Lo scorso 18 maggio, l’Italia ha pubblicato la Strategia Nazionale per la Cybersicurezza per il quinquennio 2022-2026. Si tratta di un documento d’indirizzo di alto livello, accompagnato da un Piano d’Implementazione di 82 punti, costituito da un insieme di principi ed obiettivi – sia strategici che tattici – che dovrebbe accompagnare il Governo e tutti gli stakeholders pubblici e privati verso una maggiore difesa del Paese nel dominio cibernetico.
La Strategia Nazionale per la Cybersicurezza rispetto al Piano nazionale per la protezione cibernetica e per la sicurezza informatica del 2017 rappresenta un grande passo in avanti per l’Italia, consentendole di allinearsi agli altri Paesi europei, nonché ai piani strategici e normativi dell’Unione. Il nostro Paese, infatti, ha sempre avuto difficoltà rispetto agli altri Paesi europei a tenere il ritmo dell’evoluzione digitale e della relativa sicurezza delle infrastrutture. Nella quarta edizione del Global Cyber Security Index dell’ITU – International Telecommunication Union – l’Italia si è classificata al ventesimo posto a livello globale e al tredicesimo a livello europeo e, seppur riportando risultati migliori rispetto alle versioni precedenti, restava comunque indietro nelle classifiche globali.
Il Governo, con la nuova strategia, cerca di colmare questo gap, consapevole che le nuove forme di competizione strategica e il continuo evolversi dello scenario geopolitico rendevano assolutamente necessaria una puntuale rivisitazione della concezione e della visione strategica dell’architettura nazionale della cybersicurezza, oltre a un coinvolgimento dell’intero ecosistema della cybersecurity nazionale. Pertanto, in armonia con quanto suggerito dalla Linea Guida dell’ITU per lo sviluppo delle Strategie Cyber Nazionali – giunta alla seconda edizione – nella stesura del documento sono state coinvolte non solo le Istituzioni, ma anche gli operatori economici (in particolare i gestori delle infrastrutture dalle quali dipende l’erogazione dei servizi essenziali dello Stato), il mondo delle Università e della ricerca e la società civile.
La strategia si inserisce all’interno di un contesto normativo europeo in pieno fermento nell’ambito del dominio cibernetico: l’UE sta infatti emanando e proponendo una serie di normative in ambito cyber, digital e data protection, con l’obiettivo di far fronte compatto verso la crescente digitalizzazione, il relativo aumento delle minacce cyber, nonché a un contesto geopolitico in continua evoluzione. Basti pensare a interventi come il Digital Operational Resilience Act (normativa che mira a creare un quadro normativo sulla resilienza operativa digitale nel settore finanziario); il Cyber Resilience Act (avente lo scopo di proteggere i consumatori dai prodotti non sicuri, mediante l’introduzione di norme comuni in materia di cybersicurezza per i fabbricanti e i venditori di prodotti digitali); l’Artificial Intelligence Act (proposta di legge che definisce varie aree d’intervento per i sistemi d’intelligenza artificiale); il Digital Services Act (normativa che propone regole per garantire una maggiore responsabilità su come le piattaforme moderano i contenuti, pubblicizzano e utilizzano algoritmi sui dati); la Direttiva NIS 2 (che sostituirà l’attuale Direttiva NIS con lo scopo di rafforzare le misure di sicurezza per imprese e amministrazioni contro le minacce cyber). Sono questi solo alcuni degli interventi normativi pubblicati o in cantiere presso le Istituzioni europee, rappresentando un vero e proprio “tsunami” regolatorio che impatterà in maniera significativa le Istituzioni degli Stati membri e gli operatori economici in tutti i settori.
Alla luce di siffatto contesto normativo, si spiega perché la strategia si concentri soprattutto sulla PA e meno sugli operatori privati, nonostante l’attenzione verso i medesimi sia fondamentale per la protezione del tessuto economico italiano, costituito in prevalenza da piccole e medie imprese. Infatti il suesposto coacervo regolatorio, trattandosi prevalentemente di Regolamenti immediatamente applicabili negli Stati membri, andrà a regolamentare prontamente i singoli settori e gli operatori privati, al contrario di un documento d’indirizzo – qual è la strategia nazionale – che necessita di un set normativo implementativo ancora da emanare.
