A quasi tre anni dal Decreto del Presidente del Consiglio del 24 gennaio 2013 relativo a “Indirizzi per la protezione cibernetica e la sicurezza informatica nazionale” è possibile stilare un bilancio di quanto è stato sin qui fatto per l’attuazione di quella direttiva.
Il “decreto Monti”, in sostanza, mirava a raggiungere standard di sicurezza cibernetica più vicini alle richieste pressanti della comunità internazionale, sulla base di un incontestabile dato di fatto: in un mondo sempre più interconnesso, la vulnerabilità della catena coincide con quella dell’anello più debole. E l’Italia si presentava come tale.
Bisognava perciò togliere il Paese da questa scomoda posizione. Il primo obiettivo da raggiungere era quello di “mettere a sistema” i principali attori pubblici operanti nel cyberspazio. Impresa di per sé non semplice, resa ancor più complicata, in primo luogo, dalla circostanza che in questa particolare “dimensione” i confini tra pubblico e privato sono spesso assai labili.
A ciò si aggiungevano alcune “regole d’ingaggio” chiaramente fissate dalla direttiva del Presidente del Consiglio e riassumibili, in estrema sintesi, nell’invarianza delle norme di legge esistenti, delle competenze già assegnate a ciascun ministero e delle risorse finanziarie disponibili.
Muovendosi lungo questo stretto sentiero sono stati istituiti i due CERT, quello nazionale e quello della Pubblica Amministrazione, nonché la cabina di regia per la gestione delle emergenze presso la Presidenza del Consiglio dei Ministri. Il lavoro sin qui realizzato fa leva, sostanzialmente, sulla buona volontà dei principali stakeholders di “lasciarsi coordinare” sulla base di obiettivi condivisi e recepiti all’interno della Strategia nazionale per la sicurezza dello spazio cibernetico. Si tratta, peraltro, di uno dei pochi documenti di strategia mai adottati in Italia, con l’obiettivo di ridurre il rischio legato alla minaccia cibernetica che grava sia sulla Piccola e Media impresa italiana, fortemente esposta, sia sulle grandi aziende.
Il punto cruciale su cui lavorare appare, infatti, la consapevolezza del rischio cibernetico nei suoi diversi aspetti, nel senso che questa deve diventare una componente culturale necessaria del bagaglio professionale di imprenditori e manager ed essere considerata un elemento fondamentale per definire i piani di sicurezza aziendale e, ancor più in generale, per “fare impresa”. In caso contrario si produrranno danni sempre più gravi tanto sul piano del know how quanto su quello reputazionale, obiettivi ricorrenti nella stragrande maggioranza delle aggressioni cibernetiche.
Per progredire su questo terreno è indispensabile ampliare, consolidare e affinare una vera, inclusiva alleanza tra aziende, università e pubbliche amministrazioni. In questa prospettiva lo stanziamento di nuove risorse finanziarie da destinare alla sicurezza cibernetica, preannunciato di recente dal Presidente del Consiglio dei Ministri, potrà veramente imprimere un impulso assai energico ai” lavori in corso”.
Sempre in questa direzione potrebbero poi prendere corpo anche alcuni interventi normativi di respiro sistemico prospettati nel corso del dibattito.