Il Manifesto: Legge Cybersecurity, non esiste il rischio zero

Hacker’s dictionary. Nelle audizioni alla Camera per esaminare il nuovo decreto legge sul Perimetro di difesa cibernetica nazionale cauto ottimismo sulle norme e preoccupazione per i bassi stipendi dei cyberdefender

di ARTURO DI CORINTO per Il Manifesto del 10 Ottobre 2019

Prima gli attacchi informatici ai computer degli smart building, con l’Italia quarto paese più colpito al mondo, poi gli attacchi coi trojan bancari Emotet e Ursnif, dopo ancora la campagna di malspam sotto forma di finte fatture Iva segnalata dal CertPa, infine le vulnerabilità dei database del Pd e di Giorgia Meloni scoperti dagli Anonymous. E ancora l’epidemia di WannaCry, con l’Italia leader per gli attacchi rilevati del pericoloso malware, infine le falle del sistema operativo Android e quelle di WhatsApp che mettono a rischio miliardi di utenti. Paura?

Per fortuna da poco l’Italia si è dotata di una nuova normativa sulla Cybersecurity, il Decreto-legge n.105 del 21 settembre 2019 recante «Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica» e da qualche giorno sono iniziate le audizioni presso le commissioni Affari costituzionali e Trasporti della Camera per l’esame del testo.

Nella sua audizione Gennaro Vecchione, il direttore del Dipartimento Informazioni per la Sicurezza, ha parlato di una «importantissima normativa fortemente voluta dall’Europa, dalla Presidenza del Consiglio e dal comparto dell’intelligence, perché ritenuta una forma di tutela avanzata». E infatti il perimetro è destinato a tutelare «tutta una serie di soggetti pubblici e privati che svolgono un ruolo essenziale» nella società, e che saranno tenuti a notificare gli incidenti informatici – quelli che secondo un sondaggio Kaspersky le aziende sono restie a denunciare – e ad adottare rigorose misure di sicurezza, procedure di screening tecnologico degli approvvigionamenti Ict, nella gestione e prevenzione del rischio e nella mitigazione degli incidenti.

Come ha detto Francesco Teodonno dell’Ibm durante le audizioni, bisogna infatti partire dall’idea che l’incidente avvenga: «E secondo uno studio del Ponemon Institute ci vogliono circa 200 giorni per capire di essere stati attaccati e quasi tre mesi per ripristinare i sistemi».

Vecchione la pensa allo stesso modo. Il generale che coordina i nostri servizi segreti ha affermato che la possibilità di evitare attacchi non esiste, che non esiste il rischio zero, «ma il nostro compito è impedire che il ragazzino indiano di 18 anni con un semplice clic possa bloccare la rete ferroviaria italiana». Per questo le risorse devono essere adeguate alla sfida da affrontare. E «dopo aver formato i giovani migliori, bisogna evitare che – poco pagati e male inquadrati – vadano a lavorare per aziende private attirati da ‘stipendi da film’ e che magari, «dopo aver acquisito professionalità, dati e informazioni, se ne vadano all’estero».

D’accordo con l’importanza della legge anche il presidente di Confindustria digitale, Carlo Avenia, audito anche lui con i rappresentanti di Terna, Fastweb, Enel, Poste Italiane S.p.A. Unica voce fuori dal coro il procuratore nazionale Antimafia e Antiterrorismo Federico Cafiero de Raho lamentando lo scarso coinvolgimento del ministero della Giustizia che «rende friabile il muro di sicurezza che si vorrebbe erigere».

Tutto bene dunque? Ni. La Presidenza del Consiglio dei Ministri ha avocato a sé le attività di ispezione e verifica del rispetto delle nuove norme per i soggetti pubblici, lasciando al Mise la vigilanza sui privati, l’elenco degli operatori dei servizi essenziali e l’organismo di certificazione, ha svuotato l’Agenzia per l’Italia digitale del capitale umano previsto in copertura finanziaria, che però viene dirottato alla Presidenza del Consiglio. Ma se si guardano le dotazioni economiche l’allarme di Vecchione va riletto due volte.