Il direttore dell’Agenzia per la cybersicurezza nazionale (Acn) Roberto Baldoni parla a DigitEconomy.24
«Chi controlla la tecnologia tra 10 anni controllerà tutta la nostra vita. Non possiamo, dunque, rinunciare a un cloud nazionale che abbia gestione italiana e a una strategia industriale europea perché è in gioco il futuro, l’indipendenza e la prosperità dei nostri figli». Parla chiaro, nel corso dell’intervista a DigitEconomy.24 (report del Sole 24 Ore Radiocor e della Luiss Business School), il direttore dell’Agenzia per la cybersicurezza nazionale (Acn) Roberto Baldoni. L’importanza della sicurezza cibernetica è stata di recente sottolineata con l’approvazione della strategia nazionale di cybersicurezza per il 2022-2026; contempo il Cdm ha dato via libera all’ultimo Dpcm del perimetro cyber. Intanto l’Agenzia, che è diventata ente di diritto pubblico il 27 dicembre scorso con la pubblicazione dei regolamenti a meno di 4 mesi dalla sua partenza, punta a rafforzarsi nelle competenze e a breve ci saranno altri concorsi. Con l’obiettivo di arrivare a 800 dipendenti entro il 2028. A luglio, inoltre, ci sarà un “avviso” per le Pa locali, basato su fondi Pnrr, per allargare anche a questo fronte il rafforzamento della sicurezza informatica.
Per legge dobbiamo arrivare a 300 persone per fine 2023, 800 per il 2028, di recente abbiamo messo a concorso i primi 61 posti per trovare competenze prettamente tecniche. Noi cerchiamo giovani, e per me giovane non si identifica con l’età, ma significa che conosce le più recenti tecnologie in modo molto dettagliato. A settembre ci sarà un nuovo concorso in cui, oltre a tecnici, cercheremo esperti legal e di cooperazione internazionale sulle materie cyber e della trasformazione digitale. Poi ci sarà un concorso per diplomati con esperienza tecnica cyber maturata sul campo.
Le competenze necessarie si trovano in Italia?
Le università stanno iniziando a sviluppare sensibilità forti in questo senso anche grazie alla nuove lauree professionalizzanti. Noi, come agenzia, siamo deputati anche a certificare in tal senso corsi di laurea, post diploma o di formazione continua. Stiamo creando una capacità in tal senso. In tutto in Italia al momento mancano 100mila figure, a livello mondiale sono carenti 3 milioni di posizioni. Questo è accaduto perché la trasformazione digitale è andata così veloce che la società non è riuscita a tenere il passo. Per queste ragioni dobbiamo orientare i nostri ragazzi, e soprattutto le nostre ragazze, a scegliere corsi di studio che sviluppino, anche in un contesto umanistico, spiccate capacità nel mondo digitale. Ne va del loro futuro, visto che con la trasformazione digitale alcune professioni diventeranno obsolete o saranno molto ridimensionate. Differentemente da quanto accaduto in passato, con l’Ai e il quantum si perderanno anche molte posizioni di professionisti finora considerate intoccabili. A questo punto la trasformazione digitale creerà nuove posizioni, ma dobbiamo avere una società in grado di intercettarle. Noi partiamo molto in ritardo, ma non è un cammino che possiamo non intraprendere. Uno dei compiti dell’Agenzia è proprio questo.
Intanto aumentano i crimini informatici, quale ruolo ha il conflitto ucraino?
C’è un aumento dei crimini informatici endemico che avviene dal 2010. Da quindici anni a questa parte, inoltre, la criminalità è man mano arrivata in questo mondo. Dopodiché ci sono stati due eventi: la pandemia e la guerra. Con la pandemia sono stati portati fuori dal “firewall aziendale” una serie di servizi informatici per abilitare il lavoro da casa degli impiegati. Se questo lavoro non è stato fatto a regola d’arte, si sono create nuove falle opportunamente sfruttate da criminali informatici per trafugare informazioni e bloccare i sistemi con i cosiddetti ramsonware. Tutto ciò ha aumentato ulteriormente i crimini. La guerra è stato un altro acceleratore, ma almeno fino alla settimana scorsa in misura molto inferiore di quanto ci aspettassimo.
Ora che situazione registrate sul fronte cibernetico?
Purtroppo, a partire dal 12 maggio scorso, registriamo un aumento di attacchi di tipo Distributed Denial of Service (DDOS) verso siti nazionali preceduti da campagne di scansione delle reti per capire quali siti non hanno le protezioni adeguate e poi procedere all’attacco. Ricordo che il DDOS è un attacco che non permette più l’accesso al sito della vittima anche se, fortunatamente, non crea problemi alla confidenzialità e alla integrità dei dati gestiti dalla vittima. Per cercare di difendersi è estremamente importante che gli esperti di sicurezza e i gestori dei sistemi informatici della pubblica amministrazione e del settore privato seguano le indicazioni dello Csirt che segue l’evoluzione della situazione degli attacchi nello scenario di crisi 24 ore su 24 dal 14 gennaio e per ogni campagna di attacco verso le nostre reti e i nostri siti, dopo aver analizzato la campagna, fornisce spiegazioni su come sta avvenendo e le misure di mitigazione da adottare.
