Da alcuni anni il tema della cybersicurezza è diventato sempre più importante per i governi di tutto il mondo. La pandemia poi ha accelerato molte delle trasformazioni tecnologiche in atto e di conseguenza è cresciuta anche la necessità di proteggere le relative infrastrutture. In particolare quelle pubbliche o comunque di rilevanza strategica.

Per questo nel 2016 a livello europeo è stata emanata la direttiva Nis (Network and Information Security) di cui al momento si sta discutendo un aggiornamento . Allo stesso modo l’Italia ha ridefinito nel corso di questi anni il sistema di sicurezza cibernetica, istituendo da ultimo un’apposita agenzia.

Fonte: Openpolis

Le nuove minacce

Secondo i risultati del rapporto Clusit 2021 , anche solo considerando gli attacchi informatici di cui si ha avuto pubblicamente notizia, i numeri di questo fenomeno sono cresciuti in maniera considerevole nell’ultimo triennio. Tra il 2018 e il 2020 si è infatti registrato un aumento del 20,55% di attacchi informatici di pubblico dominio.

Questi numeri riguardano vari tipi di attacchi, con caratteristiche, motivazioni e criticità molto diversi tra loro. Se da un lato infatti a livello quantitativo sono i cybercrime, ovvero crimini comuni compiuti con l’ausilio di strumenti cibernetici, a registrare i numeri più alti, a livello di pericolosità per il sistema gli atti di cyber warfare e quelli di spionaggio o sabotaggio sono decisamente più gravi.

Proprio questi ultimi peraltro sono quelli su cui, nell’ultimo anno, si è registrata la crescita maggiore (+30,4%).

Fonte: rapporto Clusit 2021

Per questo si è reso – ed è tuttora – necessario che i governi si dotino di strumenti e strutture sempre più capaci di affrontare queste minacce. Attacchi come quello alle infrastrutture sanitarie della regione Lazio nel 2021 infatti rendono del tutto evidente come lo sviluppo di sistemi tecnologici all’interno della pubblica amministrazione espongano il sistema a gravi pericoli, se non viene adeguatamente protetto.

I primi anni della cybersicurezza in Italia

Il settore della cybersicurezza ha assunto una prima definizione nel 2013, anche su impulso dell’Unione europea e della Nato.

In quell’occasione il governo Monti, attraverso un decreto della presidenza del consiglio (Dpcm 24 gennaio 2013 ), ha attribuito le principali competenze in materia alle agenzie di intelligence e in particolare al dipartimento d’informazioni per la sicurezza della repubblica (Dis). All’interno del Dis infatti è stato anche inserito il Nucleo per la sicurezza cibernetica (Nsc).

Nel 2016 poi l’Unione europea ha emanato la cosiddetta direttiva Nis, con lo scopo di fornire un livello elevato di sicurezza dei sistemi, delle reti e delle informazioni comune a tutti i paesi membri. L’anno successivo il governo Gentiloni ha dunque approvato un nuovo Dpcm con cui venivano recepiti alcuni primi elementi della direttiva, come ad esempio i criteri identificati a livello europeo per definire la lista degli operatori essenziali e dei fornitori di servizi digitali. Il provvedimento inoltre istituiva presso il ministero dello sviluppo economico il centro di valutazione e certificazione nazionale (Cvcn) per la verifica degli standard di sicurezza dei prodotti tecnologici destinati a essere impiegati nelle infrastrutture critiche del paese. Nel 2018 lo stesso esecutivo ha poi approvato un nuovo decreto legislativo con cui è stata recepita interamente la direttiva europea.

La nuova architettura del settore

Con questi provvedimenti si è iniziato a identificare il perimetro entro il quale operava il settore della sicurezza cibernetica. Un percorso che ha trovato pieno compimento nel 2019 quando il secondo governo Conte, appena entrato in carica, ha approvato un decreto legge intitolato per l’appunto “Disposizioni urgenti in materia di perimetro nazionale di sicurezza cibernetica”.

