È un momento importante per la cyber security: tra ondate di attacchi sempre più devastanti e una guerra che sta dando chiare indicazioni anche in fatto di strategie cyber, ci si rende conto che il tempo per rinvii e decisioni prese col contagocce è terminata.
Ora è tempo di decidere, ma occorre farlo in fretta, investendo e adottando tecnologie, regolamentazioni e misure di sicurezza che ci sono, funzionano e aspettano solo di essere implementate.
L’intervista a Stefano Mele, avvocato e partner presso Gianni & Origoni, dov’è il responsabile del Dipartimento di Cybersecurity Law e co-responsabile del Dipartimento Privacy, ci consente di fare il punto su ciò che va fatto nel breve termine.
Indice degli argomenti
Attività di contrasto al cyber crime
Quali sono i passaggi più importanti che il paese sta seguendo per il contrasto al cyber crime?
Tra le numerose attività che il governo italiano ha posto in essere per il contrasto al cyber crime e per più in generale alle minacce cibernetiche, la recente creazione dell’Agenzia per la Cybersicurezza Nazionale (ACN) è sicuramente quella più rilevante e che, in prospettiva, porterà i maggiori benefici sistemici. Infatti, tra i compiti attribuiti all’ACN, vi sono anche quelli di sviluppare le capacità nazionali di prevenzione, gestione, monitoraggio, rilevamento, analisi e risposta degli incidenti e degli attacchi informatici, oltre che, grazie alle attività dello CSIRT Italia, agevolare lo scambio di informazioni sugli attacchi verificatisi.
Peraltro, l’ACN è anzitutto la nostra Autorità nazionale per la cyber sicurezza. In relazione a tale ruolo, quindi, ha il compito di assicurare, nel rispetto delle competenze attribuite dalla normativa vigente alle altre amministrazioni, il coordinamento tra i soggetti pubblici coinvolti in materia di cyber sicurezza a livello nazionale e promuovere la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetica per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni.
Un ulteriore passo in avanti – altrettanto cardinale – nel contrasto alle attività criminali online, è quello legato alla creazione della Direzione Centrale per la Polizia Scientifica e la Sicurezza Cibernetica, la quale si occuperà, da un lato, del coordinamento e supporto centrale per le attività di polizia scientifica svolte dagli uffici della Polizia di Stato, dall’altro, invece, assumerà su di sé – semplificando un po’ – tutte le funzioni finora attribuite alla Polizia Postale e all’organo del Ministero dell’Interno deputato alla sicurezza e alla regolarità dei servizi di telecomunicazione. Infine, avrà anche il compito di gestire il CERT (Computer Emergency Response Team) del Ministero.
Come avvenuto per la creazione dell’ACN, ci troviamo di fronte ad un’ulteriore razionalizzazione e centralizzazione della materia, coerente con le esigenze derivanti dal ciberspazio, che non potrà che portare al rafforzamento – già nel breve periodo – delle attività operative di difesa e contrasto nei confronti del cosiddetto cyber crime.
Il problema degli investimenti in Italia
Se guardiamo alla spesa in sicurezza dell’Italia, si è ancora molto lontani da quella sostenuta da altri paesi: circa un quarto di quella di UK o degli Stati Uniti, per esempio. Quindi possiamo creare tutte le agenzie che vogliamo, ma se mancano i fondi, non possiamo costringere le aziende a spendere. Cosa ne pensi?
Penso che la realtà italiana sia profondamente differente da quella del Regno Unito e soprattutto degli Stati Uniti.
Il nostro tessuto imprenditoriale, infatti, è composto da un elevatissimo numero di piccole e medie imprese (PMI). Per la precisione, all’interno dei nostri confini operano oltre 3 milioni e mezzo di PMI, la quasi totalità delle quali è classificabile, in realtà, come micro-PMI, ovvero come un’impresa che occupa meno di 10 persone e realizza un fatturato annuo o un totale di bilancio annuo non superiore a 2 milioni di EUR. Ciononostante, il settore delle PMI produce il 64,3% della ricchezza del nostro Paese, attestandosi su una capillarità del 99,9% delle società non finanziarie presenti all’interno dei nostri confini.
Anche solo dalla semplice lettura di questi dati, si può ben comprendere quanto fondamentale sia oggigiorno il tema della cyber security per la stabilità e la crescita di questo settore. Ciò, a maggior ragione nella consapevolezza che un gran numero delle nostre PMI operano anche a supporto delle aziende nazionali più importanti e strategiche: cosa che le rende un bersaglio estremamente appetibile ed esposto a qualsivoglia tipologia di attacchi informatici e per le più svariate finalità.
