Intervista al sottosegretario alla Presidenza del Consiglio
“Cos’è, come funziona e perché era urgente l’agenzia per la Cybersicurezza” parla Franco Gabrielli
La ripartenza dell’Italia passa anche dalla nuova Agenzia per la cybersicurezza. Vorrei soprattutto che fosse chiara una cosa», dice Franco Gabrielli, sottosegretario alla Presidenza del Consiglio cui il premier Draghi ha affidato la delega all’intelligence, «con questo decreto noi vogliamo mettere in sicurezza le strutture esistenti e quelle che nasceranno. Per far ripartire l’Italia è necessario anche metterla in sicurezza sotto il profilo del cyber». Gabrielli ci riceve nel suo ufficio a palazzo Chigi mentre il premier Draghi è in Cornovaglia al G7 dove porta, grazie al decreto appena approvato, il messaggio che l’Italia non è un colabrodo. «L’Agenzia nazionale per la cybersicurezza – sottolinea Gabrielli – è una struttura servente, un investimento per la qualità e lo sviluppo del Paese».
Sottosegretario, cominciamo con l’abc dell’Acn. Cos’è: un nuovo ministero, una nuova superagenzia di intelligence, la cassaforte e al tempo stesso lo scudo del sistema paese Italia? Qualcuno già sta parlando di una Spectre…
L’Agenzia per la cybersicurezza nazionale è primo di tutto il modo in cui questo paese si mette al passo con gli altri paesi europei. Due date e due numeri: in Germania il Bis è nato nel 1991 e ci lavorano circa un migliaio di persone. In Francia la Anssi è nata nel 2009 e conta un personale di 800 persone. La Romania sta creando un’ agenzia analoga che entro il 2030 avrà oltre 1300 dipendenti.
Sta dicendo che il decreto era lo strumento necessario? Molti cittadini si chiedono se c’era proprio bisogno, in tempi di semplificazione, creare un altro mostro di competenze, funzioni, dirigenze, budget.
Questo decreto risponde certamente ai criteri di necessità e urgenza che sono il presupposto di ogni decreto.
Sgomberato il campo da una prima possibile obiezione. Resta ancora da definire Acn
Non è assolutamente la terza agenzia di intelligence. Anzi, Acn nasce proprio da una doppia esigenza: tenere distinte le attività di intelligence, quella della Difesa e delle forze di polizia; creare un contesto cibernetico sicuro per il sistema Paese. Un contesto di resilienza rispetto alla minaccia cibernetica che è uno dei dossier più delica-ti per le moderne democrazie.
Sottosegretario, serve spiegarlo meglio a tutti, anche ai non nativi digitali
Usiamo l’immagine dei furti in appartamento. Sono un problema serio e diffuso e il cittadino chiede allo Stato che vengano arrestati, meglio prima che dopo il fatto. Ora tutti sanno che la cosa più importante è che gli appartamenti abbiano buoni sistemi di allarme e che porte e finestre siano correttamente attivati. Proviamo a trasferire tutto questo nel mondo del cyber: l’Agenzia è la sala regia che verifica e monitora il perfetto funzionamento di allarmi, sensori, porte, finestre e tutto ciò che contribuisce alla resilienza dell’abitazione. Il che non interferisce con l’attività preventiva o repressiva di tutti i soggetti che si occupano di sicurezza, forze di pubblica sicurezza e anche intelligence.
Veniamo al punto politico. Che differenze ci sono tra Acn e il progetto di agenzia dell’ex premier Giuseppe Conte? Si sente già qualcuno mormorare che “in fon-do le due soluzioni sono in perfetta continuità”.
L’obiettivo primo e principale di questo mio essere qui era realizzare nel più breve tempo possibile l’Agenzia e coprire il gravissimo gap che abbiano su questo fronte. Non amo fare confronti col passato. Ciò detto, quello che vorrei fosse chiaro è che l’Agenzia cancella quello che è stato un peccato originale.
Quale?
Nel 2016 la Ue ha emanato la direttiva Nis (network and information security), il vademecum dalla sicurezza cibernetica dei paesi membri. L’Italia ha recepito tardi, ha intrapreso la scorciatoia più breve e abbiamo messo la struttura all’interno del Dis, nel cuore della nostra intelligence. Dove in questi anni ha rischiato l’asfissia creando tra l’altro tensioni e fibrillazioni nei nostri apparati che si sentivano spodestati delle loro competenze. La vicenda della Fondazione, così come era stata pensata dall’ex premier Conte, è stato il tentativo di trovare una soluzione in un contesto però innaturale. A quel punto è stata cercata una soluzione che scontava un vizio originale: inserire la cybersicurezza all’interno del comparto di intelligence.
