Iniziamo con questa una serie di interviste effettuate da Gabriele Faggioli, Presidente del CLUSIT. Abbiamo deciso di iniziare con Angelo Tofalo,deputato della Repubblica italiana, 40 anni, Ingegnere con esperienza nella progettazione di Opere Strategiche in IV classe (TLC e Sicurezza), già componente del Copasir e Sottosegretario di Stato alla Difesa nei Governi Conte I e II. Componente della Commissione IV Difesa, fondatore di Intelligence Collettiva ed Italian Open Lab, segue i temi legati alla cybersecurity, all’Intelligence e alle Forze armate.
Indice degli argomenti
Politica e cybersecurity in Italia
Quali pensa che siano le linee di indirizzo politico che l’Italia deve perseguire nel breve e medio periodo in materia di cybersecurity?
Seguo in prima linea e con grande attenzione la politica in materia di sicurezza cibernetica da almeno 10 anni. Dal decreto Monti a quello Gentiloni, fino ad arrivare al “Perimetro di Sicurezza Nazionale Cibernetica” di Conte e all’Agenzia per la Cybersecurity Nazionale, il legislatore ha sempre lavorato avendo un’unica stella polare, quella della sicurezza cibernetica nazionale inserita nel più ampio alveo della “Sicurezza Nazionale”.
Diffusione della cultura della cybersecurity, formazione costante delle risorse della PA, defiscalizzazione dei costi legati alla sicurezza cibernetica, istituzionalizzazione dei processi di sicurezza con i grandi gruppi partecipati e privati fornitori di servizi essenziali, la sicurezza intesa come investimento e non come costo, il tentativo di armonizzare, prima a livello nazionale poi su tavoli internazionali, le norme riguardanti la materia, ed infine una forte partnership tra pubblico, privato e mondo accademico, costituiscono in sintesi le linee di indirizzo politico. Oggi bisogna puntare su progettualità concrete e non solo proclamate, la tanto spesso nominata partnership deve trasformarsi in un tavolo permanente dove sviluppare insieme progetti efficaci a rendere tutto il nostro sistema più resiliente.
Da tempo si ragionava su come strutturarsi, come Sistema Paese, per produrre “tecnologia sovrana”. Inizialmente si era ipotizzato di provvedere con la nuova struttura destinata ad occuparsi delle cybersecurity presso la Presidenza del Consiglio ma poi queste competenze non sono state generate. Sarebbe opportuno che l’ACN potesse avere anche questa funziona oppure nel caso non fosse possibile si dovrebbe generare direttamente un tavolo istituzionale tra l’Intelligence, il tessuto accademico e le principali aziende private del settore.
La lotta al cybercrime
Ci sono azioni di contrasto veramente efficaci contro il cybercrime?
Alfabetizzare la maggior parte della popolazione sicuramente aiuterà a prevenire errori e conseguenti danni dovuti agli attacchi di piccoli o grandi gruppi organizzati che oggi utilizzano il dominio cibernetico come un vero e proprio bancomat. Non dimentichiamoci che in questa partita il nodo più debole è sempre quello che si trova tra la sedia e il Pc, cioè l’uomo. È dovere delle istituzioni spingere affinché si faccia formazione fin dalla tenera età.
Si deve anche tenere conto che oggi produrre tecnologia propria significa costruire un paese più sicuro. Lo Stato dovrebbe incentivare questo sforzo da parte delle aziende e potrebbe continuare anche a defiscalizzare i costi legati alla sicurezza cibernetico così come fatto qualche tempo fa. Le singole aziende, anche le più piccole, devono altresì capire che oggi fare continua formazione ed informazione interna diventa fondamentale per poter affrontare in maniera più adeguata le sfide future.
Comprendere il fenomeno cybercrime
Ma il Parlamento Italiano ha le competenze per comprendere il fenomeno cybercrime?
Parliamo di materie molto verticali e in questi anni le forze politiche si sono affidate principalmente a quei pochissimi rappresentanti che in Parlamento erano in grado di “parlare la stessa lingua”. Penso altresì che il legislatore non debba avere competenze così specifiche e verticali ma riuscire a dare un indirizzo politico chiaro e a legiferare con il costante supporto dei tecnici. Bisogna ovviamente studiare un po’ di più queste tematiche, che non possono essere approcciate con improvvisazione, evitando così che sia la parte tecnica poi quella che realmente prenderà decisioni rilevanti.
Contrastare i cybercriminali
Chiaro. Quindi la creazione della Agenzia va in questa direzione?