Il decreto legge 82/2021 , approvato dal governo Draghi, ha infine riformato in maniera considerevole il settore istituendo l’Agenzia per la cybersicurezza nazionale (Acn). Questa ha incorporato la maggior parte delle competenze precedentemente attribuite a vari altri organi. Primi tra tutti il Dis e il ministero dello sviluppo economico per quanto riguarda il centro di valutazione e certificazione nazionale.

“È venuto il momento di dar vita a un’Agenzia che tratti in maniera olistica la sicurezza cibernetica e l’accrescimento culturale in questo settore, ma che si ponga fuori dal comparto dell’intelligence”, dichiarò Franco Gabrielli, autorità delegata ai servizi di informazione, nel maggio 2021 .

L’agenzia è posta sotto il controllo della presidenza del consiglio, ed è al presidente del consiglio cui spetta la nomina del direttore e del vicedirettore. Al contempo però non si tratta di un dipartimento organico al resto dell’amministrazione. Trattandosi di un’agenzia infatti a questa è garantita autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria.

Quanto alla struttura organizzativa è interessante notare che se da un lato l’agenzia non è stata inserita all’interno del sistema di informazioni per la sicurezza della repubblica dall’altro il decreto istitutivo ricalca in modo piuttosto fedele la struttura e la disciplina prevista per l’intelligence (legge 124/2007 ).

Come per l’intelligence infatti è attribuito al Copasir (comitato parlamentare per la sicurezza della repubblica) il controllo democratico parlamentare. Al presidente del consiglio invece è attribuita in via esclusiva l’alta direzione e la responsabilità generale delle politiche di cybersicurezza oltre che l’adozione della strategia nazionale di cybersicurezza. Le altre competenze del presidente del consiglio invece possono essere svolte all’autorità delegata (il sottosegretario con delega ai servizi di intelligence) nel caso in cui questa figura venga istituita. Anche le norme che regolano la nomina dei vertici sono Identiche quelle previste per il settore dell’intelligence. Infine anche in questo caso è istituito un organo interministeriale, il Cic (comitato interministeriale per la cybersicurezza). Una struttura del tutto simile al comitato interministeriale per la sicurezza della repubblica (Cisr) di cui assume peraltro le competenze in materia di sicurezza cibernetica.

Gli organi di coordinamento nazionali

Non tutto il settore della cybersicurezza è però di competenza della nuova agenzia, che infatti lavorerà in stretto contatto con vari altri comparti tra cui quello di intelligence. Il dialogo tra i diversi soggetti è previsto attraverso due organi. Uno è per l’appunto il Cic, l’altro è il nucleo per la cybersicurezza. Le due strutture operano su livelli istituzionali diversi.

Il primo infatti riunisce il direttore dell’agenzia, che svolge il ruolo di segretario, il presidente del consiglio, che lo presiede, l’autorità delegata e i ministri degli esteri, dell’interno, della giustizia, della difesa, dell’economia, dello sviluppo economico, della transizione ecologica, dell’università, della transizione digitale e delle infrastrutture. Tra i compiti del comitato rientrano quello di proporre al presidente del consiglio gli indirizzi generali da perseguire, l’alta sorveglianza sull’attuazione della strategia e la promozione delle iniziative per favorire la collaborazione, a livello nazionale e internazionale, tra i diversi soggetti istituzionali di settore.

Il nucleo per la cybersicurezza invece opera a un livello più operativo. Al contrario del Cic il nucleo è un organo permanente, che si occupa degli aspetti relativi alla prevenzione e alla preparazione ad eventuali situazioni di crisi. È presieduto dal direttore dell’agenzia o dal vicedirettore e ne fanno parte il consigliere militare del presidente del consiglio, un rappresentante di ciascuna delle agenzie di intelligence, della protezione civile e di ciascuno dei ministeri presenti nel Cic.

