“Siamo partiti in ritardo rispetto ad altri Paesi ma stiamo cercando di recuperare per mantenere il passo per garantire una tutela ai cittadini che oggi devono avere a che fare anche con minacce informatiche . Stiamo cercando di investire molto sulla cultura del rischio digitale e questo è un elemento che deve pervadere qualsiasi persona perché nel momento in cui si aumenta la consapevolezza del rischio si inizia a tratteggiare una strategia. Abbiamo tanti strumenti ma bisogna cercare di semplificare e investire nelle capacità di miglioramento”. Lo ha detto il ministro per le Imprese e made in Italy Adolfo Urso al Cyber Security Summit 360, l’evento di Cybersecurity360 e AgendaDigitale.eu a cui hanno preso parte anche il Vicedirettore Generale del Dipartimento delle Informazioni per la Sicurezza Alessandra Guidi, il Vicedirettore Generale dell’Agenzia per la Cybersicurezza Nazionale Nunzia Ciardi e il Componente del Garante per la protezione dei dati personali Agostino Ghiglia, oltre ai principali protagonisti della scena cyber italiana.
La cybersecurity come abilitatore di progetti complessi
Durante la XII edizione dell’evento, che si è tenuta ieri a Roma, sono state messe al centro della discussione le nuove opportunità e le sfide normative e istituzionali nella prevenzione e gestione degli incidenti, in un Sistema Paese sempre più digitale in cui si diffondono progetti di smart city e smart mobility. “Un’occasione per analizzare con i massimi esperti l’evoluzione normativa e istituzionale, per valutare l’impatto economico degli incidenti e per analizzare le migliori strategie per il contenimento danni e infine per ragionare su come la cybersecurity stia diventando sempre più spesso un vincolo di compliance abilitante per lo sviluppo di progetti complessi”, ha detto Gabriele Faggioli, ceo di Digital360, che ha organizzato il summit.
Il sistema nazionale non è ancora adeguatamente protetto e interconnesso
Ma la giornata di ieri è stata caratterizzata da un’altra ricorrenza che ha offerto l’opportunità di affrontare il tema della cybersecurity anche da un altro punto di vista. Durante le celebrazioni per il 25esimo anniversario dalla fondazione della Polizia postale, Bruno Frattasi, nuovo capo dell’Agenzia per la Cybersicurezza Nazionale, ha ribadito che “la nostra mission principale è la resilienza, proteggere meglio la superficie digitale. Oggi i sistemi non sono adeguatamente protetti, bisogna irrobustirli per resistere agli attacchi. E puntiamo anche ad aumentare la consapevolezza del rischio cyber”.
Il direttore del Dipartimento delle informazioni per la sicurezza, Elisabetta Belloni, ha sottolineato d’altra parte che “il cyber è un mondo caratterizzato da totale assenza normativa, non ci sono norme internazionali condivise ed il potenziale attore ostile ne guadagna, i costi ed anche i rischi sono minori. È difficile tracciare l’attività ostile, attribuire responsabilità. C’è stato”, ha continuato Belloni “un uso sempre più accelerato del cyber con la pandemia e la guerra in Ucraina. È aumentata l’attività di spionaggio da parte di attori statuali, ma anche di gruppi e individui. I target sono sia pubblici che privati”. A parere del direttore del Dis “è importante la collaborazione interistituzionale. Noi siamo in contatto quotidiano con il Dipartimento per la pubblica sicurezza e con l’Agenzia per la Cybersicurezza Nazionale, ma bisogna fare ulteriori sforzi, non è sufficiente, serve un Comitato di analisi strategica antiterrorismo che si occupi del cyber ed occorre allargare la collaborazione all’autorità giudiziaria”. Nel mirino ci sono infrastrutture critiche gestite dal pubblico ma anche dal privato e tra i settori vulnerabili, ha sottolineato Belloni: “ci sono la difesa, l’energia, le tlc, le biotecnologie. Non si può lavorare a compartimenti stagni, serve lo scambio di informazioni”.
Il procuratore nazionale antimafia e antiterrorismo Giovanni Melillo ha aggiunto che sulla cybersicurezza “ci troviamo in una situazione di totale inadeguatezza. Scontiamo un grave ritardo. C’è una sostanziale subalternità del pubblico rispetto alle tecnologie controllate dal mercato e scontiamo una complessiva inadeguatezza del quadro normativo. Non c’è rapporto”, ha evidenziato Melillo, “tra l’Agenzia per la Cybersicurezza Nazionale e l’autorità giudiziaria. Non è previsto alcun raccordo tra le funzioni di riparazione dell’Agenzia con quelle di accertamento del reato”. È saltata, ha aggiunto, “l’idea di competenza e giurisdizione su un attacco cyber. Quando viene attaccato un sistema della pubblica amministrazione la vigilanza privata fa i rilievi. C’è un ritardo di consapevolezza e molta strada da fare”.
L’Italia può essere un importante mediatore sul fronte internazionale
Partecipando invece alla Cyber Crime Conference, di scena sempre a Roma, Matteo Lucchetti, direttore del Cyber 4.0, centro di competenza nazionale sulla cybersecurity, ha detto che l’Italia potrà avere un ruolo importante come mediatore nelle discussioni che prenderanno il via nei prossimi mesi alle Nazioni Unite per formulare una nuova convenzione internazionale sul cybercrime. “La nuova Convenzione Onu sarà decisiva per una definizione di cybercrime condivisa e basata sul rispetto dei diritti fondamentali e su una visione di Internet come spazio aperto e libero”, ha spiegato Lucchetti. Il rischio è che la cyber sicurezza si trasformi in un’arma, soprattutto in paesi afflitti da guerre o tensioni politiche, per restringere la libertà di espressione della privacy, della discrezionalità del diritto penale. Ecco perché nei prossimi mesi le Nazioni Unite apriranno le discussioni per una nuova convenzione condivisa sul cybercrime per superare la precedente che risale a oltre 20 anni fa. “Per fronteggiare il cybercrime servono strumenti di cooperazione internazionale, basati su trattati legali, affinché le prove raccolte siano utilizzabili nei tribunali e non solo come informazioni di intelligence”, ha osservato il direttore di Cyber 4.0. “L’Italia può fare molto per favorire le negoziazioni dove in competizione ci sono una visione chiusa e statocentrica di Internet come un luogo di frontiere e quella di Internet come un luogo libero, inclusivo e di collaborazione”.