Hacker's Dictioanry, rubrica Il Manifesto,

Pnrr, salviamo la cybersecurity dalla corruzione

«Il rafforzamento dei servizi pubblici digitali poggerà su una serie di interventi “abilitanti”, tra cui la migrazione al cloud delle pubbliche amministrazioni e il rafforzamento della cybersecurity nazionale». Nel Piano Nazionale di Ripresa e Resilienza finalmente si parla di cybersecurity nell’ambito della digitalizzazione della Pubblica Amministrazione.

L’investimento previsto è di seicentoventi milioni di euro su oltre 6 miliardi previsti per la PA digitale.

A prima vista sono pochi. Ma dovrebbero servire a rafforzare «i presidi per la gestione dei rischi intercettatati verso la PA e le imprese di interesse nazionale» e a rendere «più solide le capacità tecniche per una valutazione continua della sicurezza degli apparati elettronici e delle applicazioni utilizzate per l’erogazione di servizi critici da parte di soggetti che esercitano una funzione essenziale».

Quei soldi sono davvero pochi, eppure potrebbero essere sufficienti in un’ottica di sostegno al sistema paese a due condizioni.

La prima è che siano davvero una leva da operare in sinergia con le altre previsioni del piano, e cioè lo svecchiamento del personale della Pubblica Amministrazione e lo sviluppo di competenze digitali, e poi la realizzazione di software e sistemi, ma pensati secondo un principio di «security by design».

La seconda è che i contratti che permetteranno di spendere questi soldi non siano preda di «corruzione, stupidità e interessi costituiti» come quasi sempre succede coi soldi di Pantalone. Che è il rischio paventato da Mario Draghi alla presentazione del piano in Parlamento.

Un tema, questo dei soldi spesi male, che invoca la vigilanza dell’Autorità Anticorruzione: troppo spesso gli appalti della PA sono scritti male e consentono di scaricare costi e responsabilità sulla catena di appalti e subappalti vinti a turno dalle solite tre aziende in gare al massimo ribasso. E nel piano si parla di aggirare il Codice degli appalti creando una lista di fornitori ITC certificati.

Ma cerchiamo di essere ottimisti. Premesso che il piano di investimenti cyber sussurato ai capi di gabinetto interessati era assai più ambizioso, diverse fonti ritengono che è stato portato a casa un buon risultato. Sempre che, lo diciamo noi, con i fondi nazionali a complemento nei prossimi decreti, le azioni vadano a rafforzare il Perimetro nazionale di sicurezza cibernetica ed il «procurement» per facilitare la creazione di «laboratori di prova» oltre che presidi territoriali di «tipo Cert» (Computer emergency response team).

Se i 620 milioni di euro saranno usati come leva per sviluppare le competenze digitali, potrebbe essere più facile usare i soldi del Centro europeo per la cybersecurity da parte del Centro nazionale che dovrà essere pronto per fine anno. Si tratta di 5 miliardi di euro in tre anni destinati a programmi tecnologici secondo una logica per cui se si vuole fare un sistema operativo o un motore di ricerca europeo nell’ottica della sovranità tecnologica, il Centro europeo decide cosa possono fare i singoli paesi e a quel punto smistano i fondi sui centri nazionali per realizzarli.

Ovviamente avere un centro nazionale forte significa essere attrattivi per questi fondi. La «cyber» è fatta di risorse umane, persone capaci di gestire la complessità. Ma se i laboratori di prova diventeranno centri di sviluppo di competenze (su router, telecamere, sistemi industriali per ferrovie, aeroporti, energia) e i nostri campioni nazionali vi parteciperanno con le università – e quindi coi giovani -, la sfida potrebbe essere affrontata in un’ottica di investimento sul futuro.