Il paese si è dotato di un nuovo organigramma per la cybersicurezza. Lo ha fatto il governo Gentiloni con un decreto, pubblicato in Gazzetta, che in pratica ristruttura questo ambito portandolo sotto l’egida di palazzo Chigi e dei servizi di intelligence, sul modello dei più avanzati paesi europei. Un buon passo, dal punto di vista delle premesse, ma che si conclude con una neutralità per gli oneri dello Stato. Non ci sono soldi nuovi per la sicurezza dello spazio cibernetico italiano, invece ci vorrebbero.
La Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali ha certamente un pregio: dà maggiore compattezza al sistema e chiarisce un flusso di informazioni che col modello precedente era inefficiente. In un certo senso, spiega Corrado Giustozzi, esperto di sicurezza nell’Agid, membro dell’Enisa e autorevole voce dell’informatica italiana da almeno trent’anni, si è finalmente specificato “il giro” delle informazioni. Come? I primi articoli sono dedicati proprio all’organigramma: tutto il comparto finisce sotto il Dis, Dipartimento delle Informazioni per la Sicurezza. Cioè i servizi segreti. Il Nucleo per la Sicurezza Cibernetica passa dal consigliere militare di palazzo Chigi al dipartimento che rappresenta i servizi del paese: un tavolo di coordinamento presieduto dal vice direttore generale del Dis dove siedono i rappresentanti dei ministeri, delle agenzie, della Protezione civile e dell’Agenzia per l’Italia digitale.
Siamo alla ricerca di 8 collaboratori per l’area “Sicurezza e #CERTPA”.C'è tempo fino al 25/4 | #CyberSecurity https://t.co/zXnqDbaLVZ pic.twitter.com/gBsyXJ76CI
— AGID (@AgidGov) April 20, 2017
«Dal punto di vista dell’organigramma il decreto mette a sistema i due livelli di attività strategiche e di gestione degli incidenti», racconta Giustozzi, «mentre i Cert e l’Agid sono chiamati a un ruolo di supporto attivo, che prima non avevano». Insomma, tutto è meglio ordinato, ma va sempre richiamata al fondo la questione di quanto oggi cybersecurity e intelligence significhi affrontare quelle guerre di rete dalle quali è particolarmente complicato uscirne con una visione chiara di chi fa che cosa e da che parte sta. La strategia di sicurezza informatica del Belpaese è iscritta dentro un colossale mercato, ibrido pubblico/privato, di armi informatiche. In un quadro di tensioni e conflitti tra intelligence dove il rischio per lo spazio cibernetico nazionale è altissimo, come dimostra l’ultimo Rapporto Clusit. Ci si aspetterebbe, dunque, anche un’adeguata risorsa finanziaria, ma non è così. È lo stesso Giustozzi a richiamare l’ultimo articolo dove c’è la solita formula “non derivano nuovi oneri a carico del bilancio dello Stato”:
So che la mia come altre strutture hanno fatto presente che senza una dotazione finanziaria è dura fare sicurezza. Ci vuole, ora che è stato disposto un organigramma più chiaro, un piano di investimenti. Una posta è quella dei 135 milioni di euro promessi per la cybersicurezza e che non si sono visti. Sarebbe già importante, se si considera che i britannici hanno previsto una cifra quasi dieci volte superiore.