L’istituzione dell’Agenzia per la cybersicurezza nazionale (Acn) è chiamata a gestire questioni che chiamano in causa l’interesse nazionale, assumendo inevitabilmente una connotazione geopolitica. Questo sia a causa della competizione tra gli Stati nel cyberspazio, che per il ruolo di primo piano che l’Italia potrà giocare sia in ambito UE che NATO grazie alla nuova struttura centrale per la gestione della sicurezza informatica. Il Centro Studi Geopolitica.info ne parla con l’Onorevole Alberto Pagani, già membro della Commissione Trasporti e telecomunicazioni nella XVII legislatura, e attualmente capogruppo del PD in Commissione Difesa alla Camera e membro della Delegazione Parlamentare presso l’Assemblea Parlamentare della NATO.
Negli ultimi mesi, il Governo si sta muovendo in direzione di un approccio strutturale alla cybersecurity. In questo senso, l’istituzione dell’Agenzia per la cybersicurezza nazionale e la nomina del suo direttore, Roberto Baldoni, rappresenta un grande passo in avanti in tale ambito. Secondo Franco Gabrielli, Autorità delegata per la sicurezza della Repubblica, la creazione di tale soggetto sarà un elemento fondamentale per garantire la resilienza del Sistema Paese. La nuova struttura ingloberà il Computer Security Incident Response Team (CSIRT) Italiano, il Centro di valutazione e di certificazione nazionale (CVCN) e il Nucleo di sicurezza cibernetica (NSC). Perché, secondo lei, c’è bisogno di una struttura che accentri le attività in tale ambito e che sia preposta a garantire la resilienza cibernetica?
Perché dobbiamo risolvere il problema più banale e maligno delle burocrazie, la frammentazione dei compiti e delle funzioni, che produce l’ottusità organizzativa, l’incapacità di reagire rapidamente ed efficacemente ai problemi sconosciuti, e il classico scaricabarile della responsabilità che ne consegue. La ricomposizione delle funzioni e l’unità di comando e controllo sono condizioni necessarie, anche se non ancora sufficienti, per poter lavorare in modo efficace ed efficiente.
L’Agenzia avrà anche la funzione di redigere una nuova strategia di sicurezza informatica. Visto il sempre più complesso panorama delle minacce, in primis la grande diffusione di attacchi ransomware di cui è stata vittima anche la Regione Lazio, sarà necessario adottare un nuovo documento strategico che sostituisca il Piano nazionale approvato nel 2017?
Non le so rispondere. Probabilmente può essere sufficiente anche un semplice aggiornamento, la complessità e la molteplicità delle minacce cyber non è una novità di oggi, forse il problema principale non è da cercare nelle parole scritte sulle carte, ma nella scarsa consapevolezza che dimora nelle teste. Non sono i documenti che agiscono concretamente, ma le donne e gli uomini a cui sono state affidate delle responsabilità. E a volte i documenti servono per giocare a nascondino, e sfuggire alle proprie responsabilità.
Durante le audizioni alle commissioni Affari Costituzionali e Trasporti riunite, gli interlocutori hanno accolto la creazione dell’Acn con grande favore. La IV Commissione Difesa, di cui lei fa parte, ha approvato la relazione sul decreto-legge istitutivo dell’Agenzia. In entrambi i casi, sono state evidenziate alcune criticità, soprattutto in merito al ruolo dell’intelligence. La nuova agenzia avrà delle funzioni distinte da quelle di cyber intelligence, affidata al Sistema di informazione per la sicurezza della Repubblica (SISR), di cyber investigation affidata alla Polizia Postale e di cyber defence, di cui sono responsabili le forze armate. La Commissione Difesa ha dato parere positivo alla creazione del nuovo soggetto, purché venga definito il rapporto con il comparto intelligence e sia chiarito l’aspetto normativo relativo alla legge di riforma dell’intelligence (L.124/2007). In che modo, secondo lei, la nuova struttura potrebbe affiancarsi a quelle già esistenti, senza operare un depotenziamento?
La legge definisce nella forma la nuova agenzia e la struttura, ma non la può collocare concretamente nel sistema complesso in cui dovrà operare, che è fatto di istituzioni regolate da altre norme. Non è il compito della legge istitutiva dell’agenzia, questo, ma dell’autorità politica di Governo. Il Parlamento ha dato indicazioni importanti su ciò che la norma non può dettagliare, invitando il Governo a curare con attenzione la modalità di collaborazione tra le agenzie di intelligence, le forze armate e di polizia e la nuova Agenzia per la Cybersecurity, che non ha compiti diretti di deterrenza o di indagine giudiziaria. La fluidità della collaborazione tra soggetti istituzionali preposti a compiti diversi sarà fondamentale per la qualità del lavoro di ciascuno.
