di Carlo Bonini
La Repubblica, 2 agosto 2021
Intervista al sottosegretario alla presidenza del Consiglio con delega alla sicurezza della Repubblica: "Bisogna ridurre le vulnerabilità del Sistema Paese. Assumeremo mille professionisti con stipendi all'altezza del mercato". Entro la metà di questa settimana, con il voto al Senato (una formalità, dopo un passaggio alla Camera che ha registrato l'unanimità), l'Agenzia per la cybersicurezza nazionale (Acn) diventerà legge dello Stato.
E, con lei, l'architettura complessiva della nostra sicurezza nazionale, la sua filosofia, diciamo pure il suo modello culturale, conoscerà un passaggio cruciale. Franco Gabrielli, autorità delegata del governo Draghi per la sicurezza repubblicana, è uno dei padri di questa riforma. E ha una gran paura. Che, non comprendendone fino in fondo la posta in gioco, il Paese non faccia quello che avrebbe dovuto cominciare a fare dieci anni fa. A maggior ragione, come dimostra l'ultimo attacco hacker ai server della Regione Lazio, in un tempo in cui l'aggressione cyber sarà la regola e non l'eccezione. "Bisogna correre".
Correre?
"Nel vocabolario Treccani è stata inserita una nuova parola: Onlife. E il termine - cito testualmente - indica "la dimensione vitale, relazionale, sociale e comunicativa, lavorativa ed economica, vista come frutto di una continua interazione tra la realtà materiale e analogica e la realtà virtuale e interattiva". Detto altrimenti, quella parola indica cosa significhi essere umani nella dimensione digitale. E, dunque, cosa si giochi e cosa ci giocheremo nello spazio della nostra nuova contemporaneità di qui in avanti. Ebbene, due Paesi come la Germania e la Francia si sono dotati di un'Autorità nazionale di resilienza cybernetica già da molto tempo. La Germania nel 1991, la Francia nel 2009. Noi arriviamo trafelati a questo 2021, con, lo dice il ministro Colao, un 95 per cento di server della pubblica amministrazione non affidabili e la prospettiva di 1 trilione di dispositivi digitali attivi sul pianeta entro il 2030. Siamo già immersi nell'intelligenza artificiale e nella dimensione digitale delle cose. Ecco perché dico che dobbiamo correre. E la nascita dell'Agenzia è l'inizio di questa corsa".
Perché questo ritardo?
"Ci si è impantanati in un dibattitto decennale che immaginava la cybersicurezza inserita all'interno del perimetro della nostra Intelligence. Il che, per certi aspetti, era anche comprensibile. Il ragionamento, per molto tempo, è stato quello di immaginare che il contesto delle agenzie di Intelligence avrebbe consentito capacità e tempi di sviluppo di un'Agenzia "civile" per la cybersicurezza più rapidi. Un po' come accade con le start-up. Molti forse ricorderanno, durante il governo Renzi, l'idea dello "Zar per la cybersicurezza". E tutti ricordano certamente l'idea di Conte di una Fondazione incardinata nel perimetro del Dipartimento per le Informazioni e la Sicurezza, che è organo di vertice e coordinamento delle nostre agenzie operative di intelligence".
E non è stata una buona idea.
"Quello che posso dire è che quella scelta ha fatto sì che, per anni, mentre l'Europa ci chiedeva un interlocutore certo, definito e unitario sui temi della cybersicurezza, noi abbiamo avuto 23 soggetti competenti che interloquivano su quella materia. E che mentre Paesi come Francia e Germania si dotavano di agenzie con non meno di 1.000 addetti, noi non siamo andati al di là di 50 validi operatori al Dis e la promessa assunzione di 70 ingegneri informatici al Mise, mai arrivati".
Quindi avete cambiato verso.
