Il suo nome è Cyber 4.0, anche conosciuto come Cybersecurity Competence Center: un centro innovativo che mira a elevare il livello di competenza di imprese e Pubblica Amministrazione in tema di sicurezza digitale. Una sfida difficile, se si pensa che l’Italia è uno dei paesi più colpiti al mondo dal cyber crime. Per esempio, nei primi 6 mesi del 2021, è stato il quarto paese più colpito da attacchi correlati alla Covid-19, e sempre nello stesso periodo sono stati censiti sul territorio nazionale ben 131.197 attacchi.
C’è quindi bisogno di un piano organico per far crescere il paese sia nella percezione che nel contrasto al fenomeno. È qui che entra in gioco Cyber 4.0 e non c’è persona migliore che lo possa spiegare se non Matteo Lucchetti, che ne è direttore operativo dall’aprile 2021.
Indice degli argomenti
Cos’è Cyber 4.0
Matteo, cos’è Cyber 4.0 e qual è la sua mission?
Cyber 4.0 è il Centro di Competenza nazionale ad alta specializzazione per la cyber security promosso e finanziato dal Ministero dello Sviluppo Economico nel quadro del programma Industria 4.0. Il Centro, formalmente costituito nel 2019 ma reso operativo solo a metà dello scorso anno, è un’Associazione non-profit che aggrega un partenariato pubblico-privato di primissimo piano a livello nazionale, in grado di esprimere competenze a 360 gradi in materia di cyber security.
Fanno parte di Cyber 4.0 oltre 40 soci, che includono università, enti pubblici, grandi aziende, PMI, fondazioni e altri organismi rappresentativi di settori specifici. L’obiettivo del Centro è supportare aziende e Pubblica Amministrazione sugli aspetti relativi alla sicurezza di dati e sistemi nel percorso di transizione digitale, mettendo a disposizione competenze e servizi qualificati.
Le attività del Centro si articolano su quattro aree di intervento definite sulla base delle competenze messe a disposizione dai soci: un’area core di cyber security, relativa a quei servizi essenziali comuni a tutti i settori d’impresa, e tre aree verticali, per lo sviluppo di azioni mirate – rispettivamente in ambito aerospace, automotive e healthcare.
Chi è Matteo Lucchetti
Attuale direttore operativo di Cyber 4.0, in precedenza è stato per oltre 5 anni Programme Manager Cybercrime presso il Consiglio d’Europa a Bucarest, alla guida dell’Azione Globale sul Cybercrime, un programma di supporto a Paesi in via di sviluppo in materia di cyber crime. Prima ancora ricercatore a Vienna presso l’Agenzia Europea sui Diritti Fondamentali nell’area della protezione dei dati personali, dove è approdato dopo oltre dieci anni come esperto di cyber security nel settore bancario italiano. Ingegnere elettronico di formazione, Matteo ha un PhD in Ingegneria dei Sistemi presso Sapienza Università di Roma e un MSc in Cyber Security presso la Royal Holloway University of London.
Attività e strategie
Di che tipo di iniziative vi occupate?
Le attività istituzionali che il Centro svolge in risposta al mandato del MISE sono di tre tipi: iniziative di formazione, sia di base che avanzata, per creare o rafforzare quelle competenze in materia di cyber security che sono oggi non più solo necessarie, ma leva abilitante per il business di ogni organizzazione alle prese con la transizione digitale; percorsi di orientamento per l’identificazione di soluzioni innovative in grado di rispondere alle esigenze di digitalizzazione sicura di aziende e Pubblica Amministrazione; finanziamento di progetti di ricerca e innovazione sulle nostre quattro aree di intervento. In merito a questo ultimo punto, mi permetto di sottolineare che nel 2021 sono stati lanciati due bandi e assegnati finanziamenti per 2.2 Milioni di Euro ad un totale di 15 progetti di ricerca avanzata, che produrranno soluzioni di mercato nei prossimi 12-18 mesi.
In aggiunta alle attività istituzionali, Cyber 4.0 può erogare servizi a valore aggiunto in risposta a specifiche esigenze di mercato, sia nel contesto nazionale che in quello internazionale. Rientrano in questo tipo di attività i servizi di assessment dei rischi cyber, di rilevamento e gestione delle minacce cyber, di protezione dei dati, protezione dei sistemi, di supporto alla gestione degli incidenti, di certificazione, di formazione e di consulenza.
