● Istituzioni
Come più volte evidenziato dalla Banca Mondiale, nel suo indicatore Ease of Doing Business, la lentezza della giustizia è uno degli elementi che maggiormente scoraggia gli investimenti nazionali ed esteri in Italia e rende più difficile la crescita dimensionale delle aziende già avviate. Un altro elemento di disturbo che si sta concretizzando velocemente e potrebbe avere impatti ancora più significativi sulla nostra economia sono le difficoltà nella trasformazione digitale del nostro Paese.
Uno stato digitale è in grado di offrire servizi migliori ai suoi cittadini, potendo basare la propria burocrazia su pratiche più snelle, con una gestione delle informazioni più efficiente e permettendo alle aziende di interfacciarsi con le istituzioni in modo più rapido e in remoto, risparmiando così tempo e denaro.
La pandemia ha certamente accelerato la transizione verso il digitale, tanto per le aziende private, quanto per la Pubblica Amministrazione, portandoci repentinamente ad uno stadio di avanzamento di questo processo che difficilmente avremmo pensato possibile in tempi non sospetti. Istituti nazionali, Ministeri ed Enti Pubblici hanno avviato l’erogazione di alcuni dei loro servizi unicamente in digitale, non senza difficoltà, anche a causa della complicata situazione sanitaria. Alcuni esempi sono stati la registrazione delle richieste per l’indennità di €600 da parte dell’INPS per le partite IVA, l’adesione al Bonus Mobilità offerto dal Ministero dell’Ambiente e la registrazione al programma di cashback del Ministero dell’Economia e delle Finanze attraverso l’app IO. Queste tre testimonianze, alla luce di tutti i problemi che hanno generato, mostrano come sia necessaria e prioritaria una maggiore capacità di gestione delle infrastrutture digitali del Paese. A maggior ragione, la capacità di gestire al meglio le infrastrutture digitali diventa più urgente a mano a mano che altri servizi vengono traghettati verso il digitale, aumentando così la “possibilità di sbagliare” e incrementando la possibile superficie d’attacco per crimini informatici. Avere più servizi online significa avere più asset da difendere e, per un criminale, avere più scelta tra le potenziali vittime.
Il 2020 è stato un anno record per gli attacchi informatici, come indicato dall’ultimo Rapporto CLUSIT sulla sicurezza ICT in Italia. Nuovi threat actors si sono palesati, minacciando l’integrità delle nostre istituzioni e colpendo grandi aziende private come Leonardo e ho. mobile di Vodafone, per citare due tra gli esempi più noti e recenti.
È evidente come l’Italia debba fare un ulteriore sforzo nella direzione della robustezza delle proprie reti nazionali, diventando così competitiva anche nel settore della sicurezza cibernetica. Proteggere le proprie infrastrutture digitali significa garantire i servizi offerti e mantenere sicuri i dati dei cittadini, offrendo alle aziende che operano sul territorio nazionale un contesto solido anche dal punto di vista informatico. Una grande compagnia difficilmente costruirebbe una nuova sede in un territorio senza una rete elettrica affidabile. È possibile riprendere questo concetto e replicarlo nel contesto delle infrastrutture digitali: per attirare investimenti nazionali ed esteri, l’Italia deve garantire un adeguato livello di sicurezza delle proprie reti, tra le quali non vi sono solo Internet e telecomunicazioni, ma anche tutte quelle che includono scambi di dati nei settori strategici come i trasporti, l’energia, la ricerca e le infrastrutture.
Un aspetto da tenere in considerazione durante queste valutazioni è che le attività di spionaggio e sabotaggio di tali infrastrutture spesso non sono opera di piccoli gruppi indipendenti motivati da un ritorno economico immediato, ma vere e proprie organizzazioni articolate, sponsorizzate da regimi ostili come quello della Corea del Nord, che hanno l’obiettivo di acquisire un vantaggio strategico e militare rispetto agli altri Paesi. Di fronte a minacce del genere è chiaro come all’Italia serva un piano di rilevanza nazionale ed europea per far fronte alle sfide che ci troviamo ad affrontare.
