Un’ultima bozza della Legge di Bilancio 2021 creava l’Istituto Italiano di Cybersicurezza (IIC), una fondazione, con membri fondatori il premier Giuseppe Conte, i ministri del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) e il ministro dell’Università e della Ricerca Gaetano Manfredi.
Il tutto doveva essere coordinato dal DIS, Dipartimento Informazioni e Sicurezza, che ne dovrà monitorare l’operato nella promozione della cultura della sicurezza cibernetica.
Ma l’attuale testo della Legge, visionato oggi dalla redazione nella versione bollinata, non contiene più questo istituto. Del resto un’ultima bozza aveva ridotto la dotazione, segno che era già in corso un downgrade dell’istituto: da 200 milioni di euro su più anni si era passati a 10 milioni solo per il 2021 senza nominare anni successivi.
L’istituto potrebbe rientrare in un futuro disegno di legge, con quella concertazione con le parti che è mancata adesso (assenza che spiegherebbe lo stralcio, pare su pressione del PD). È rilevante quindi, in vista del futuro ma anche per dare conto del tentativo fatto, descrivere come era stato ipotizzato l’istituto.
Indice degli argomenti
Istituto Italiano di Cybersicurezza: chiariamo il ruolo
Alla fondazione il ruolo di controllare e di collaborare con i vari dipartimenti dei servizi informativi su sicurezza informatica e asset che legano sempre più aziende, protezione di infrastrutture strategiche aziendali, PA e formazione sul campo.
La nascita di questa importante realtà non deve però confondere le idee: andiamo a vedere perché e precisare meglio le cose.
La collaborazione con i nostri servizi informativi (detti servizi segreti o 007), ovviamente necessaria per un sempre maggior connubio pubblico-privato, non vuol dire che ogni azienda, formatore o chicchessia coinvolto nel progetto sia l’agente segreto del futuro perché farà parte della Fondazione.
Sicuramente, la fondazione avrà un ruolo fondamentale e soprattutto con delle basi sul modello israeliano. Ciò non significa che i fondi che andranno a promuovere e sostenere l’accrescimento delle competenze industriali e scientifiche nel campo della sicurezza cibernetica possano aprire le porte al DIS, appunto i nostri servizi informativi, che saranno sì pronti a raccontare tutto quello che si fa, ma non potrà mai accadere che si possano coinvolgere tutti nelle indagini più riservate.
Questo proprio per appannaggio sia del segreto di Stato sia del concetto di segreto relativo al controspionaggio e alle azioni di prevenzione al terrorismo.
Ad esempio, anche favorire lo sviluppo della digitalizzazione del Paese con conseguente attenzione all’interesse nazionale sull’informatizzazione non vuol dire affatto condividere metodi, attività e soprattutto strategie che possono portare del bene solo se mantenute in un determinato ambiente riservato.
Lo scontro nella maggioranza sulla riforma dell’intelligence
Da una parte l’idea del premier Conte di inserire l’Istituto nella Legge di Bilancio. E ancora non abortita del tutto: l’ipotesi è che rientri in un maxi emendamento della Manovra. Dall’altra una riforma più complessiva ora affidata a una proposta di legge del PD.
Ecco l’editoriale del direttore Alessandro Longo sulle parti in campo.
Istituto Italiano di Cybersicurezza e 007: non tutto è intelligence
La linea che demarca questo tipo di interpretazione (e notizia) è molto sottile. La comprensione ottimale sta nel sapere che i reparti dei nostri sistemi informativi da soli non possono capire e comprendere tutto il sistema delle attività malevoli cyber e per questo più si amplia la base della conoscenza di possibili “criminali”, con una collaborazione stretta con le aziende, più si detengono autonomia su scala mondiale e prevenzione. Ma non cadiamo nella facile interpretazione che tutto è intelligence.
Di sovente si tende a confondere l’intelligence proprio come termine, lo si abusa legandolo a tante iniziative o termini di supporto (come business intelligence, algorithm intelligence o altro) per attivare una sorta di economia di scala per avvicinarsi meglio a visioni strategiche o a vertici della difesa nazionale.
Ma è importante ricordare che la parola intelligence, oltre ad essere un vocabolo che “ha valenza generica; viene quindi spesso accompagnato da aggettivi intesi a specificarne finalità (strategica, tattica, operativa), natura (situazionale o previsionale), fonte di provenienza o materia cui si riferisce (economico-finanziaria, militare ecc.)”, tecnicamente è “l’insieme delle funzioni, delle attività e degli organismi coinvolti nel processo di pianificazione, ricerca, elaborazione e disseminazione di informazioni di interesse per la sicurezza nazionale” e affonda le sue radici nel metodo analitico (quantitativo e qualitativo).
