Cosa doveva essere l’Istituto italiano di cybersicurezza nella Legge di Bilancio 2021
La Fondazione, coordinata pro-tempore dal presidente del Consiglio Giuseppe Conte sarebbe nata con la specifica missione di “Promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica […] per favorire lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni in una cornice di sicurezza e il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica, a tutela dell’interesse della sicurezza nazionale nel settore”.
Membri fondatori sarebbero stati il premier, il Comitato interministeriale per la Sicurezza della Repubblica, il ministro dell’Università e della ricerca, con il coordinamento del Dipartimento informazioni per la sicurezza, Dis. L’Istituto, spiegava la bozza della legge di Bilancio, avrà autorizzata “una spesa di 30 milioni di euro per il 2021, di 70 milioni di euro per il 2022, di 60 milioni di euro per il 2023, 50 milioni di euro per il 2024” e potrà contare sulla collaborazione di “esperti e di società di consulenza nazionali ed estere”.
Perché è saltato tutto
Obbiettivi e impianto largamente condivisibili. Ma allora perché gli alleati di governo si sono opposti? Forse perché si trattava di una decisione presentata in consiglio dei ministri prima degli accordi necessari con gli alleati e arrivata ai giornali anzitempo. O forse per i rumors che Aise ed Aisi si ritenessero scavalcati dal Dis con questa operazione.
Come che sia andata, nessuno è intervenuto sul merito della sua utilità.
Perché servirebbe un istituto simile
Eppure l’istituzione di un Centro nazionale di ricerca e sviluppo in cybersecurity era una delle azioni previste dal decreto Gentiloni che nel 2017 aveva ridisegnato l’ecosistema cyber italiano.
Un’idea più che sensata che aveva e tuttora riscuote un ampio sostegno tra esperti e addetti ai lavori per un motivo molto semplice: se l’Italia non inizierà a produrre le sue proprie tecnologie per la sicurezza informatica non potrà mai aspirare alla “sovranità tecnologica” e sarà destinata a rimanere terra di conquista di multinazionali straniere.
Ridisegnato l’ecosistema cyber, recepita la direttiva sulla sicurezza delle infrastrutture, fatta la legge sul Perimetro nazionale, stabilita la nascita del centro nazionale di valutazione Cvcn, avviato lo Csirt, il Centro nazionale di risposta alle minacce informatiche, la Fondazione era l’ultimo tassello per garantire la protezione dello spazio cibernetico italiano. “Se non abbiamo tecnologie nazionali per difenderci – ci dice una fonte qualificata della Presidenza del Consiglio – sei come un bravo alpinista senza appigli su una parete verticale.”
Di fronte all’incremento di spionaggio industriale, all’epidemia di ransomware, ai databreach quotidiani, in caso di conflitto politico-economico con altri paesi avere il controllo tecnologico di reti, servizi e infrastrutture è fondamentale.
Ma è anche un problema industriale. Siamo di fronte a un’Europa che insiste sulla sovranità digitale europea, e se non ci muoviamo subito questa sovranità la costruiranno francesi e tedeschi, i quali ultimi hanno creato proprio ad agosto un centro ad hoc con 350 milioni di euro per sviluppare tecnologie sicure per proteggere gli asset nazionali.
E allora, di fronte al nanismo industriale italiano, a un’industria della cybersecurity che nonostante alcuni importanti investimenti di borsa (Cyberoo e Tinexta) stenta a crescere, è ovvio che abbiamo bisogno di una cabina di regia per aiutare le imprese italiane a sviluppare i tool necessari a difenderci. A cominciare dalla crittografia. É una questione di sovranità digitale e di sviluppo economico: le due cose sono legate. Israele ha fatto in modo che l’industria della cybersecurity diventasse una voce importante del suo Pil e adesso nel paese atterra il 15% di tutti gli investimenti di cybersecurity per realizzare prodotti che vendono a tutto il mondo. E lo fa grazie all’attivazione di un circuito virtuoso che parte dal settore militare, crea spin-off industriali, si alimenta di capitali di rischio, sotto la supervisione attenta del governo.
L’istituto di cybersecurity può rispuntare nelle norme
Ma forse la partita non è persa. Ricomposti i dissidi della maggioranza potrebbe arrivare un legge ad hoc o un emendamento alla finanziaria. E ammesso che le agenzie di sicurezza interna ed esterna non gli mettano i bastoni tra le ruote, la Fondazione farebbe a monte un lavoro utile alle stesse agenzie di intelligence.