Il tema della sicurezza cibernetica non può e non deve essere un tema oggetto di scontro politico: è una necessità imprescindibile, che dovrebbe trovare consenso tra le forze politiche ed essere soggetto a una rapida attuazione. Nelle ultime settimane invece abbiamo assistito al fenomeno opposto: ci sono state, in ordine, le proposte di una fondazione cyber security inserita in una bozza del disegno di legge di bilancio 2021 e di un centro nazionale di sicurezza informatica, nella bozza del 29 dicembre del Piano Nazionale di Ripresa e Resilienza. In tutti e due i casi le soluzioni proposte non sono riuscite a ottenere il favore di una larga maggioranza e sono state quindi stralciate tra le polemiche. Sarebbe quindi necessario trovare una soluzione istituzionale che non trasformi la sicurezza informatica in un appannaggio del governo di turno in carica, ma che garantisca competenze al servizio dell’intero paese. È un’ottima notizia, invece, la volontà di investire parte dei fondi del Piano Nazionale di Ripresa e Resilienza in iniziative nel settore della sicurezza informatica, ma è importante che questo impegno sia dimensionato sulla base delle reali necessità del Paese e non sottostimato o, peggio, deviato da strategie e dinamiche di partito. Alcune proposte di investimento, già presenti nella stessa bozza del 29 dicembre, mostrano punti deboli e incongruenze che evidenziano, da un lato, superficialità nella trattazione del tema da parte dei promotori della proposta, dall’altro una difficoltà nel superare certe logiche politiche di cui davvero non abbiamo bisogno, specialmente in questi settori critici.
Al di là delle iniziative prettamente nazionali, come spesso accade è l’Unione europea che giunge in nostro aiuto, proponendo una direzione e alcune norme da seguire per portare avanti il piano di messa in sicurezza delle nostre infrastrutture digitali nel modo corretto. Due tra gli esempi più attuali sono l’implementazione italiana del framework TIBER-EU e le linee guida EIOPA, l’ente che si occupa di garantire stabilità e monitoraggio delle Compagnie assicurative nell’Unione Europea, per la sicurezza dei sistemi ICT, recentemente aggiornate. Nel primo caso si tratta di un set di regole e best practices per condurre simulazioni di attacchi informatici verso banche per individuarne i punti deboli allo scopo di porvi rimedio. Il TIBER-EU suggerisce come meglio affrontare le simulazioni di attacco informatico (i cosiddetti Red Teaming) tanto dal punto di vista tecnico, quanto da quello della reportistica da produrre per dare validità all’esercizio svolto. Si tratta di un documento valido a livello europeo di cui la Banca Centrale Europea auspica l’implementazione nazionale in ogni Paese membro dell’Unione. Alcuni hanno già avviato questo processo, mentre l’Italia ha solamente mostrato un tiepido interesse in merito che ci auguriamo tutti sarà seguito da un vigoroso impegno nei mesi a venire.
Il secondo riguarda l’introduzione di un set di obblighi in materia di sicurezza informatica da parte di EIOPA. Leggendo le linee guida recentemente aggiornate è evidente come per la prima volta si presti un’attenzione puntuale alla sicurezza informatica delle compagnie assicurative, elevandole dal punto di visa del rischio al livello delle banche. Questo è un passaggio cruciale, un vero e proprio spartiacque, poiché i dati gestiti da queste entità sono di grande importanza e valore, pertanto è plausibile che qualche malintenzionato ne sia attratto. Queste nuove regole dovranno essere recepite da IVASS entro il 1° luglio 2021 che si occuperà di verificarne l’applicazione su territorio nazionale, insieme al Regolamento 38 già in vigore sullo stesso tema.
Questi due esempi sono di grande rilevanza perché possono rappresentare un vero e proprio cambio di passo con il passato, esattamente come lo sono stati l’introduzione del GDPR, la Circolare 285 della Banca d’Italia del 2013 o le Guidelines on ICT and Security Risk Management della Banca Centrale Europea del 2018.
Quello che l’Unione Europea ci chiede di implementare non è un obbligo fine a sé stesso, ma l’occasione di avviare un complesso, ma necessario processo di digitalizzazione sicuro del nostro Paese che richiede la massima attenzione per tornare ad essere un player di rilievo nel panorama internazionale.
A livello nazionale è evidente quanto sia importante la diffusione di una cultura della sicurezza informatica, tanto tra i cittadini, quanto nelle pubbliche amministrazioni per condurre nel miglior modo possibile, l’unico auspicabile, la trasformazione digitale. Per le forze politiche è un’occasione unica per costruire consenso intorno alle riforme necessarie, a ciò di cui l’Italia ha davvero bisogno.
Immagine: Hacker Attacco Maschera, Crediti: geralt (pixabay.com) Simplified Pixabay License