Nell’agenda delle cose che il governo Draghi deve fare entro la fine di luglio, meglio ancora entro giugno, ai primi punti si trova l’Agenzia nazionale per la cybersecurity, un nuovo ufficio che deve occuparsi, e anche in fretta, di alzare barricate per tutelare il funzionamento del settore pubblico e privato nazionale dagli attacchi cyber. Qualcosa che parte dal modello della francese ANSSI (Agence nationale de la sécurité des systèmes d’information) e che a breve avrà un’evoluzione: da novembre 2021, nel quartiere parigino de La Défense, sorgerà un “Campus Cyber” che metterà insieme esperti, accademici, agenzie dei Servizi segreti per puntare sull’innovazione tecnologica e la sicurezza cibernetica. È la risposta francese alla chiamata della Ue per una rete di “Cyber competence center” europei. E l’Italia? A palazzo Chigi ci stanno lavorando dal momento del loro insediamento il prefetto Franco Gabrielli, sottosegretario alla Presidenza del consiglio con delega alla sicurezza, il ministro per la Transizione digitale Vittorio Colao e il ministro Giancarlo Giorgetti (Mise).
Martedì in conferenza stampa, da Bruxelles, il premier ha voluto indicare come “prioritario” questo dossier delicatissimo. «Bisogna rafforzarsi e molto soprattutto sul piano della cybersecurity, sia a livello nazionale che comunitario, perché il livello di interferenza è diventato davvero allarmante». A parte gli episodi “vecchio stile” con la consegna di file riservati da parte di funzionari militari italiani a spie diplomatiche russe (come accaduto in Italia due mesi fa), la cronaca è piena di segnalazioni inquietanti, veri e propri furti digitali ma anche manipolazioni di data base via web. Il contesto monitorato dalle polizie dei 27 paesi membri racconta in modo inequivocabile di Cina e Russia che non esitano ad usare hacker, propaganda e disinformazione per sottrarre informazioni preziose e seminare dubbi sull’efficacia dei modelli democratici.
A dicembre 2020 c’è stato un attacco all’Agenzia Europea per il farmaco – eravamo nella fase delicatissima dell’imminenza del via libera ai vaccini anti Covid – in cui hacker russi hanno sottratto documenti sul vaccino Pfizer e mail sulla strategia vaccinale europea. A settembre 2020 alcuni ospedali tedeschi sono stati colpiti da un virus che ha bloccato i sistemi informatici. A febbraio scorso è successa la stessa cosa in tre ospedali francesi. E il 4 maggio in Belgio è stata colpita la Belnet, la rete che connette le amministrazioni pubbliche e anche le scuole. Per andare in Italia, a fine anno c’è stato un furto di dati ai danni del Ministero dello sviluppo economico che sovrintende alle strutture strategiche del paese, è competente per l’energia e le infrastrutture digitali. Sempre al Mise opera il CVCN, l’organismo di valutazione della sicurezza degli apparati destinati ad essere usati per il funzionamento delle infrastrutture strategiche del paese. Se vogliamo fare un salto negli Stati Uniti, ai primi di maggio un attacco cyber ha messo fuori gioco la rete di oleodotti Colonial pipelines, la più grande degli Stati Uniti.
Il black out è durato tre giorni. Il Presidente Biden ha dichiarato lo stato di emergenza. Questi gli attacchi più clamorosi. Ma ogni giorno le nostre reti, cui affidiamo la nostra esistenza pubblica e privata, sono sotto attacco. La pandemia ha peggiorato la situazione visto che le nostre vite sono transitate sul web. Ieri davanti alla Commissione Affari costituzionali del Senato il capo della polizia Lamberto Giannini ha spiegato che nel 2020 «gli attacchi informatici sono stati 509, quasi due al giorno, a fronte dei 147 dell’anno precedente». Nel mirino – ha spiegato il Capo della polizia – «anche le strutture sanitarie, con la criptazione di dati e la richiesta di riscatto per il loro ripristino, e i tentativi di acquisire indebitamente dati riservati sulla pandemia o sullo studio dei vaccini».
Questo il quadro a cui serve una risposta urgente. La chiede l’Europa che dedica alla sicurezza digitale un capitolo del Recovery fund. L’ex premier Giuseppe Conte si era ingegnato in vari modi per creare un’Agenzia per la cybersecurity di cui il premier a palazzo Chigi avrebbe avuto il totale controllo. Ci fu la rivolta di tutti gli apparati. E su questo Conte cominciò a cadere. L’agenzia a cui stanno lavorando Gabrielli, Colao e Giorgetti sarà sempre incardinata a palazzo Chigi ma autonoma dalle agenzie di intelligence con l’obiettivo di costruire una cyber resilienza. Il dossier è super riservato. L’unica volta che il sottosegretario Gabrielli ne ha parlato (il 9 aprile in un convegno) spiegò che l’obiettivo è «un’agenzia che governi in maniera complessiva la resilienza cibernetica dal paese e non più, come invece è oggi, affidata a più attori troppo spesso non coordinati tra loro». L’Agenzia dovrà mettere a sistema tutto ciò che già esiste: la super sala di controllo dei servizi segreti; il Centro di valutazione e certificazione nazionale (CVCN) del Mise; il Centro nazionale anticrimine informatico della polizia; il comando interforze per proteggere il sistema militare di difesa. Tutti dovranno dialogare in orizzontale con la nuova Agenzia italiana e in verticale con il Centro europeo industriale, tecnologico e di ricerca che avrà sede a Bucarest a sua volta dialogante con il Centro eccellenza cyber della Nato a Tallin in Estonia.
Enrico Borghi, responsabile sicurezza del Pd, ha già avuto un confronto con il prefetto Gabrielli. «Abbiano chiarito quello che secondo noi dovrà essere la nuova Agenzia: non un terza agenzia di intelligence, non alle dipendenze del Dis come voleva Conte bensì una struttura pubblica in cui si raggruppano tutte le competenze dei ministeri in materia di cyber, un luogo in cui si dovranno incrociare anche impresa pubblica, privata e università. Un’Agenzia che risponde al governo e agli indirizzi del Parlamento». Analoghi confronti e interlocuzioni sono in corso con tutte le forze politiche. Perché la decisione in materia di sicurezza deve essere condivisa. Non ci possono essere bandierine su questa materia. In Francia il Campus cyber darà lavoro qualificato a circa 75 mila persone. Nel Pnrr italiano è stanziato un miliardo di euro.