Ecco la strategia nazionale sulla sicurezza informatica

Svelati i dettagli del piano nazionale per la gestione del cyber risk: prevista l’applicazione di 82 misure e preventivato il conferimento dell’1,2% degli investimenti lordi su base annuale alla realizzazione del programma, a cui si aggiungono gli stanziamenti del Pnrr e le risorse dei programmi Orizzonte Europa ed Europa Digitale

Anche l’Italia si dota finalmente di una strategia nazionale di cybersicurezza. Il documento, lungo 27 pagine, è stato presentato alla fine di maggio da Roberto Baldoni, direttore dell’agenzia per la cybersicurezza nazionale, e da sottosegretario alla Presidenza del Consiglio Franco Gabrielli. E si propone, come ha affermato Baldoni nel corso della conferenza stampa di presentazione, di “dare al Paese un framework nel quale muoversi nei prossimi anni”.

Nel dettaglio, la strategia presenta un orizzonte di quattro anni (la scadenza è prevista nel 2026) ed è composta da 82 misure per la gestione del rischio informatico. La prima misura del documento, per esempio, prevede il rafforzamento del “sistema di scrutinio tecnologico nazionale a supporto della sicurezza della supply chain e l’adozione di schemi di certificazione europea di cybersecurity”. La misura 10 propone la pubblicazione di “linee guida sulla cybersecurity delle amministrazioni pubbliche”. La misura 16 incentiva “la migrazione sicura dei servizi e dei dati della pubblica amministrazione sul cloud, ovvero psn o public cloud, in linea con le attività di classificazione dei dati e dei servizi come da Strategia Cloud Italia”. E la misura 22 promuove “l’uso della crittografia in ambito non classificato”.

Più in generale, il documento identifica cinque sfide tecnologiche che potranno essere superate con l’applicazione delle misure previste dalla strategia: assicurare una transizione digitale cyber resiliente della pubblica amministrazione e del tessuto produttivo; garantire un’autonomia strategica nazionale ed europea nel settore del digitale; anticipare l’evoluzione della minaccia cyber; disporre di modelli e strumenti di gestione delle crisi cibernetiche; e contrastare la disinformazione online nel più ampio contesto della cosiddetta minaccia ibrida.

Proprio su quest’ultimo punto, complice anche la guerra in Ucraina, si è a lungo soffermato Baldoni durante la presentazione della strategia. “Siamo di fronte ad attacchi simbolici, e non a vere e proprie campagne”, ha precisato in apertura il direttore dell’agenzia per la cybersicurezza nazionale. Tuttavia, ha proseguito, “occorre prepararsi a campagne che potranno portare a decine di incidenti". Finora, ha osservato Baldoni, gli attacchi informatici hanno puntato soprattutto alla disinformazione e non toccano quindi “l’infrastruttura digitale, ma colpiscono il nostro inconscio e puntano a una polarizzazione delle opinioni”.

Per superare una sfida del genere ci sarà bisogno dell’impegno di tutti. Baldoni, a tal proposito, ha sottolineato che gli sforzi non potranno essere totalmente demandati all’agenzia: quest’ultima, ha detto, "deve diventare il faro a cui tutti si dovranno interconnettere, ma la gestione degli attacchi non si delega all’agenzia: noi forniamo le misure, le linee guida, ma poi ognuno deve adottarle al suo interno”. Insomma, anche le istituzioni e le imprese devono fare la loro parte. È in quest’ottica che va per esempio letto l’accordo fra Università Luiss e Università Sapienza di Roma per la nascita di un nuovo dottorato di ricerca in Cybersecurity: il percorso partirà a novembre e i due atenei hanno previsto il finanziamento di cinque borse di studio per ciascun anno accademico. Sulla stessa linea anche l’accordo triennale fra Generali Italia e Confindustria, volto alla redazione di quello che è già stato battezzato Cyber Index, un rapporto sullo stato della sicurezza informatica delle imprese italiane, e all’organizzazione di incontri di formazione e workshop su base territoriale. Baldoni, citando proprio questa iniziativa, ha sottolineato la necessità di “un sistema di gestione del rischio assicurativo, in grado di assicurare le vittime, per questo serve prima misurare il rischio con il cyber index”.

Alla strategia sarà destinato l’1,2% degli investimenti nazionali lordi su base annuale, cui vanno aggiunte anche le risorse dei programmi Orizzonte Europa ed Europa Digitale, nonché i 623 milioni di euro destinati alla sicurezza informatica dal Pnrr. Previsti infine anche sgravi fiscali per le aziende e l’istituzione di aree nazionali a tassazione agevolata per la costituzione di un Parco nazionale per la cybersicurezza.