L’Agenzia per la cyber security nazionale ha assunto un ruolo sempre più centrale all’interno della trasformazione tecnologica, informatica e di sicurezza cibernetica, così come previsto dagli 82 obbiettivi della strategia nazionale di cybersecurity 2022-2026.
Tali misure coinvolgono tutte le amministrazioni dello Stato, con le quali è già iniziata la fase di implementazione.
L’Italia dà un miliardo di euro alla cybersecurity: nuovi fondi nella Legge di Bilancio 2023
Indice degli argomenti
Appalti ICT per la PA: le osservazioni di Baldoni
A tal proposito, il Direttore dell’Agenzia, Roberto Baldoni, è stato ascoltato il giorno 26 gennaio dalla commissione Ambiente della Camera sul testo del Codice Appalti. Dalla relazione al testo del codice trasmesso al Parlamento, ha segnalato Baldoni, si evince la volontà del Governo di voler prioritizzare la valutazione economica rispetto a quella della qualità del servizio offerto, soprattutto in tema di sicurezza cibernetica.
Nello specifico, il direttore dell’ACN ha sottolineato il superamento della regola del rapporto “70-30” (70 punti alla qualità e 30 punti al prezzo) negli appalti affidati in base all’offerta economicamente più vantaggiosa, con il risultato di concedere piena discrezionalità alle stazioni appaltanti di decidere quanto incidano aspetto tecnico e aspetto economico.
Inoltre, Baldoni ha dichiarato che: “In questi casi appare di fondamentale importanza che la stazione appaltante attribuisca un opportuno peso ai profili tecnico-qualitativi di sicurezza cibernetica, rispetto ai profili economici, non potendo rischiare che l’elemento prezzo sia decisivo, anche attraverso meccanismi di gara che riconoscano la necessaria attenzione che le stazioni appaltanti debbano avere per questi aspetti”.
Rispondendo a una sollecitazione di un deputato, il Direttore ha specificato che: “L’esperienza degli appalti in ambito sicurezza ci portano a dire che un rapporto “80-20” o “90-10″ (cioè 10 o 20 punti su 100 riferiti al prezzo, ndr) potrebbe essere sicuramente molto più indicato […] Per questo tipo di appalti dobbiamo assolutamente evitare che il prezzo abbia un eccessivo impatto sulla scelta”.
L’esposizione della PA agli attacchi informatici
Di fatto, secondo quando riportato anche dal Rapporto Clusit 2022, in Italia, i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge quello dell’Industria che ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.
Questa esposizione della PA presenta un importante rischio in Italia, come confermato dal Monitoraggio dei portali istituzionali della PA, condotto da Cert-AgID nel dicembre 2020. Secondo lo studio, condotto su oltre 21.000 portali istituzionali della Pubblica Amministrazione, solo il 9% dei portali considerati era sufficientemente sicuro, mentre il restante 91% era caratterizzato da mancanza del protocollo HTTPS, da gravi problemi di sicurezza o semplicemente non erano stati propriamente configurati.
Le minacce più frequenti sono state quelle di tipo exploit, botnet e malware, dirette alla pubblica amministrazione italiana nei settori Governo, Istruzione, Difesa e Sanità.
I fondi alla PA per la cyber security
Tuttavia, il Piano nazionale di ripresa e resilienza (PNRR) ha previsto uno stanziamento di 620 milioni di euro alla cyber security delle PA per rafforzare l’ecosistema digitale nazionale potenziando i servizi di monitoraggio e gestione della minaccia cyber.
La realizzazione degli obiettivi di crescita digitale e di modernizzazione della PA riguarda dunque la Pubblica Amministrazione in modo “capillare, con riflessi sulle dotazioni tecnologiche, sul capitale umano e infrastrutturale, sulla sua organizzazione, sui suoi procedimenti e sulle modalità di erogazione dei servizi ai cittadini”.
Ai fini di tali obbiettivi, nel corso del convegno da Assinter dal titolo “Le in-house ICT pubbliche patrimonio tecnologico del Paese e protagoniste dell’innovazione della PA. Per un digital made in Italy”, presso il Senato della Repubblica, Baldoni ha sottolineato positivamente lo stanziamento da parte del governo di due fondi dedicati con la legge di Bilancio che saranno usati per rafforzare i sistemi digitali anche delle Regioni.
Tali fondi sono il “Fondo per l’attuazione della strategia nazionale di cybersicurezza”, con una dotazione di 70 milioni di euro per l’anno 2023, 90 milioni per il 2024, 110 milioni per il 2025 e 150 milioni annui dal 2026 al 2037 e il “Fondo per le gestione della cybersicurezza”, con una dotazione di 10 milioni di euro per il 2023, 50 milioni per il 2024 e 70 milioni a decorrere dal 2025.