"Si. Abbiamo fatto una scelta chiara che vede quella che abbiamo battezzato "resilienza cybernetica" - e dunque le strutture, le professionalità, la formazione necessarie a dotare il Paese di un'autonomia tecnologica che le consenta di raggiungere livelli di produzione hardware e software che ci rendano competitivi nello scenario internazionale - in capo a un soggetto pubblico, l'Agenzia per la cybersicurezza nazionale. Che si muoverà sotto la guida della Presidenza del Consiglio, che dialogherà con tutte le pubbliche amministrazioni e i soggetti privati destinati a dotarsi di strumenti di sicurezza cybernetica. Contestualmente, abbiamo invece lasciato alle forze di Polizia le indagini sui crimini cyber, alla Difesa quello degli attacchi alle nostre infrastrutture militari e all'Intelligence, Dis, Aise e Aisi, quello della raccolta delle informazioni. Se la dovessi dire con una parola, l'Agenzia per la cybersicurezza nazionale è uno strumento di "safety" che si aggancerà e completerà gli altri strumenti di "security" di cui disponiamo: forze di polizia, difesa, Intelligence. Un modello "misto" che poggia su quattro pilastri".
"Safety" è un termine inglese che declina il termine generico "sicurezza" sotto il profilo della prevenzione del rischio o della minaccia, e non della sua repressione e contenimento.
"Esatto. Nel mondo della cosiddetta "safety" - e parlo con cognizione di causa avendo trascorso una parte della mia vita professionale nella Protezione civile - i parametri di sicurezza si misurano su tre indicatori di rischio: la pericolosità, l'esposizione, la vulnerabilità. Prendiamo ora la minaccia Cyber. È evidente che i parametri di pericolosità ed esposizione, proprio per quello che dicevo prima, non solo non potranno essere ridotti in futuro, ma cresceranno esponenzialmente, a prescindere dalle iniziative che qualsiasi Paese o soggetto privato potrà assumere. Dunque, c'è un solo parametro su cui possiamo agire: quello della vulnerabilità. Ecco, l'Agenzia per la cybersicurezza nazionale dovrà fare in modo che le nostre pubbliche amministrazioni, le nostre imprese, le nostre infrastrutture strategiche, diciamo pure il nostro "Sistema Paese" riduca il suo grado di vulnerabilità".
È un cambio di paradigma nella sicurezza nazionale.
"Lo è. E il passaggio non sarà semplice. Perché è culturale. Perché significa introdurre una cultura di "safety" all'interno di un modello storicamente sicuritario. Significa cambiare approccio alla nostra idea e organizzazione della sicurezza nazionale. Quello che voglio dire è che troppo spesso ci siamo convinti che gli aspetti della safety, della prevenzione del rischio o della minaccia, potessero essere gestiti con gli strumenti della security: forze di polizia, esercito, intelligence. La dico semplificando: non mettiamo in sicurezza il nostro territorio, sottovalutiamo i cambiamenti climatici e le implicazioni che comportano sotto il profilo di una nuova organizzazione della sicurezza, ma invochiamo l'esercito quando siamo sommersi dalle alluvioni. Insomma, siamo abituati a pensare che il nostro sia un Paese da rassicurare, mentre deve essere messo nelle condizioni di sentirsi sicuro. Ecco perché penso che questa riforma sia importante anche al di là della materia Cyber che disciplina".
Quante risorse saranno destinate all'Agenzia?
"Il Pnrr prevede 50 milioni per l'Agenzia e 620 per la resilienza. E, vuoto per pieno, un organico di 300 professionisti che, nel quinquennio, saliranno a 1.000, da reclutare sul mercato a prezzi di mercato. Non possiamo pensare di attrarre il meglio delle professionalità e delle intelligenze se non siamo in grado di retribuirle come le retribuisce il mercato. Per questo è stato pensato un inquadramento che vedrà gli addetti dell'Agenzia retribuiti con i parametri della Banca d'Italia. Mi ripeto: dobbiamo correre e fare le cose non solo per bene, ma sul serio".
