Più attenzione alla cybersicurezza negli appalti dei servizi Ict per le PA. L’avvertimento arriva dal direttore dell’Agenzia per la cybersicurezza nazionale (Acn), Roberto Baldoni, ascoltato oggi dalla commissione Ambiente della Camera sul testo del codice appalti. Secondo Baldoni va valorizzata “l’inclusione di elementi di sicurezza cibernetica”. A questo fine, per queste attività di procurement aggiudicati in base al criterio dell’offerta economicamente più vantaggiosa, occorre prevedere un maggior peso della qualità tecnica rispetto al ribasso sul prezzo a base d’asta.
I punti salienti dell’audizione
“Dalla relazione al testo del codice trasmesso al Parlamento si evince il superamento della regola del rapporto “70-30″ (70 punti alla qualità e 30 punti al prezzo) negli appalti affidati in base all’offerta economicamente più vantaggiosa, con il risultato di dare piena libertà alle stazioni appaltanti di decidere quanto incidano aspetto tecnico e aspetto economico – ha evidenziato Baldoni – In questi casi appare di fondamentale importanza che la stazione appaltante attribuisca un opportuno peso ai profili tecnico-qualitativi di sicurezza cibernetica, rispetto ai profili economici, non potendo rischiare che l’elemento prezzo sia decisivo, anche attraverso meccanismi di gara che riconoscano la necessaria attenzione che le stazioni appaltanti debbano avere per questi aspetti”.
“L’esperienza degli appalti in ambito sicurezza – ha detto Baldoni rispondendo a una sollecitazione di un deputato – ci portano a dire che un rapporto “80-20” o “90-10″ (cioè 10 o 20 punti su 100 riferiti al prezzo, ndr) potrebbe essere sicuramente molto più indicato”. “Per questo tipo di appalti – ha ribadito il direttore dell’Acn – dobbiamo assolutamente evitare che il prezzo abbia un eccessivo impatto sulla scelta”.
Nasce la Cyber Security Italy Foundation
Alla Camera è stata presentata la Cyber Security Italy Foundation, la prima fondazione no profit italiana sul mondo cibernetico. Intervenendo all’evento Nunzia Ciardi, vicedirettrice dell’Agenzia per la Cybersicurezza nazionale, ha sottolineato la necessità di costruire e diffondere una nuova cultura della sicurezza.
“La nuova realtà delle nostre vite è la digitalizzazione. Tutti noi viviamo continuamente su una trama digitale e quasi sempre non ne abbiamo la percezione: non c’è un pezzo delle nostre vite che non sia digitalizzato e quindi a rischio sicurezza – ha detto Ciardi – Sappiamo quanto si faccia fatica ad arrivare una vera cultura della sicurezza cyber e per questo realtà e iniziative come quelle della fondazione sono benvenute perché contribuiscono a uno sforzo immane di diffusione della cultura della sicurezza. Quella cyber è stata una delle rivoluzioni più incisive della storia dell’uomo ma soprattutto la più veloce, è avvenuta in pochissimo tempo e ha rivoluzionato il nostro rapporto con il reale”.
“Dietro un display molta della nostra sensibilità e del nostro modo di affrontare la realtà è cambiato e tutto questo è avvenuto in pochissimi anni, nel giro di 30 anni tutto questo è esploso più che nato, cresciuto ed evoluto – ha concluso – Quindi questo ci ha messi di fronte ad una realtà che spesso non è stata adeguatamente metabolizzata e questo ha dei riflessi diretti sulla sicurezza”.
La riflessione di Gabrielli
Per il direttore del Servizio polizia postale e delle comunicazioni, Ivano Gabrielli, ci stiamo confrontando con “una minaccia cyber ibrida e particolarmente insidiosa” che non ha “ha particolarità di transnazionalità, di criminalità organizzata ed è l’hub verso il quale si stanno orientando nuovi modi di riciclare risorse”, complessivamente un hub dove “la criminalità organizzata può fare profitti enormi”.
In questo contesto, ben venga “un’iniziativa come la Cyber Security Italy Foundation perché il quadro legislativo deve essere adeguato e continuamente rivisto, valutato e aggiornato”.
L’intervento del sottosegretario Silli
“Cybersicurezza è ancora oggi una parola ancora troppo poco conosciuta dall’opinione pubblica, mentre è necessario che diventi realmente di dominio pubblico – ha detto Giorgio Silli, sottosegretario agli Esteri, in occasione della presentazione della fondazione – Noi parliamo di cybersicurezza solamente in certi momenti mentre a mio avviso si dovrebbe anche da un punto di vista politico cercare di intervenire sull’opinione pubblica, da una parte facendo conoscere la cybersuicurezza e l’importanza di custodire realmente tutto ciò che è indispensabile per la sicurezza dei nostri apparati informatici. Adesso tutto passa attraverso i pc o attraverso i cellulari”. Secondo Silli quindi “non se ne parla abbastanza da un punto di vista extra-tecnico, ma la pubblica opinione non ha le idee chiare e credo servano interventi e dei fondi. Se il mondo oggi va velocissimo, la politica è quasi schizofrenica, il mondo dell’informatica va ancora più veloce”.
L’accordo Acn-CertFin
Consolidare la sicurezza informatica del settore finanziario italiano. È questo l’oboettivo dell’accordo tra Acn e Presidente del CertFin, Computer Emergency Response Team del settore Finanziario Italiano,
L’accordo intende rafforzare la capacità di prevenzione, protezione e risposta alle minacce e agli attacchi cibernetici, sviluppando la cybersicurezza del settore finanziario italiano attraverso le leve abilitanti della cooperazione pubblico-privato-anche facendo perno sull’esperienza del CertFin -e della cultura della sicurezza. Il protocollo è in linea con gli obiettivi fissati dalla Strategia nazionale di cybersicurezza 2022-2026 e tiene conto della sempre maggiore digitalizzazione del settore finanziario italiano, da un lato, e della crescente diffusione degli attacchi cibernetici dall’altro.
Per il raggiungimento degli obiettivi comuni, Acn e CertFin rafforzeranno il dialogo e la condivisione di dati, di indagini e analisi statistiche sullo stato e sull’evoluzione delle minacce cyber e lo scambio di tutte le informazioni utili a prevenire e contrastare gli incidenti cyber, nonché di studi e rapporti dedicati a tecniche, tattiche, procedure di attacco e tecnologie di prevenzione e protezione dalle minacce cyber. L’accordo prevede una sempre più intensa collaborazione anche sul fronte della sensibilizzazione di utenti e imprese sui temi della cybersicurezza, attraverso la realizzazione di campagne di comunicazione dedicate, e su quello dello svolgimento di esercitazioni e simulazioni, finalizzate a potenziare le capacità di prevenzione e reazione agli incidenti informatici.