La creazione dell’ACN è avvenuta a seguito di un lungo dibattito politico e credo che già nell’immediato futuro, l’Agenzia guidata dal Prof Roberto Baldoni, farà fare notevoli passi in avanti al nostro Paese. Sarebbe utile, come già detto in precedenza, fare in modo che questa possa anche lavorare in prima linea, coinvolgendo i privati, allo sviluppo di tecnologia sovrana.
A livello interazionale cosa si può fare di più per contrastare i criminali?
Sicuramente risulta sempre più importante lavorare nella direzione di armonizzare le normative tra diversi paesi, a partire da quelli appartenenti all’Ue. I percorsi su cui concentrarsi sono due, da una parte bisogna lavorare per realizzare una sempre maggiore interoperabilità in tutta la nostra P.A., dall’altra, come detto, per fronteggiare una minaccia che vive in un dominio dove siam tutti presenti bisognerà lavorare sugli stessi tavoli e alzare le giuste difese. In questi anni, con il COR, il Comando per le Operazioni in Rete della Difesa, abbiamo ad esempio avviato un importante processo di interoperabilità tra le diverse Forze armate. In questo processo tra i vari ministeri sarà fondamentale il lavoro dell’ACN.
Gestire il cybercrime come comunità europea
Benissimo. Ed è credibile che a livello internazionale, anche solo UE, i diversi governi collaborino in modo efficace? Se si, perché allora si va verso singoli cloud nazionali?
Sarà altrettanto fondamentale e auspicabile una collaborazione sinergica tra i diversi paesi dell’UE, collaborazione già partita da tempo su questi dossier ma con non poche difficoltà data la strategicità del tema. Lo stesso Parlamento italiano ha recentemente approvato una mozione sul cloud nazionale per i dati della P.A.. Condivisione in UE si ma con prudenza dunque, questa la linea delle maggiori potenze.
Non sarebbe più utile una politica europea compatta invece che, per esempio, un cloud per ogni Paese membro?
Assolutamente sì. Siamo ancora troppo divisi e facilmente aggredibili dai grandi competitors internazionali. Così come si è iniziato a fare, con non poche difficoltà, nel settore dell’industria della Difesa, diventa fondamentale in questo momento che le istituzioni spingano al massimo per stimolare i principali stakeholders europei dell’innovazione tecnologica a lavorare insieme.
PNRR e cybersecurity
In cosa il PNRR può essere una chiave di volta per la cybersecurity italiana dei prossimi anni?
Per il settore cybersecurity il PNRR ha previsto 620 milioni di euro. Concordo con chi dice che ne sarebbero serviti molti di più (anni fa stimai 1.5/2 Mld per un intervento serio e strutturale), ma va anche detto che la Missione 1 prevede oltre 40 miliardi in innovazione e digitalizzazione. Se spesi con intelligenza, per progetti realmente validi, e nelle modalità opportune, sarà fondamentale adottare in ogni passaggio una concreta “security by design”. Il nostro Paese, per quanto riguarda il dominio cibernetico, va completamente progettato. Solo così si potranno realizzare interventi che andranno ad accrescere la resilienza cibernetica del nostro sistema paese. Abbiamo iniziato, in estremo ritardo, con strutture come l’ACN e il COR, ma ora serve una reale accelerazione.
Compatti nella lotta alla criminalità digitale
La mia lettura è che l’Italia è troppo disgregata a livello politico, imprenditoriale e anche di pubbliche amministrazioni. Se in altri momenti storici questa era una forza, lo è anche in relazione al fenomeno cybercrime o invece è un elemento di debolezza?
Concordo con la sua analisi, oltre agli slogan servirebbe creare infatti una maggiore sinergia tra istituzioni, grandi gruppi imprenditoriali e P.A. tra cui in particolare il mondo accademico. Dovremmo prima di tutto iniziare a produrre tecnologia sovrana. La vera sfida sulla quale tutti noi dovremo concentrarci sarà il modello di democrazia che si affermerà nella società digitale che si sta formando nel dominio cibernetico. Solo così potremo creare un sistema più sicuro.
Insomma, lo scenario odierno, sotto gli occhi di tutti, è una forte polarizzazione tra un blocco occidentale che vede capofila gli USA e un blocco orientale che vede capofila la Cina. L’Europa, anche se all’interno del blocco occidentale, risulta schiacciata. Noi come Italia dovremmo lavorare da una parte spingendo il più possibile su queste tematiche e sviluppando in pochi anni un tessuto istituzionale, aziendale e di popolazione pronto alle nuove sfide, dall’altro è nostro dovere lavorare con i paesi dell’Ue sui tavoli internazionali per armonizzare le norme dei singoli paesi ed esser competitivi a livello globale.
