L’assoluta rilevanza della sicurezza cibernetica assume una nuova prospettiva strategica con il documento adottato nel maggio 2022:la Strategia Nazionale di Cybersicurezza 2022-2027 e l’annesso piano di implementazione. Lo scopo di questi è ricostruire l’attuale infrastruttura giuridica della cybersecurity, con individuazione dei principali pericoli e delle peculiari sfide del settore, nel tentativo di qualificare le condotte da seguire per ridurre al minimo i pericoli in ambito digitale.
A maggio 2022 è stata presentata la Strategia Nazionale di Cybersicurezza alla presenza del Presidente del Consiglio e del Direttore dell’Autorità di cybersicurezza nazionale.
Il tema, sempre più caldo (basti pensare alla diffusione del fenomeno, si veda qui e qui, viene affrontato per la prima volta dopo il trasferimento di competenze dal comparto intelligence verso la nuova ACN (per le relazioni annuali del DIS, si veda qui qui e qui). Questa ha il dichiarato scopo di pianificare le «misure tese a rendere il Paese sicuro e resiliente anche nel dominio digitale, assicurando, al contempo, la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali».
Il documento, in apertura, ricostruisce le attuali competenze dei diversi attori del settore, attraverso l’individuazione di «quattro pilastri tecnico-operativi». In tal senso, la «Cyber Sicurezza & Resilienza» avrà come soggetto principale proprio l’Agenzia per la cybersicurezza nazionale; la «Prevenzione e contrasto della criminalità informatica» viene delegata alla Polizia di Stato (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche – CNAIPIC) e al Reparto Indagini Telematiche del Raggruppamento Operativo Speciale (Arma dei Carabinieri – ROS), nonché il Nucleo Speciale Tutela Privacy e Frodi Tecnologiche (NSTPFT), della Guardia di Finanza. Il settore «Difesa e sicurezza dello Stato», invece, è stato attribuito al Ministero della Difesa (Comando Operazioni in Rete – COR). Infine, il Sistema di informazioni per la sicurezza della repubblica (DIS, AISI e AISE) viene limitato alla sola «Ricerca ed elaborazione informativa», con alcuni limitati poteri di «incursioni» tramite attacchi preventivi.
Con il documento, inoltre, si vogliono qualificare i preminenti rischi, attraverso l’individuazione di tre aree di pericolo: 1) attacchi cyber (criminali, statuali o attivisti); 2) ingerenza straniera dovuta dalla dipendenza tecnologica; nonché 3) la cd. minaccia ibrida, connessa alla massiccia diffusione di fake news, deepfake e campagne di disinformazione, volte a destabilizzare la cittadinanza.
La risposta a tali pericoli, secondo la Strategia, prevede tra le «sfide da affrontare» una transizione digitale connotata da una security-by-default, ma anche il perseguimento dell’autonomia strategica nazionale ed europea attraverso il finanziamento di diverse attività di ricerca. Inoltre, con il documento si valorizzano tattiche di difesa attiva, «volte ad aumentare i costi di eventuali attività cyber offensive, così da renderle economicamente svantaggiose», e una centralizzazione nella gestione delle informazioni e dei protocolli in caso di crisi. A tal fine, si individuano diverse fonti di finanziamento sia nazionale, a carico del bilancio pubblico, che internazionale, tramite il PNRR e diversi progetti UE.
Tre gli obiettivi individuati: protezione, risposta e sviluppo. Con l’obiettivo “protezione”, si vogliono valorizzare gli asset strategici nazionali, per il tramite di una mitigazione del rischio attuata con misure giuridiche e misure tecniche, soprattutto rispetto alla verifica e valutazione della sicurezza delle infrastrutture ICT. L’obiettivo “risposta”, invece, si concentra sulle capacità di monitoraggio, rilevamento, analisi e risposta agli incidenti cyber, nel tentativo di una reazione coordinata, risolutiva e tempestiva – anche attraverso l’organizzazione di esercitazioni e attività congiunte. A tal fine, si prevede un triplice livello di intervento in caso di necessità, con coinvolgimento dell’area “politica” rappresentata dal Presidente del Consiglio dei ministri, dall’Autorità delegata per la sicurezza della Repubblica, ove istituita, e dal Comitato Interministeriale per la Sicurezza della Repubblica (CISR); “operativa”, costituita dal Nucleo per la Cybersicurezza (NCS), supportato dall’ACN in raccordo con le strutture competenti delle Amministrazioni NCS e “tecnica”, rappresentata dallo CSIRT Italia, in raccordo con le altre strutture competenti delle p.a.
Da ultimo, con l’obiettivo “sviluppo” si vuole promuovere la ricerca e la competitività industriale nel settore delle tecnologie di eccellenza, con il finanziamento della digitalizzazione della p.a., nonché attraverso la creazione di un “parco nazionale della cybersicurezza”.
Il perseguimento di tali obiettivi è invece rimesso a cd. fattori abilitanti, quali la formazione, la cultura della sicurezza e la cooperazione. Elementi tutti fortemente rivolti al lato umano della tecnologia, anche solo in termini di promozione dell’”igiene digitale”. Anche il sistema più sicuro, infatti, può essere messo in crisi da comportamenti superficiali dell’utenza. Di qui, dunque, il ruolo centrale di strumento di promozione, sviluppo e dibattito assunto dalla Strategia.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale