Una spruzzata di cybersecurity qui e là, senza troppo impegno. La prima componente della missione di digitalizzazione del “Piano Nazionale di Ripresa e Resilienza” (PNRR), ora alle Camere dopo la revisione del Governo, riguarda la digitalizzazione e la modernizzazione della PA. In questo ambito, gli interventi sono cambiati, anche se resta ancora primario lo sviluppo di un cloud nazionale e l’effettiva interoperabilità delle banche dati.
Alla cyber security della PA – un grosso tallone d’Achille del Paese, come si è visto di recente e come riconosciuto dallo stesso ministro all’innovazione Vittorio Colao – solo 620 milioni di euro.
Peraltro solo qui la cyber citata esplicitamente all’interno di una voce di dettaglio, nel PNRR. In altri ambiti i vantaggi cyber saranno indiretti – ad esempio per gli incentivi 4.0 alle aziende, dove la cyber è citata solo di passaggio tra gli obiettivi.
Troppo poco e manca di certo una visione unitaria nel PNRR. Si poteva certo fare di più per un piano così importante e dove il digitale ha un ruolo così strategico. Alla missione denominata Digitalizzazione, innovazione e competitività sono allocati infatti ben 50,07 miliardi (Pnrr, React EU e fondo complementare).
Indice degli argomenti
Cyber security nella PA
Vediamo il digitale nella PA. Il riquadro di sintesi recita al primo punto: digitalizzare la pubblica amministrazione italiana con interventi tecnologici ad ampio spettro (cloud, interoperabilità dati, servizi digitali, cyber-security) accompagnati da incisive riforme strutturali.
La possibilità di digitalizzare maggiormente e in modo più sicuro la PA e lo Stato in genere rappresenta una opportunità fondamentale per il nostro Paese.
Per la PA la cyber security è citata alla voce infrastrutture digitali e cyber, per circa 1.250 milioni, di cui circa 50 milioni già stanziati per la realizzazione di un data center del Ministero dell’Interno e per il potenziamento delle reti di connettività delle strutture operatici del CNVVF.
Alla cybersecurity nazionale 620 milioni di euro.
Si legge nel piano:
“La digitalizzazione aumenta nel suo complesso il livello di vulnerabilità della società da minacce cyber,
su tutti i fronti (ad es. frodi, ricatti informatici, attacchi terroristici, ecc.). Inoltre, la crescente dipendenza
da servizi “software” (e la conseguente esposizione alle intenzioni degli sviluppatori/proprietari degli
stessi) e l’aumento di interdipendenza delle “catene del valore digitali” (PA, aziende controllate dallo
Stato, privati) pongono ulteriore enfasi sulla significatività del rischio in gioco e sull’esigenza, quindi, di
una risposta forte. La trasformazione digitale della PA contiene importanti misure di rafforzamento delle
nostre difese cyber, a partire dalla piena attuazione della disciplina in materia di “Perimetro di Sicurezza
Nazionale Cibernetica”. Gli investimenti sono organizzati su quattro aree di intervento principali. In
primo luogo, sono rafforzati i presidi di front-line per la gestione degli alert e degli eventi a rischio
intercettatati verso la PA e le imprese di interesse nazionale. In secondo luogo, sono costruite o rese
più solide le capacità tecniche di valutazione e audit continuo della sicurezza degli apparati elettronici e
delle applicazioni utilizzate per l’erogazione di servizi critici da parte di soggetti che esercitano una
funzione essenziale. Inoltre, si investe nell’immissione di nuovo personale sia nelle aree di pubblica
sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico diretto
contro singoli cittadini, sia in quelle dei comparti preposti a difendere il paese da minacce cibernetiche.
Infine, sono irrobustiti gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e
della risposta alle minacce cyber. Tutto ciò è svolto in pieno raccordo con le iniziative Europee e alleate,
per assicurare la protezione degli interessi comuni dei cittadini e delle imprese”.