La strategia si pone sostanzialmente una serie di obiettivi strategici, che è possibile sintetizzare in quattro punti:
- assicurare la resilienza della PA e del tessuto industriale;
- la digitalizzazione del Paese deve essere guidata dalla cybersecurity, anche nell’ottica di conseguire l’autonomia strategica nazionale;
- anticipare l’evoluzione delle minacce cyber e contrastare la disinformazione;
- l’adozione di un approccio il più possibile security-oriented.
Tra siffatti obiettivi, il più rilevante è probabilmente quello relativo al conseguimento di un’autonomia strategica nazionale: considerato che la maggior parte dei servizi critici è erogata con tecnologie straniere e da operatori globali e che i players del settore sono essenzialmente le grandi potenze mondiali – in particolare USA e Cina – che detengono il monopolio del mercato, l’affermazione di voler raggiungere un’autonomia strategica nazionale implica la volontà dello Stato italiano di svincolarsi dall’influenza dei grandi players in ambito tecnologico per rendersi autonomo nel dominio cibernetico, attuando politiche di sovranità delle informazioni che consentano un controllo sui dati elaborati, trasmessi e conservati sul territorio nazionale.
Tuttavia, in presenza di un documento programmatico di breve-medio periodo qual è l’attuale strategia, ci si chiede se tale autonomia sia effettivamente realizzabile, quantomeno nei tempi stabiliti: infatti l’Italia è al momento tecnologicamente dipendente da operatori esteri, soprattutto per quanto concerne il mercato delle tecnologie emergenti (AI, quantum computing, 5G ecc.). In tale contesto l’UE, a causa delle frammentazioni e competizioni in seno al mercato interno, non riesce comunque a fornire il supporto necessario. Pertanto, nel breve-medio termine il Governo, verosimilmente tramite l’esercizio del Golden Power, dovrebbe impedire alle imprese italiane di acquistare prodotti e servizi critici per mantenere la competitività internazionale in nome di una maggiore sicurezza nazionale. Tale intenzione del Governo sembra tra l’altro confermata dalle recenti modifiche della normativa sul Golden Power, a mezzo del d.l. n. 21/2022, che ha esteso il novero delle attività considerate di rilevanza strategica e alle quali si applica l’obbligo di notifica alla Presidenza del Consiglio dei Ministri, includendo ulteriori servizi, beni, rapporti, attività e tecnologie rilevanti ai fini della sicurezza cibernetica.
Tale spinta verso una politica di sovranità delle informazioni sembra essere tuttavia controbilanciata da un riferimento esplicito alla cyber diplomacy e alla necessità di una formazione in ambito cyber dei diplomatici italiani. La cyber diplomacy implica una forte volontà del Governo italiano di portare la tematica cyber al centro dell’agenda diplomatica, rendendolo un argomento di discussione cruciale sui tavoli internazionali. Tale riferimento afferma il riconoscimento che, in un dominio come quello cibernetico, interconnesso per definizione e dove non esiste il concetto di confine statale, è necessario un dialogo e un coordinamento internazionale al fine di prevenire i conflitti, ridurne le minacce e rafforzare le relazioni internazionali. Tale consapevolezza, cristallizzata nella strategia, è per di più in linea con le Conclusioni del Consiglio della UE sullo sviluppo della sua posizione in materia di deterrenza informatica del 23 maggio 2022, che hanno sottolineato, per l’appunto, l’importanza della cyber diplomacy per la cyber posture europea.
In conclusione, la strategia nazionale rappresenta sicuramente un importante – e necessario – passo in avanti per l’Italia in uno scenario geopolitico estremamente mutevole e in un contesto europeo in continuo fermento. Il documento è completamente calato nell’ambito normativo comunitario, incarnando i principali obiettivi strategici già prefissati dall’Unione e implementati nelle numerose norme emanate o messe in cantiere negli ultimi mesi. Tuttavia, l’obiettivo principe e ulteriore che la strategia dovrà realizzare è la consapevolezza che non è possibile uno sviluppo digitale senza la cybersicurezza.
Il concetto della “security by design”, non interamente fatto proprio dalla strategia, dovrà essere chiaramente inserito nel framework regolatorio implementativo, pena il rischio che, nella modalità in cui è stata scritta la strategia italiana, possa venir meno l’idea che sviluppo digitale e cyber non debbano andare di pari passo, quando l’uno non può prescindere dall’altro. Questa identità tra i due domini è fondamentale anche al fine dell’utilizzo dei fondi del PNRR per la digitalizzazione del Paese, che a quel punto potrebbero essere utilizzati anche per incrementarne la sicurezza.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione 4.0 Internazionale