All’inizio del mese di giugno, il Ministro dell’Innovazione tecnologica e Transizione digitale ha lanciato un allarme segnalando che ci sarebbero “il 93-95% dei server della Pubblica amministrazione non in condizioni di sicurezza”.[1] Un classico annuncio a effetto che serviva più che altro a sostenere la necessità della creazione di un “cloud”[2] unico per tutti i dati che girano negli uffici pubblici italiani. Del resto una affermazione così catastrofica non trova il minimo riscontro nella annuale “Relazione sulla Politica dell’Informazione per la Sicurezza” pubblicata nello scorso febbraio dove, nella parte dedicata alla “Minaccia Cibernetica”, oltre alla rilevazione di un aumento degli attacchi informatici, non venivano segnalati particolari allarmi riguardo i server della PA.[3] Quale che sia la reale condizione dei server pubblici la sicurezza informatica è certamente un argomento all’ordine del giorno come dimostra – sempre nel mese di giugno – il varo del Decreto n.82 del Presidente del Consiglio dei Ministri “Disposizioni Urgenti in Materia di Cybersicurezza, Definizione dell’Architettura Nazionale di Cybersicurezza e Istituzione dell’Agenzia per la Cybersicurezza Nazionale”.[4]
Il provvedimento ha coinciso, in modo del tutto casuale, con alcuni cambiamenti ai vertici degli apparati che si occupano di sicurezza che sono, tra i tanti incarichi pubblici, quelli maggiormente sensibili agli equilibri politici del momento. Nello specifico è stata sostituita la direzione del “Copasir” (Comitato Parlamentare per la Sicurezza della Repubblica), l’organo che ha poteri di controllo – per conto del Presidente del Consiglio – sull’operato dei due Servizi segreti (AISI, AISE) esistenti.
Anche a livello internazionale, il summit della NATO tenuto a Bruxelles il 14 giugno scorso ha avuto tra gli argomenti in discussione quello delle minacce cibernetiche e ha ribadito l’importanza di una “Cyber Defence Policy”.[5] Già da tempo a livello NATO l’ambito delle infrastrutture informatiche viene considerato come un “dominio” (in aggiunta a quello terrestre, aereo, spaziale e navale) e già esiste la possibilità per i paesi aderenti sia di rispondere con le armi convenzionali ad attacchi cibernetici sia di appellarsi all’articolo del trattato che riguarda la “difesa comune”.
In Italia già nel 2013 fu varato un “Piano Nazionale per la Protezione Cibernetica e la Sicurezza Informatica”[6] che costituisce il principale antecedente delle disposizioni approvate col DPCM citato sopra. Senza soffermarsi troppo su questioni tecniche ci sono alcuni aspetti di carattere generale che è opportuno conoscere a proposito di questo Decreto.
Per prima cosa verrà creata una “Agenzia per la Cybersicurezza Nazionale” (ACN) che lavorerà sotto la responsabilità del Presidente del Consiglio dei Ministri e dell’Autorità delegata per la sicurezza della Repubblica e in stretto raccordo con il Sistema di informazione per la sicurezza della Repubblica. A questa sarà affiancato il “Comitato Interministeriale per la Cybersicurezza” (CIC).
L’ACN avrà, tra i suoi compiti, quello di autorità nazionale in materia di sicurezza cibernetica, dovrà contribuire a sviluppare le capacità di prevenzione, monitoraggio, scoperta e mitigazioni degli incidenti e degli attacchi informatici. Dovrà ovviamente favorire l’innalzamento dei livelli di sicurezza dei sistemi di “Information and Communications Technology” (ICT) in particolar modo di quelli delle Pubbliche Amministrazioni, degli operatori dei servizi essenziali e in genere dei fornitori di servizi digitali. Dovrà anche intervenire nel settore privato sempre allo scopo di potenziare competenze, ricerche e progetti nell’ambito specifico della sicurezza cibernetica. Svolgerà anche le funzioni di unico interlocutore riguardo le misure di sicurezza e svolgerà attività ispettive sulla sicurezza delle reti e dei sistemi informativi.