Poca cyber nelle imprese
Tuttavia, dove si parla di imprese (Sostenere la transizione digitale, l’innovazione e la competitività del sistema produttivo, con particolare attenzione alle PMI, alle filiere produttive e alle competenze tecnologiche e digitali, dotare tutto il territorio nazionale di connettività ad alte prestazioni) la parola sicurezza non compare; se non un cenno tra gli obiettivi.
“Sostenere la transizione digitale e l’innovazione del sistema produttivo attraverso stimoli agli investimenti in tecnologie all’avanguardia e 4.0, ricerca, sviluppo e innovazione, cybersecurity”.
Manca la cyber nel PNRR
Manca di fatto la cyber nel PNRR. Certo manca un approccio unitario. Quell’approccio necessario a produrre un impatto rilevante sugli investimenti privati e sull’attrattività del Paese, attraverso un insieme articolato di interventi incidenti su Pubblica Amministrazione, sistema produttivo, turismo e cultura.
Da anni riteniamo tutti che la sicurezza sia un vantaggio competitivo, industriale e nazionale, come dimostra l’atteggiamento delle aziende pubbliche e private che difficilmente denunciano incidenti di sicurezza. Sono restie a dichiararsi non sicure proprio perché la security è richiesta dal mercato, è un vantaggio competitivo.
La visione strategica sembra, ancora una volta, costruita bottom up, sulla base di singole istanze particolari invece che su una visione globale, innovativa e consapevole.
Il PNRR tenta di cogliere l’opportunità offerta dalla Commissione Europea per trasformare i costi del rilancio in investimenti per il futuro.
Nella componente 2 della prima missione si parla di digitalizzazione, innovazione e competitività del sistema produttivo. Si parla di reti ultraveloci e 5Gcon 6,31 miliardi e di tecnologie satellitari ed economia spaziale con 1,29 miliardi.
Un tema critico che ci saremmo aspettati di vedere affrontato è il rafforzamento della cybersecurity nazionale. Tuttavia, risulta ancora irrisorio lo stanziamento sui temi di cyber security e la suddivisione delle voci di intervento.
Ci saremmo anche aspettati di vedere un rafforzamento dell’industria nazionale, anche di nicchia, nei temi di tecnologie della sicurezza e della sicurezza informatica.
Tuttavia, ancora una colta, il PNRR sembra sorvolare sugli aspetti della digitalizzazione “smart”, non basata solo sul lavoro remoto, ma soprattutto basata sulla sicurezza “a casa e al lavoro”.
Una forma di digitalizzazione che costituisce, invece, una best practice di resilienza delle aziende tutte, pubbliche e private, per continuare a lavorare, almeno nei servizi immateriali, e che è basata, nella nuova disciplina della gestione delle crisi prolungate, studiata con la pandemia, sulla immediatezza dello switch a “full digital” (anche da casa e da connessioni private e residenziali) e sulla continuità dell’uso di connessioni private e residenziali.
Il PNRR dovrebbe essere uno strumento per spingersi in avanti, anche nelle forme organizzative che supportano la sicurezza, e per far crescere il Paese nella tecnologia sicura e nella tecnologia della sicurezza.
Ancora una volta, il PNRR potrebbe essere il luogo ideale, per esempio, per stanziare fondi sulla formazione, sulla informazione e sul lancio di piccole e medie imprese che sviluppino tecnologie sicure, per finanziare progetti di standardizzazione che mantengano il nostro Paese tra i principali attori della sicurezza mondiale e della certificazione di sicurezza e, infine, per rilanciare una Italia dove “il business è sicuro”, in modo da attrarre investimenti dall’estero.
Peccato: il Paese non può essere moderno, col digitale, e competitivo se non è anche cyber sicuro.
Articolo aggiornato dopo l’ulteriore modifica del piano a un’ora e mezza della sua presentazione
