sotto la responsabilità del Primo Ministro, così come previsto per l’agenzia italiana.
Interessante notare, a tal proposito, come l’ANSSI conti attualmente 600 dipendenti, peraltro in continuo aumento, rispetto ai 972 dipendenti complessivi dell’SGDSN, a riprova di come le attività relative alla cybersecurity siano in continua crescita rispetto a quelle più generali dell’intelligence. Si osserva inoltre come il budget dell’ANSSI ammonti a 100 milioni l’anno, con una media che, al lordo dei fondi destinati a spese e investimenti, raggiunge i 167mila euro per addetto.
La Germania dopo l’IT SiG 2.0
Analogie e differenze si rilevano anche con il quadro tedesco. La strategia di cybersecurity presentata in Germania nel 2016 ha previsto ampie responsabilità in capo ai servizi di intelligence, affidando il monitoraggio dei network federali e l’implementazione delle misure difensive all’ufficio federale per la sicurezza delle tecniche informatiche (Bundesamt für Sicherheit in der Informationstechnik, BSI), posto sotto il Ministero dell’Interno e dotato di oltre 1.100 addetti.
Inoltre, la nuova legge sulla cybersecurity approvata nel 2021 (la IT Sicherheitsgesetz o IT SiG 2.0), delinea una sorta di “perimetro” che estende la lista delle infrastrutture critiche e distingue tra quelle di particolare interesse pubblico e operatori cyber-critici, ovvero tutti quegli istituti il cui malfunzionamento causerebbe, seppur in maniera indiretta, problemi alle infrastrutture critiche.
A tal proposito, la nuova legge introduce un meccanismo di assessment dei componenti delle infrastrutture critiche che non esclude ex-ante alcun vendor, ma che richiede molteplici garanzie antisabotaggio, anti-spionaggio e anti-terrorismo, stabilendo un periodo di valutazione di 2 mesi e consentendo la rimozione delle apparecchiature anche ex-post qualora rappresentino un pericolo per l’ordine pubblico o per la sicurezza della Repubblica Federale.
Mentre quest’ultima istanza è in capo al Ministero dell’Interno (BMI), il BSI si occupa di stabilire i parametri minimi di sicurezza IT, eseguire dei test di verifica e valutazione del rischio e assegnare dettagliati compiti ai fornitori di telecomunicazioni in caso di minacce specifiche.
Spagna, il Regio decreto e la nuova legge in discussione
Analogie e differenze si rilevano anche rispetto all’architettura di cybersecurity spagnola, che da un lato fa perno sulla figura del Primo Ministro – il quale presiede le riunioni del Consejo de Seguridad Nacional (CSN), un organo collegiale che si occupa della direzione della politica di sicurezza nazionale – e dall’altro assegna a diversi ministeri competenze differenti in materia digitale (risposta a incidenti di sicurezza, attacchi diretti a istituzioni governative e coordinamento dei Cert nazionali).
Inoltre, il Regio decreto legislativo 14/2019 ha concesso al Governo il potere di intervenire su qualsiasi infrastruttura, risorsa o elemento associato alle reti e ai servizi di comunicazione elettronica, nel caso di circostanze che possono incidere sull’ordine pubblico e sulla sicurezza nazionale.
Il disegno di legge sulla Cybersecurity 5G, attualmente in discussione in Parlamento, obbligherebbe gli operatori a condurre un’analisi di gestione del rischio ogni 2 anni e le autorità del mercato almeno ogni 6 anni.
In questo contesto, il Governo potrebbe subordinare l’utilizzo di un’apparecchiatura, programma o servizio 5G al previo conseguimento di una certificazione stabilita dal regolamento europeo sulla sicurezza informatica.
Le valutazioni delle apparecchiature adotterebbero dunque un approccio neutrale nei confronti dei fornitori, basandosi sull’analisi di gestione del rischio e sul principio di diversificazione dei fornitori.
Gran Bretagna, verso il Telecommunication security Bill
Piuttosto differente il modello scelto dal Regno Unito, in cui l’attuale discussione in Parlamento del Telecommunication (Security) Bill costituisce il punto di caduta di un dibattito in materia di cybersecurity iniziato nel 2018 che ha visto la pubblicazione, tra gli altri, della Supply Chain Review, di due analisi del NCSC e della 5G Supply Chain Diversification Strategy.
Il Telecommunication Bill apporterà modifiche piuttosto sostanziali all’assetto istituzionale del Paese in tema di reti telco, puntando però a rafforzare i poteri degli enti già esistenti, in particolare l’Ofcom.
Nella cornice della nuova proposta di legge, che impone nuovi obblighi e requisiti in capo ai fornitori di apparecchiature di rete, vengono spostati dal Parlamento all’Esecutivo alcuni nuovi poteri che consentono di stabilire specifici requisiti di sicurezza e codici di condotta, e vengono assegnati all’Ofcom strumenti e responsabilità per garantire il rispetto della normativa di settore, tra cui la facoltà di richiedere ai fornitori di eseguire test, emettere notifiche di violazione, indicare misure provvisorie per colmare lacune di sicurezza e, in caso di inadempienza, imporre sanzioni pecuniarie.
L’importanza del fattore tempo
In questo articolato contesto, la nascente Agenzia sembra caratterizzarsi come un istituto particolarmente utile a semplificare e coordinare un ambito estremamente complesso sia dal punto di vista tecnologico che normativo.
A tal proposito, alla luce dei ritardi osservati, appare fondamentale che le tempistiche di attuazione della nuova Agenzia non rallentino ulteriormente lo sviluppo delle reti di quinta generazione.
I quattro mesi previsti dal decreto per adottare il regolamento non costituiscono un tempo brevissimo, in particolare considerato il ritardo già accumulato nell’implementazione del perimetro di sicurezza cibernetica, a cui peraltro mancano ancora due decreti.
In questo senso appaiono positive le preiscrizioni relative all’utilizzo per la nuova Agenzia di risorse umane già presenti, provenienti da amministrazioni impegnate da tempo nell’attuazione del perimetro.
D’altre parte, il riassetto delle competenze sulla cybersecurity suggerisce anche una riflessione circa l’attuale modello che vede coesistere la disciplina golden power, estesa fino a comprendere anche le reti 5G per gli attori extra-UE, e la normativa sul perimetro di sicurezza nazionale cibernetica.
Pur nell’attesa del decreto che individuerà le categorie che dovranno effettuare la notifica al CVCN, appare concreta la possibilità che operazioni rilevanti per la normativa golden power lo siano anche per la disciplina sul perimetro.
Per gli operatori soggetti a entrambe le normative, ciò potrebbe dare vita a una serie di interazioni e possibili duplicazioni di verifiche e adempimenti che parrebbero inadatte alle rapide evoluzioni cui la tecnologia ci sta abituando, rischiando di avere un impatto negativo sulle dinamiche di mercato e sulla competitività del sistema paese.
Appare opportuno, pertanto, che tali possibili sovrapposizioni e rallentamenti possano essere prontamente circoscritti e chiariti.
