Nel dibattito alla Camera sul ddl cybersicurezza, l’intervento di Eugenio Santagata, direttore Public affairs e security officer di Tim, e amministratore delegato di Telsy, mette in chiaro come la posta sia alta: “Nel ddl si parla di invarianza di risorse”, ma “Senza soldi la cybersecurity vera non si fa“. Anzi, in Italia “è necessario un Pnrr per la cybersecurity”.
“Non abbiamo nulla da invidiare a nessun altro ma servono tantissime risorse. L’invarianza di risorse ci fa fare pochi passi in avanti sul piano sostanziale”, ha chiarito Santagata in audizione davanti alle commissioni Affari costituzionali e Giustizia della Camera sul disegno di legge contenente “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
Ddl cybersicurezza, più attenzione alle pmi
Un altro aspetto discusso da Santagata è quello del referente per la sicurezza previsto all’interno delle aziende: una disposizione che rappresenta un costo e che potrebbe pesare, in particolare, sulle piccole e medie imprese.
“Sulla previsione di un referente per la pubblica sicurezza all’interno delle aziende, in particolare di non grandi dimensioni, va posta attenzione perché dare seguito a questa prescrizione è un costo alto per l’azienda. L’appello al legislatore è di avere particolare sensibilità nei confronti di soggetti strutturalmente più deboli, perché rischiamo di fare una legge e di vedere i medio-piccoli inadempienti, perché creare un’infrastruttura di sicurezza ad hoc per legge all’interno di un’azienda costa tanto”.
La competitività con le big tech
Santagata ha anche evidenziato due aspetti: la competizione alla pari tra telco e big tech e il ruolo dei produttori di software nella mappatura e segnalazione delle vulnerabiolità.
“Noi abbiamo la necessità di un provvedimento normativo che ci metta in pari condizioni di competitività con i grandi player digitali d’oltreoceano”, ha affermato il top manager. “È poi necessario un rafforzamento degli obblighi di segnalazione. Spesso ci imbattiamo in delle vulnerabilità che i produttori di software non hanno mappato quando le hanno scritte, tutta la cybersecurity è nata intorno alla ricerca di vulnerabilità, per cui penso che sia necessario che Tim, anche attraverso la collaborazione con altri soggetti, metta a disposizione questo tipo di conoscenza, perché soltanto conoscendo le vulnerabilità si possono costruire difese ancora più resilienti”.
I reati della cybersecurity
Nel presentare il provvedimento del governo alle commissioni riunite Affari Costituzionali e Giustizia della Camera, che stanno esaminando il testo del ddl, il sottosegretario alla presidenza del Consiglio, Alfredo Mantovano, ha affermato che non si tratta di un testo “blindato”, ma “aperto all’arricchimento del lavoro parlamentare” e ha aggiunto che: “Tutti sul piano istituzionale, non solo il governo, abbiamo un’esigenza concreta di adeguamento normativo rispetto ad attacchi che sono sempre più preoccupanti. Tutta la parte sanzionatoria” del disegno di legge del governo “rende più serio il fronte della risposta alle abusive intrusioni nelle banche dati, che oggi sono punite con sanzioni risibili”.
Proprio riguardo alla parte del ddl dedicata all’inasprimento delle pene per alcuni tipi di reati legati alla cybersecurity, Santagata vede positivamente questo “modo nuovo di guardare alla realtà della minaccia”, ma ha invitato a “declinare più nel dettaglio queste fattispecie, altrimenti si rischia di annoverare come fattispecie di reato attività che non hanno a monte un elemento tipico della fattispecie di reato, perché sono volte a difendere un’infrastruttura”.