“Stiamo facendo un’attività di verifica dell’integrità della compagine societaria delle società che si propongono come partner dell’Agenzia, per l’attivazione dei laboratori che devono essere attivati per il servizio di certificazione e valutazione nazionale, struttura interna deputata allo scrutino tecnologico degli asset informatici, per accertare eventuali tentativi di inserimento di attori statuali che hanno interessi contrastanti con il nostro Paese”. Lo ha detto il direttore generale dell’Agenzia per la cybersicurezza nazionale, Bruno Frattasi, in audizione in commissione Politiche Ue del Senato sui Servizi di sicurezza gestiti. “Ciò rientra nella necessità di mantenere alta la guardia sulla sovranità tecnologica o digitale, una delle indicazioni presenti nella Strategia nazionale per la cybersicurezza“.
Occorre un nuovo schema di certificazione per i provider
Frattasi ha aggiunto che “rispetto alla proposta di modifica del regolamento sul Security Act salutiamo con favore l’emendamento che prevede l’introduzione di norme che attribuiscono all’Europa la possibilità di qualificare i fornitori di servizi di sicurezza a favore di altri soggetti. È un vuoto normativo che si è aperto, è necessaria una garanzia di qualità”.
Ma secondo il prefetto “ci sono ulteriori necessità che andrebbero garantire, il dibattito è aperto. C’è l’intenzione della Spagna (attuale presidente del Consiglio europeo, in carica fino a dicembre 2023, ndr) di chiudere una proposta emendativa che metta tutti d’accordo entro la fine dell’esercizio. Noi vorremmo che questo potesse andare avanti secondo i disegni della presidenza spagnola. Il fornitore di servizi di sicurezza gestiti andrebbe qualificato secondo uno schema di certificazione, ma i prodotti e i servizi che l’operatore dovrà impiegare sono a loro volta certificati e qualificati? Il regolamento deve arrivare a un chiarimento per una completa blindatura del sistema”.
Cogliere la sfida del Solidarity Act
Frattasi ha aggiunto che “il regolamento sulla Solidarity Act tende a creare una riserva di capacità in Europa, una disciplina tale per cui in presenza di un incidente informatico significativo il Paese colpito possa essere supportato dall’attivazione immediata di una task force di operatori di mercato selezionati dai Paesi membri oppure dalla stessa Commissione europea per rimediare al danno informatico. Nel primo caso pesano di più gli Stati membri, nel secondo pesa di più la Commissione europea. Noi pensiamo che possano esserci forme di compromesso, ma in entrambe le ipotesi questa è una sfida che deve essere colta dal nostro Paese, perché abbiamo operatori di mercato bravi, e nel nostro interesse, anche per far crescere la nostra capacità industriale e cibernetica”, ha spiegato Frattasi, ricordando come nelle scorse ore alcuni siti di aeroporti italiani siano stati colpiti da un attacco hacker “per la posizione dell’Italia a sostegno della causa israeliana”, ma “abbiamo prontamente risposto con la riabilitazione di questi siti che erano stati messi giù per alcune ore. Da questo punto di vista la situazione del Paese non appare compromessa”.
Il direttore generale dell’Agenzia per la cybersicurezza nazionale ha chiosato dicendo che “un dpcm di prossima adozione dovrà disciplinare le forme di collaborazione che avremo con la Difesa e le forme attraverso cui lo stesso ministero potrà dare un valido contributo all’attività dell’Agenzia”.