La collaborazione tra intelligence e persone e azione, benché sembrino ambiti tanto distanti, è un fattore necessario per la crescita di una civiltà, ma si adottano metodi diversi e a gradi. Inoltre, tutto il comparto di sicurezza deve e può mantenere l’autonomia rispetto alle funzioni che ne sono derivate.
Un passo importante verso la consapevolezza informatica
Possono essere importanti, come ci ricorda il Sottosegretario alla Difesa On. Angelo Tofalo, uno dei promotori già dal 2017 quando era al Copasir, la promozione e la conoscenza di alcuni strumenti per condividere sicurezza e protezione in un percorso storico di consapevolezza, ma allo stesso tempo, le figure coinvolte non possono essere assolutamente confuse con quelle che oggi sono anche nelle aziende.
Queste ultime, fondamentali per il rispetto delle leggi e dell’attività di controspionaggio economico, non vanno assimilate a figure che per loro compito e natura devono occuparsi di difesa nazionale e internazionale, deputando tante decisioni alla gestione dello spionaggio come elemento necessario per la buona riuscita di operazioni delicatissime e a volte anche distanti da leggi vigenti.
Tutto il rapporto qui si gioca nella percezione dello stesso concetto di sicurezza. Infatti se pochi anni fa quest’ultima era legata, in gran parte, alla critica di alcune scelte fatte sotto il profilo del controllo (soprattutto dopo il caso Edward Snowden), oggi viene percepita, appunto, come necessaria per il bene comune e il suo sbocco naturale è nella condivisione della conoscenza.
Coinvolgere i cittadini, le aziende e le PA in un processo di formazione dei rischi cibernetici significa soprattutto dare maggiore comunicazione agli stessi per attivare un processo di comunicazione che deve poi far capire che ognuno, nella società civile, ha uno specifico ruolo.
Un ruolo principale che è quello di essere parti attive nella costruzione di una consapevolezza informatica da profondere già nelle scuole elementari.
La nascita della Fondazione sarebbe già un passo in avanti per una migliore condizione esistenziale generale. Quindi, aldilà di facili proclami o accostamenti di tipo ridondante, l’Istituto Italiano di Cybersicurezza avrebbe rappresentato una prima risposta ad un cammino verso la consapevolezza che ognuno di noi, volente o nolente, riconosce ad un sistema che, benché si tengano nascosti i contorni, va conosciuto e descritto, seppur in piccoli pezzi, per poi essere messo nelle mani di specialisti e comparti di sicurezza di alto livello come i nostri servizi informativi.
Ridefinire il concetto di perimetro cibernetico
Per ultimo, nella costituzione di questa Fondazione non vanno mai sottovalutati due aspetti: il primo è che seppur nel “dominio dell’informazione – informatizzata e globalizzata – l’analisi dell’Intelligence necessita di enormi risorse, di tecnologie altamente sofisticate e di esperti specializzati in varie discipline, specie quelle economico-finanziarie e nella ICT (Information and Communications Technology) avanzata, […] e che dopo un iniziale vantaggio che l’Intelligence ha ottenuto con la partnership del settore privato per la fornitura di competenze professionali e di tecniche innovative ed uniche – nonché capacità manageriali e intellettuali non disponibili nella Comunità Informativa – sono venute alla luce le prime evidenze negative di queste nuove procedure e metodologie”.
Le funzioni governative, quindi, non possono per tutto essere delegate all’outsourcing poiché si rischia che non siano più sotto il controllo della democrazia e della responsabilità di governo. Con attori in maggioranza privata si rischia che le decisioni governative possano perire e a favore di lobby e dei gruppi di pressione.
Il secondo aspetto riguarda il fatto che in tale fondazione andrebbe bene ridefinito il cosiddetto perimetro cibernetico.
Infatti, oggi tale termine non ci permette più di valutare bene la portata delle cose che stanno accadendo. Dobbiamo essere consapevoli, come fa notare molto bene Francesco Pagano di AIDR (Associazione Italiana Digital Revolution) in un altro contesto, che “la tecnologia si evolve con estrema rapidità e chi ha il compito di mantenere i sistemi di sicurezza ha sempre dovuto adattare strategie e strumenti per riuscire a tenerne il passo. Il fenomeno di digitalizzazione che ha interessato il tessuto produttivo e l’intera società negli ultimi anni, però, rappresenta un vero salto di qualità e ha cambiato completamente le carte in tavola anche per chi si occupa di cyber security”.
Ovvero se nella sua declinazione tradizionale, infatti, la cybersecurity si incentrava sul concetto di “perimetro”, attraverso una logica che distingue nettamente tra risorse interne alle reti e risorse esterne, oggi deve fare i conti sempre più con il suo focus transnazionale e i pericoli che si corrono semplicemente acquistando un semplice software da un paese “non amico”.
