Il futuro della Cyber Security in Italia, è il titolo del Libro Bianco del CINI Cyber Security National Lab, strutturato in 4 capitoli (introduzione, scenari, le sfide e le raccomandazioni). Lo scenario italiano, secondo il Libro Bianco,è caratterizzato da una consapevolezza dell’importanza della cybersecurity inadeguata, sia a livello del grande pubblico, sia a livello imprenditoriale sia a livello politico. Non aiuta ad uscire da questo sottosviluppo, “l’ambiguità normativa e gestionale che ha contraddistinto il ruolo e la attività dell’Agenzia per l’Italia Digitale”.
Prova evidente è che dopo la pubblicazione degli indirizzi sulla cybersecurity a fine 2013, non solo non è cambiato il quadro, ma neppure i documenti sono stati rivisti e aggiornati a due anni di distanza dalla loro uscita. Anzi è successo che le risorse ICT delle pubbliche amministrazioni sono state tagliate linearmente nella legge di stabilità. Nel capitolo dedicato alle Raccomandazioni, si trovano i seguenti suggerimenti: la riduzione drastica dei data center della PA, condivisibile e che andrebbe realizzata con lo strumento del project financing; la sicurezza come investimento che può far crescere competenze e nuove imprese; l’alleanza tra accademia, pubblico e privato, che in realtà non sembra – a chi scrive – ben delineata rispetto al ruolo che dovrebbe avere una agenzia dotata di potere di indirizzo e controllo (vedi la conclusione); la razionalizzazione della spesa e delle infrastrutture pubbliche ICT; la formazione di base e specialistica per dare rilevanza strategica alla sicurezza digitale; lo sviluppo delle certificazioni, delle best practice e di un framework che monitori le capacità cyber delle organizzazioni, base di collaborazione con gli altri stati amici. Il contributo decisivo del Libro Bianco è sulla governance ”Una revisione del piano strategico allo scopo di centralizzare competenze e responsabilità relative specificamente alla sicurezza cibernetica è sicuramente auspicabile (ma deve avere ) poteri non solo di indirizzo ma di controllo del raggiungimento degli obiettivi.”
Una conclusione chiara, anche rispetto al Documento di Sicurezza Nazionale della Presidenza del Consiglio che si attiene ad una lista burocratica di cose fatte e iniziative prese. D’altra parte, non aiuta certo a realizzare questo obiettivo la frammentazione delle competenze tra Ministeri: Sviluppo Economico, Funzione Pubblica, Interni e poi Regioni Asl etc. Per attuare la giusta proposta legislativa di Stefano Quintarelli, di riportare a univoca competenza centrale il “coordinamento informatico e statistico” di tutti gli enti pubblici, occorrerebbe attuare una ridefinizione unitaria delle competenze centrali e, tra esse, con assoluta urgenza quelle sulla sicurezza digitale.