Nonostante ciò, nel corso degli ultimi dieci anni, la quasi totalità delle PMI non hanno investito nel settore della cyber security le risorse economiche utili a far fronte alla trasformazione digitale della società e al maggior livello di responsabilità richiesto. Questa situazione ha provocato oggi l’assenza al loro interno di processi interni per la sicurezza realmente coerenti ed efficienti, la mancanza di professionisti specializzati all’interno delle loro strutture e, in sostanza, la carenza di quella giusta sensibilità e cultura nel settore della sicurezza cibernetica indispensabili per affrontare tutte le sfide odierne.
Proprio per questo motivo, come ho avuto modo di rimarcare più volte pubblicamente, ho proposto l’idea di creare un “cloud nazionale per le PMI”, sulla scia di quello che presto verrà realizzato per la pubblica amministrazione. In sostanza, occorrerebbe creare quanto prima uno “spazio virtuale distribuito”, che sia accessibile alle PMI in maniera facoltativa e attraverso il pagamento di un contributo economico differente rispetto al livello di servizio richiesto, dove questo genere di imprese possano usufruire di default di un livello alto di sicurezza per i loro dati, i loro servizi e le loro infrastrutture tecnologiche.
Un decreto per la sovranità tecnologica anche nella cyber: le mosse di Italia ed Europa
Criminalità organizzata e cyber crime
E cosa mi dici in merito al presidio della criminalità organizzata italiana sul cyber crime?
Se guardiamo all’Italia, le principali organizzazioni mafiose sono ancora prettamente concentrate sulle attività di riciclaggio di denaro e sul traffico di droga su vasta scala, oltre che in quelle di corruzione, traffico di rifiuti tossici e contraffazione di valuta e merci.
Tuttavia, di recente, anche le organizzazioni mafiose hanno cominciato a guardare con interesse al filone del cyber crime. Lo hanno fatto con estremo ritardo rispetto alle organizzazioni criminali operanti soprattutto nell’est del mondo o in Africa e ancora con scarsa “convinzione”, ma il prossimo salto generazionale potrebbe cominciare a cambiare in maniera sostanziale questo scenario.
Peraltro, non è certamente un caso che, leggendo l’ultimo report dell’Europol, proprio la criminalità informatica sia una delle principali priorità dell’Unione europea nelle più ampia area delle attività di contrasto nei confronti della criminalità grave e organizzata.
Mi piace citare, però, Giovanni Falcone nella sua celeberrima frase: “La mafia è un fenomeno umano e come tutti i fenomeni umani ha un principio, una sua evoluzione e avrà quindi anche una fine”. Ammesso che il cyber crime sia la sua prossima evoluzione, mi piace più agire e pensare al come arrivare presto al momento in cui avrà una fine.
La sicurezza in azienda
Però oggi l’unica cosa che secondo me può ragionevolmente fare un’azienda è alzare il proprio livello di sicurezza per fare in modo che l’attacco sia il più oneroso possibile e disincentivando, quindi, l’attacco stesso…
Corretto. Parte della mia precedente risposta è proprio legata a questo approccio. Le aziende e le pubbliche amministrazioni devono strutturarsi in modo tale che i criminali informatici reputino più conveniente rivolgere le proprie attenzioni ad altri soggetti.
Troppo spesso, infatti, sia nel mondo privato che nella pubblica amministrazione è estremamente semplice aggirare i presidi di sicurezza. Serve, quindi, un cambio radicale di prospettiva sia sul piano dei processi, che soprattutto su quello culturale. Questa è la grande sfida dei prossimi anni.
Ancora una volta, un cloud nazionale tanto per la pubblica amministrazione che per le PMI consentirebbe di agevolare il raggiungimento di questi obiettivi.
Cloud europeo sì o no?
Rispetto alla strategia italiana in materia di cloud annunciata dal Governo, non sarebbe stato meglio un cloud europeo?
Sì, quella di un cloud europeo sarebbe stata sicuramente una scelta migliore. La verità, però, è che ancor’oggi, nella pratica, non è ancora presente una vera “unione” dei Paesi europei. Al contrario, abbiamo un insieme di Stati sovrani che in parte ragionano anzitutto per il proprio interesse nazionale.
Il progetto Gaia-X è stato, a mio avviso, l’ennesima prova di questo assunto: un progetto molto interessante e utile che, però, almeno allo stato attuale, è fermo al palo a causa dell’anteposizione dell’interesse nazionale di alcuni Paesi membri all’esigenza di raggiungere un importantissimo obiettivo comune.