Di passaggio sottolineiamo che una delle ragioni che hanno reso “urgente” l’emanazione di questo DPCM è la necessità di poter accedere ai fondi che l’UE ha stanziato per questo genere di attività, campo nel quale l’Italia sembra ancora indietro in quanto (per esempio) non sono ancora stati emanati alcuni dei decreti attuativi che riguardano la definizione del “perimetro cibernetico”,[7] rendendo per il momento quasi inutilizzabili alcuni dei provvedimenti varati.
Uno dei problemi principali di questo genere di norme è che impattano sulle vite individuali molto più di quanto si potrebbe credere a prima vista. Se qualcuno o qualcuna crede a quelli che sostengono che il DPCM riguarda solo computer, reti e sicurezza nazionale dovrebbe ricredersi.
Di solito un piano di difesa di una struttura fisica ben definita, come potrebbe essere per esempio un edificio, di solito riguarda e coinvolge, oltre alla struttura, quasi esclusivamente le persone che si trovano al suo interno e/o quelle che in qualche modo hanno una qualche relazione con essa. Nel nostro caso invece l’ambito coinvolto non è altrettanto precisamente delimitato e le persone potenzialmente coinvolte sono un numero non facilmente definibile. Proteggere, per esempio, i server che conservano i dati degli iscritti al Sistema Sanitario Nazionale significa avere a che fare con qualcosa che coinvolge la (quasi) totalità dei cittadini. La difesa a livello cibernetico mette, inevitabilmente, nelle mani di chi la gestisce un potere mai visto in precedenza, visto che ormai le nostre vite sono diventate – in minore o maggiore misura – dei dati in formato digitale archiviati un po’ dappertutto. Questo perché proteggere una rete di computer significa avere facilmente accesso, in modo più o meno ampio, anche ai dati che su quelle macchine sono registrati, una specie di “effetto collaterale” difficilmente evitabile. Per questo anche se le intenzioni dei sostenitori fossero buone, lo scriviamo solo per non scartare a priori questa ipotesi, il DPCM farà acquisire a chi controlla un enorme potere sulle risorse informatiche italiane, in primo luogo quelle delle strutture pubbliche, un passo che prima di essere fatto necessitava di una adeguata copertura normativa. Una pura formalità in quanto nelle scorse settimane su tutti i media è stata pubblicata la ridicola storia dell’applicazione ufficiale pubblica (“Io”) che è stata bloccata e poi sbloccata dal “Garante per la Privacy” in quanto violava alcune norme di legge.
Avere un potere così esteso accentrato a livello governativo e in una struttura strettamente collegata agli apparati riservati è certamente qualcosa di inquietante e che genera più di una perplessità, per usare un eufemismo.
Pepsy
RIFERIMENTI
[1] Vedi, per esempio https://www.ilfattoquotidiano.it/2021/06/06/il-ministro-colao-il-93-95-dei-server-della-pa-non-e-in-condizioni-di-sicurezza-a-giugno-le-proposte-delle-imprese-per-il-cloud/6222015/
[2] Con il termine “cloud” si intende generalmente un server internet che oltre ad archiviare dati provenienti da più parti può anche integrate alcune applicazioni come rubriche, agende, calendari… che possono essere usate in condivisione tra i diversi utenti. Il termine è stato giustamente criticato, qui lo abbiamo adoperato solo perché usato nella dichiarazione del Ministro.
[3] La Relazione è liberamente disponibile sul sito http://www.sicurezzanazionale.gov.it
[4] Pubblicato sulla Gazzetta Ufficiale n.14 del 15/06/2021.
[5] Vedi il punto 32 qui https://www.nato.int/cps/en/natohq/news_185000.htm
[6] Vedi http://www.agid.gov.it/sites/default/files/leggi_decreti_direttive/piano-nazionale-cyber_0.pdf
[7] Il “perimetro cibernetico” serve a delimitare l’ambito di competenza sul quale si estende l’interesse della difesa dalle minacce. In pratica da questo perimetro potrebbero essere esclusi alcuni ambiti specifici.