L’Agenzia pone fine a queste forzature?
Assolutamente sì perché lo schema della Fondazione privata inserita all’interno dell’intelligence è stato cancellato e superato da un’agenzia pubblica che avrà una propria casa da cui potrà interloquire con gli altri soggetti interessati e consentirà alle agenzie di intelligence di rinnovare e aumentare la propria capacità di attacco e difesa nel mondo del cyber.
Quanto è grave la minaccia cyber per l’Italia?
Fare classifiche è la cosa più sbagliata perchè non restituiscono l’immanenza e la gravità della situazione.
Il ministro per la Transizione ecologica Vittorio Colao dice che il 93% dei server della Pubblica amministrazione non sono in sicurezza.
Appunto. La situazione è ancora peggiore perché la verità è che non siamo attrezzati culturalmente alla comprensione e alla valutazione della minaccia. In questi anni c’è stato un sistematico depauperamento della competente tecnico- informatiche all’interno del pubblico impiego. Affidiamo la nostra vita a un telefonino che ci tiene in memoria le nostre password ma non c’è percezione del rischio che questo comporta.
Cosa sarà e a cosa servirà Acn? L’unica volta che ne parlò in pubblico ha insistito molto sul concetto di “olistico” legato a questo dossier .
Acn dovrà fare anche un lavoro di coordinamento delle 23 autorità Nis sparse su tutto il territorio. Il decreto consegna all’ Agenzia il coordinamento di queste realtà che saranno raggruppate in un unico centro che salverà però le singole competenze e specificità.
Un dossier potenzialmente esplosivo questo della cybersicurezza…
Il presidente Draghi ci ha sempre fatto sentire le spalle protette, se è questo che voleva sapere.
Un esempio di come funzionerà l’Agenzia
Poniamo che ci sia un attacco al sistema sanitario. Chi lo rileva deve comunicare entro un’ora, al massimo sei, allo Csirt italiano (Computer security incident response team). Che finora è stato al Dis e transita dentro Acn. Una volta fatta la segnalazione, entra in azione il Nucleo di sicurezza cibernetica – anche questo dal Dis passa all’Acn- che valuta l’entità dell’attacco. E così risalendo la scala gerarchica.
Comunque il Presidente del Consiglio, cioè Draghi, e l’autorità delegata, cioè lei, conservate pieni poteri sulla struttura. Corretto?
Corretto. È lo stesso meccanismo che regola l’attività delle agenzie di intelligence. È speculare a quello della legge 124.
Quanti dipendenti avrà Acn: 500 o 300? E come saranno selezionati? Dalle altre amministrazioni o dal mercato?
C’è un primo nucleo di 300 persone destinato ad aumentare. Immaginiamo che si possa arrivare al migliaio di dipendenti nell’arco del quinquennio. Questo primo blocco di 300 persone è già in servizio al Dis, al Mise, all’Agid, l’Agenzia italia digitale che perderà la competenza che oggi ha sulla cybersecurity. Il 30% del personale potrà essere assunto con contratto a tempo determinato. L’obiettivo è avere molto turn over e formare nuove figure professionali in questo settore. L’Agenzia, col suo sistema di relazioni con il mondo accademico, può aiutare a sviluppare il settore cyber, farlo diventare strategico e darci autonomia in questo settore.
Perché si è deciso di pagarli come fossero dirigenti di Banca d’Italia?
Perché il mercato esterno ci obbliga a far sì che questo tipo di attività abbia una certa appetibilità. Per essere chiari: non possiamo scegliere mediocri. Servono eccellenze competive sul mercato: ingegneri, informatici, esperti di settore, hacker. Ci sono più messaggi positivi in queste scelta:anche nel pubblico si può essere correttamente remunerati se si tratta di settori strategici; la qualità, e quindi la formazione, è premiante rispetto alla quantità.
L’Agenzia ci metterà al riparo dagli attacchi cyber russi e cinesi?
In questo settore va giocata la partita della crescita. Non serve, non basta più alzare muri. Il Paese deve avere autonoma capacità di sviluppo tecnologico nel cyber. A quel punto si può giocare in modo più efficace la partita anche sotto il profilo geopolitico.
Perché insieme al decreto non è stato già indicato il Direttore di Acn? Si fanno i nomi del professor Baldoni e della dottoressa Ciardi.
Prima il Parlamento dovrà convertire il decreto e portare le correzioni del caso. A quel punto verrà il tempo dei nomi.
© Riproduzione riservata