Qualche giorno fa la sicurezza nazionale ha fatto un importantissimo passo in avanti, ma in pochi se ne sono accorti. Il 21 ottobre è stato pubblicato sulla Gazzetta Ufficiale, sotto forma di decreto della Presidenza del Consiglio, il «Regolamento in materia di perimetro di sicurezza nazionale cibernetica». È il primo atto d'un lungo percorso che dovrebbe consentire finalmente al nostro Paese di dotarsi di uno scudo di protezione contro gli attacchi cibernetici che minacciano aziende strategiche e Pubbliche Amministrazioni. Una questione fondamentale di sicurezza e di competitività per i Paesi avanzati, che non possiamo più ignorare. Il provvedimento individua i soggetti che si occupano di funzioni vitali per l'Italia, di cui dovrà essere garantita la cybersecurity: saranno circa 150, appartenenti (tra gli altri) agli ambiti della difesa, dello spazio, dell'energia, delle telecomunicazioni e dei trasporti. La loro lista sarà segretata. Il settore delle telecomunicazioni, in particolare, è molto sensibile: lo scudo cibernetico italiano potrebbe rappresentare anche un elemento di rassicurazione dell'alleato Usa rispetto alla vexata questio della presenza in Italia della tecnologia cinese (a partire da Huawei). Il DPCM - il primo dei 4 previsti - stabilisce inoltre come dovranno rispondere i soggetti inclusi nel perimetro di sicurezza, qualora si verifichi un'aggressione informatica: entro 6 ore (un tempo di reazione ben più rapido di quello previsto dalla Direttiva europea in materia) dovranno avvertire il Computer Security Incident Response Team istituito presso il Dipartimento delle Informazioni per la Sicurezza di Palazzo Chigi, che si attiverà - se l'incidente è grave - per proporre al Presidente del Consiglio una possibile risposta all'attacco e per coordinare il ripristino del servizio. Dopo aver salutato con favore l'emanazione del primo decreto, cui seguirà un secondo che dovrà indicare le misure tecniche da adottare per rendere sicura la tecnologia di aziende e amministrazioni da proteggere, due riflessioni si rendono necessarie. La prima riguarda i tempi: è necessario accelerare la gestazione dei prossimi Decreti, perché la costruzione complessiva è in ritardo e attualmente il varo dello "scudo" entro la primavera 2021 (come nelle previsioni originarie) appare molto difficile. Lo dimostra il fatto che i team di ingegneri dello Stato che dovranno passare al vaglio software e hardware di aziende e Pubbliche Amministrazioni sono ancora da assemblare. La seconda riflessione riguarda le modalità di costruzione del perimetro di sicurezza nazionale: rischiano di non essere sufficienti - in un ambito dominato da straordinaria complessità e velocità di maturazione della tecnologia - le sole competenze pubbliche. Sarebbe saggio prevedere fin da subito il più ampio ricorso a partnership tra pubblico e privato. Perché per tutelare al meglio l'interesse nazionale, non possono bastare soltanto i decreti.
www.francescodelzio.it
@FFDelzio