Lei ha poi sottolineato come la creazione dell’Agenzia sia un provvedimento importante ma tardivo. Alla luce di ciò, come dovrà agire il Governo per procedere in tempi brevi alla creazione della nuova struttura?
Che è tardivo mi pare talmente evidente nei fatti che potevo anche fare a meno di dirlo. Ho riletto ieri un’intervista del 2016 al Sen. Ramponi, della parte politica opposta alla mia, che centrava già tutti i punti di cui si discute ora, nel 2021. Lo dico perché le contrapposizioni di parte non possono danneggiare l’interesse nazionale. Cinque anni nel mondo cyber è un tempo lunghissimo, e allora era già abbastanza tardi. Ora è molto tardi e bisogna correre, per recuperare il tempo perduto a causa delle diversità di visione e di puerili contrapposizioni di parte, o personalistiche. Mi pare però che finalmente si sia trovato il ritmo giusto: decreto e conversione sono andati presto e bene, all’unanimità. Adesso bisogna definire e riempire gli organici e cominciare a lavorare sugli obiettivi tattici e strategici.
Sul piano internazionale, la sicurezza informatica sta acquisendo un ruolo sempre più centrale. L’UE e la NATO hanno dimostrato di voler adottare un approccio più efficace per contrastare le minacce cibernetiche. A tal riguardo, l’Agenzia fungerà quale punto di contatto unico NIS e centro nazionale di coordinamento per il Cybersecurity Competence Centre di Bucarest, creato dall’Unione Europea per rafforzare la cooperazione in ambito cibernetico. L’Agenzia, poi, non è una novità nel contesto europeo; si pensi alla Germania, dotata di una struttura centrale dal 1991 e alla Francia, dove l’Agenzia nazionale per la sicurezza dei sistemi informatici (ANSSI) è operativa dal 2009. Alla luce di tali esempi, quale sarà, secondo lei, il ruolo dell’Agenzia in ambito europeo e internazionale?
Quando ci sarà davvero un’operatività piena, e non solo sulla carta, sarà una delle agenzie più importanti d’Europa, in grado di esercitare una funzione fondamentale per implementare le politiche di sicurezza europee. L’Europa non è altro dai Paesi e dai popoli, e l’Italia ne è protagonista sin dalla fondazione della CECA (Comunità economica del carbone e dell’acciaio, fondata nel 1951, ndr). L’Europa siamo noi, per questo dobbiamo assumerci le nostre responsabilità.
In qualità di membro della Delegazione italiana presso l’Assemblea Parlamentare della NATO, poi, crede che la creazione di tale struttura permetterà all’Italia di avere un ruolo di maggiore peso all’interno dell’Alleanza, che ha elevato il cyberspazio a quinto dominio operativo nel 2016 e ha inserito la cybersecurity tra le priorità dell’iniziativa NATO 2030?
Certamente. Oggi ci troviamo di fronte ad un assetto internazionale multipolare, nel quale agiscono attori statali e non statali, e in cui la sicurezza è messa alla prova da minacce senza precedenti, anche sul piano tecnologico. Si pensi alle potenzialità dei big data con le nuove generazioni di algoritmi analitici, all’intelligenza artificiale con le nuove macchine a calcolo quantistico e allo sviluppo delle tecnologie ipersoniche con le possibili applicazioni nel settore missilistico. La NATO è quindi alle prese con la definizione del nuovo concetto strategico sull’orizzonte del 2030, ed il comitato di esperti nominati dal segretario Stoltenberg, provenienti dal mondo accademico e industriale, ha offerto raccomandazioni relative alle tecnologie emergenti e dirompenti (Edt), fornendo consigli su come l’Alleanza potrebbe finanziare al meglio gli sforzi di innovazione, costruire una rete operativa di centri di innovazione, promuovere modelli di business e operativi innovativi e di successo e aumentare il livello di alfabetizzazione tecnica in tutta la NATO. L’obiettivo di fondo è il mantenimento della superiorità tecnologica dell’Alleanza rispetto ai suoi competitori e in questa prospettiva il ruolo della nuova Agenzia per la Cybersecurity è essenziale, perché dovrà lavorare a stretto contatto con il mondo accademico e il settore privato, comprese le startup ad elevata innovazione, per sviluppare e adottare le nuove tecnologie in maniera più rapida e diffusa rispetto ai propri eventuali avversari, rafforzando al contempo la base industriale del Paese.