Una terza area di attività è quella relativa alla partecipazione del Centro, sia come entità proponente che come partner, in proposte di progetti finanziati a livello nazionale e a livello europeo, in particolare nel contesto del programma Digital Europe.
La base di ogni attività svolta da Cyber 4.0 è comunque la rete di collaborazioni e partnership su cui il Centro può contare: un network in continua espansione che include enti e istituzioni di rilevanza nazionale e internazionale, e che può esso stesso rappresentare un asset per tutti gli stakeholder coinvolti nelle nostre attività.
Le priorità da considerare
Quali sono le priorità che l’Italia delle imprese e delle pubbliche amministrazioni devono darsi in questo contesto storico?
Dal punto di osservazione privilegiato di Cyber 4.0, posso solo confermare quanto il tema delle competenze sia una priorità essenziale nel settore della cyber security. E non parliamo necessariamente di super esperti, pur in numero molto ridotto rispetto alle reali esigenze, ma anche e soprattutto di un livello di cultura di cyber security di base, che deve essere diffuso a tutti i livelli di un’organizzazione.
PMI: osservato speciale
La necessità di competenze riguarda anche le PMI?
Se si parla di PMI, le necessità di formazione che evidenziamo riguardano aspetti gestionali e di processo, a partire dall’identificazione dei gap di cyber sicurezza nell’organizzazione, a quali processi disegnare e quali ruoli/ responsabilità definire, come scrivere le policy, dove cercare le soluzioni, quali tecnologie acquisire e come testarle prima di investire, come renderle operative. Tutti ambiti sui quali Cyber 4.0 può fornire supporto.
Dalla parte delle normative
La normativa è ancora un driver importante per sviluppare competenze e spingere investimenti in cyber security?
Quello della cyber security è senza dubbio un contesto in cui l’evoluzione normativa in corso in Italia darà un impulso importante in molti settori e l’adeguamento in termini di compliance regolamentare rappresenta già una priorità per molte organizzazioni. Nel 2022 ci aspettiamo la piena operatività dell’Agenzia di Cybersicurezza Nazionale, la creazione del cloud nazionale per la Pubblica Amministrazione, il completamento del quadro legislativo relativo al Perimetro Nazionale di Sicurezza Cibernetica e l’implementazione operativa della normativa NIS. L’approccio intrapreso a livello nazionale è finalmente strutturato, lungimirante e ben supportato dal legislatore: è lecito attendersi che si compia finalmente quel salto di qualità che da tempo gli operatori del settore auspicano.
Il potenziamento previsto, però, deve necessariamente passare per la capacità di aziende e PA di mettere in pista un piano di investimenti mirato e pluriennale. In questo contesto il PNRR certamente offre numerose opportunità di supporto, da cogliere nel prossimo quinquennio non solamente nelle sole iniziative esplicitamente focalizzate sulla cyber security, ma in tutto il contesto delle azioni mirate a favorire la transizione digitale di imprese e PA.
L’Agenzia cyber prende forma, approvati i primi tre regolamenti attuativi: ma è solo l’inizio
Uno sguardo al futuro
L’Italia può giocare una partita a livello internazionale come esportatore di servizi o prodotti di cyber security o di idee per contrastare il fenomeno?
L’Italia ha eccellenze in materia di cyber security che certamente la possono proiettare come player importante sul panorama internazionale.
Penso al settore della difesa, o a quello bancario, o a quello dell’aerospace, o dell’automotive, tutte aree in cui le esperienze sviluppate in termini di soluzioni tecnologiche e di processo sono sicuramente di primo livello.
Ma il quadro si presenta puntiforme, con eccellenze ancora isolate, che non sembrano frutto di un percorso di sviluppo armonico. Nell’evoluzione cui stiamo assistendo sarà importante dedicare parte degli sforzi anche a favorire uno sviluppo in continuità di innovazione prodotta nel contesto nazionale. È questo un ambito su cui esistono iniziative sviluppate da alcune grandi aziende, e sul quale anche Cyber 4.0 sta lavorando con partner istituzionali.
