“Senza autonomia tecnologica non c’è sicurezza informatica”: il sottosegretario alla presidenza del Consiglio con delega alla sicurezza nazionale, Franco Gabrielli, intervistato ieri sera da Nicola Porro a ”Quarta Repubblica”, ha risposto così a una domanda sul caso dell’antivirus russo Kaspersky utilizzato da molte PA italiane centrali e locali, spicca il caso della Presidenza del Consiglio, nonché da università e una lunga lista di aziende nostrane e privati cittadini, e finito inevitabilmente nel mirino mediatico a seguito dello scoppio del conflitto russo-ucraino.
Una risposta, quella di Gabrielli, a dir poco scontata ma al tempo stesso una non risposta. L’autonomia tecnologica non esiste: tanto per cominciare non in Italia, ma nemmeno in Europa e ancor più a livello globale. Non c’è sistema o infrastruttura tecnologica che non conti la presenza di uno o più soggetti, dai natali diversi ed extra-nazionali. Nessun Paese, nemmeno gli Stati Uniti e la Cina – per citare i due poli contrapposti e più avanzi al mondo – può davvero dirsi tecnologicamente indipendente.
Le aziende si fanno strada a suon di investimenti in ricerca, sviluppo e innovazione e chi si fregia dell’appellativo di “colosso” tecnologico nel settore in cui opera, evidentemente è riuscito più e meglio degli altri a imporsi sul proprio mercato di riferimento grazie a competenze, risorse e anche una certa affidabilità. È evidente poi che ciascun Paese tenda a “spingere” i suoi e che le partecipazioni statali in molte aziende tecnologiche, a partire da quelle nel settore della Difesa e non solo (si pensi al settore delle telecomunicazioni) contribuiscano all’affermarsi di questo o quel soggetto, di questa o quella tecnologia.
La cybersecurity, intesa come sicurezza delle infrastrutture critiche e dei dati cosiddetti “sensibili” (quelli che afferiscono alla Difesa, alle Tlc, all’Energia, alla Sanità, alla pubblica amministrazione tutta eccetera eccetera) è evidentemente questione nazionale. Ma svegliarsi all’improvviso puntando il dito contro un’azienda o aziende dai natali specifici non è certo la soluzione. È toccato ai cinesi – con Huawei diventata capro espiatorio dell’Occidente – poi a Google&co nella partita del cloud con l’Europa a caccia di una propria identità (ancora tutta da trovare) e ora tocca a Kasperky, la russa per eccellenza.
“Sostituire subito gli antivirus russi, cancellare gli antivirus russi”: questi i “consigli” che rimbalzano da giorni dalle bocche di esperti o sedicenti tali con tanto di campagne social. La storia si ripete e sfugge di mano tutte le volte: il tema della sicurezza viene confuso, e male, con quello della sovranità dei dati, che è tutta altra storia e non dipende da chi fa cosa ma da quali regole vengano stabilite a garanzie della tutela delle informazioni. A chi appartengano hardware e software è sì importante, ma se un Paese non è in grado di autoprodursi tutto l’hardware e il software (nonché a catena tutte le componenti associate) è inutile perdere tempo in dibattiti sterili. L’Italia si è dotata del cosiddetto “perimetro cibernetico”, un quadro di regole e autorizzazioni da far tremare i polsi per quanto complesso e restrittivo. Persino le aziende italiane se ne lamentano: burocrazia all’ennesima potenza, tecnicismi che spesso restano senza risposta, lungaggini operative anacronistiche. Ma al di là di queste considerazioni la cornice regolatoria c’è, è considerata una delle più stringenti in Europa, e fa il paio peraltro con quella creata proprio dalla Ue, a difesa dei propri dati e delle proprie infrastrutture. La domanda da porsi dunque non è tanto chi sia il fornitore di turno ma: le regole messe a punto sono in grado di garantire la protezione dei dati nazionali? Se la risposta è sì allora fine della storia. Ma se la risposta è no allora si agisca affinché se ne venga a capo piuttosto che puntare il dito ogni volta contro l’azienda di turno. “Senza autonomia tecnologica non c’è sicurezza informatica”. Tornando alle dichiarazioni di Gabrielli si risponda a questa domanda: c’è sicurezza informatica con l’autonomia tecnologica? Basterebbe il bollino “made in Italy” a garantire la sicurezza?
Oggi l’Agenzia per la cybersicurezza nazionale (creatura nata da pochi mesi mentre negli altri Paesi ci sono omologhi da anni) ha dichiarato che al momento non ci sono evidenze oggettive “dell’abbassamento della qualità dei prodotti e dei servizi tecnologici forniti” dalla Federazione Russa, ma in un contesto di “crescente conflitto internazionale non si può prescindere da una rivalutazione del rischio che tenga conto del mutato scenario e che consideri la conseguente adozione di misure di mitigazione”. L’Agenzia chiede dunque di alzare la guardia su antivirus, antimalware, web appplicationn firewall, posta elettronica, servizi cloud e servizi di sicurezza gestiti prodotti da società russe. E il consiglio dovrebbe valere per tutte le tecnologie extra-Ue a questo punto, per non ritrovarci domani ad essere costretti ad alzare il tiro su chissà quali tecnologie di chissà quali Paesi.