Sia del Cic che del nucleo per la cybersicurezza fanno parte il ministro della difesa o dei sui rappresentanti. In nessuno dei due casi però è esplicitamente citato il Comando operazioni in rete (Cor), che tuttavia è un organo molto importante in questo settore. Istituito nel 2020 e posto sotto la catena di comando dello stato maggiore della difesa, a questo organo spetta infatti il compito di coordinare le attività di sicurezza e difesa cibernetica delle forze armate.

Il coordinamento a livello europeo

In linea generale è utile tenere presente l’importanza e la complessità del coordinamento nelle attività di intelligence. La cybersicurezza certo non rientra propriamente in questa definizione, ma come abbiamo visto da molti punti di vista ci si avvicina molto. Sarà quindi tutta da verificare la capacità di questi organismi di superare i tradizionali problemi di intelligence sharing che possono caratterizzare sia i rapporti con altre agenzie nazionali che, a maggior ragione, con agenzie estere .

Da quest’ultimo punto di vista infatti è importante ricordare il ruolo dell’Agenzia quale nuova autorità competente Nis, ovvero il punto di contatto unico in materia di sicurezza delle reti e dei sistemi informativi. Da un punto di vista generale dunque è l’Acn a mantenere il dialogo e la condivisione con l’agenzia europea per la cybersicurezza (Enisa) e con le altre agenzie o organi dei vari paesi membri.

A un livello più operativo invece è attribuito al Csirt italiano (gruppo di intervento per la sicurezza informatica in caso di incidente) il compito di collaborare con gli altri Csirt dei paesi membri dell’Unione europea e con il computer emergency response team dell’agenzia europea.

Le potenziali criticità nella condivisione di informazioni a livello europeo e internazionale d’altra parte sono abbastanza evidenti già leggendo il testo della norma che la disciplina. Qui infatti da un lato si esprime l’obbligo di cooperazione e dall’altro si stabiliscono precisi limiti e cautele nella condivisione di queste stesse informazioni.

L’Articolo 1 comma 5 del D.l. 85/2018 dichiara: “[…] le informazioni riservate secondo quanto disposto dalla normativa dell’Unione europea e nazionale […] sono scambiate con la Commissione europea e con altre autorità competenti NIS solo nella misura in cui tale scambio sia necessario ai fini dell’applicazione del presente decreto. Le informazioni scambiate sono pertinenti e commisurate allo scopo. Lo scambio di informazioni ne tutela la riservatezza e protegge la sicurezza e gli interessi commerciali degli operatori di servizi essenziali e dei fornitori di servizi digitali.”

L’agenzia per la cybersicurezza

Istituita a metà del 2021, l’agenzia per la cybersicurezza ha ricevuto per il primo anno modeste dotazioni finanziarie. D’altronde una struttura così importante che deve assorbire da altri organi personale e infrastrutture già in uso, richiede tempo per entrare effettivamente in funzione. Già dal 2022 infatti il bilancio assegnato al nuovo organo passerà da 2 a 41 milioni di euro, per poi continuare a crescere in modo considerevole fino a raggiungere i 122 milioni di euro nel 2027.

Fonte: Decreto legge 82/2021  e ministero dell’economia e delle finanze

Per trasformare l’agenzia da un guscio vuoto a un organo operativo a tutti gli effetti il governo ha scelto due figure di prestigio per il ruolo di direttore e vicedirettore. Al vertice dell’agenzia infatti è stato nominato Roberto Baldoni, già vice direttore del Dis con delega proprio alla cybersicurezza. Come sua vice invece è stata nominata Nunzia Ciardi ovvero l’ex direttrice della polizia postale, il corpo addetto al contrasto del cybercrime.

Quanto al resto della struttura e del personale il regolamento dell’agenzia, recentemente posto al vaglio del parlamento, prevede un massimo di 8 servizi generali, suddivisi al loro interno in divisioni. A capo di queste potranno essere assegnati 24 dirigenti di livello non generale, mentre all’organico non dirigenziale è posto un limite massimo di 268 persone.

Fonte: dossier della camera dei deputati