Si è potenziata nel frattempo la sicurezza delle infrastrutture cruciali?
Si è fatto un grosso lavoro negli ultimi anni grazie alla legge sul perimetro di sicurezza nazionale cibernetica (ripresa anche da altre nazioni come gli Usa) per i servizi digitalizzati critici del nostro Paese, servizi la cui compromissione creerebbe problemi di sicurezza nazionale. Ovviamente, ci dobbiamo allargare e andare verso infrastrutture anche meno sensibili, però questo è un processo lungo. Il Pnrr ci sta dando in questo momento grande energia, l’Agenzia ha appena chiuso un “avviso per interventi di rafforzamento cibernetico”, aperto alla Pubblica Amministrazione centrale e agli organi costituzionali, al quale hanno risposto una trentina di amministrazioni e, quindi, nei prossimi giorni partiranno i primi interventi di rafforzamento delle loro infrastrutture digitali che si concluderanno nei primi mesi del prossimo anno. Poi ci saranno altri interventi fruibili anche dalle stesse amministrazioni secondo un piano validato dall’Agenzia fino al 2026 che potrà anche usare altri fondi. A luglio è previsto un “avviso” per le amministrazioni locali sempre su fondi Pnrr.
Quando si partirà in concreto col rafforzamento della Pa locale?
Credo che potremmo partire a settembre-ottobre dell’anno prossimo, una volta valutate le proposte di intervento presentate. Inoltre, per alleviare il problema delle competenze, in Agenzia abbiamo un programma di assumere progressivamente personale distaccato delle PA per 3-4 anni che verrà formato da noi e ritornerà nella amministrazione di partenza dove sarà in grado di insegnare ai colleghi. A regime, avremo 200 persone in distacco. Vogliamo essere una fucina di competenza per il Paese.
Il Pnrr vi consentirà di raggiungere l’obiettivo?
L’Agenzia gestisce nel Pnrr l’obiettivo 1.5, siamo cioè il soggetto attuatore riguardo a 623 milioni di euro di cui 150 destinati alla Pa centrale e locale. Può sembrare una grande cifra ma non lo è e quindi non si potranno soddisfare tutte le richieste delle Pa, stiamo quindi cercando in particolare con le Regioni, di trovare ulteriori fondi all’interno del budget Pnrr, dedicato a settori specifici come la sanità o i trasporti, dove poter implementare progettualità di rafforzamento della sicurezza cibernetica delle infrastrutture digitali sanitarie. Secondo noi, infatti, almeno il 10% del budget di un progetto di trasformazione digitale dovrebbe essere dedicato alla cybersecurity.
C’è un problema di dipendenza tecnologica in Italia e in Europa?
Direi di sì. Purtroppo, negli ultimi venti anni l’Italia e l’Europa si sono adagiati su tecnologia prodotta da Paesi extra-europei e questo crea una dipendenza tecnologica. Se la tecnologia di infrastrutture digitali critiche di un Paese viene fornita da pochissimi produttori magari che hanno legami con governi che hanno valori diversi dai nostri, questo può condurre a scenari di crisi con problematiche simili a quelle che stiamo vivendo in questi giorni con l’approvvigionamento energetico.
Ma è difficile produrre tutta la tecnologia necessaria nel nostro Paese…
L’obiettivo non è produrre in casa tutta la tecnologia immaginabile, questo non è pensabile. Dobbiamo produrre alcuni tipi di tecnologie particolarmente sensibili come quelle di sicurezza informatica, ma non bisogna mai perdere le capacità, come Italia e come Europa, di analisi delle altre tecnologie digitali, quelle che non produciamo direttamente, a partire dai microprocessori.
A cosa non si può rinunciare?
Al cloud nazionale, ad esempio. Come Italia dobbiamo essere in grado di gestire una tecnologia di questo tipo. Il cloud è fatto, per semplificare, da una parte di tecnologia e una di operations. Né noi né l’Europa siamo in grado di soddisfare la parte tecnologica da soli. Occorre, quindi, lavorare per riuscire, magari tra 10 anni, ad avere un player europeo in grado di sviluppare quel tipo di tecnologia ed essere in grado di competere con i colossi extra-europei. Ma oltre alla parte tecnologica c’è quella delle “operations”, occorre cioè essere in grado di controllare e gestire una rete di data center in modo da fornire servizi con alto grado di disponibilità su cloud. Ecco noi dobbiamo portare in Italia questa capacità nel più breve tempo possibile.
La legislazione europea non ha giovato alla creazione di campioni tecnologici europei?
La visione della Commissione era molto europocentrica, invece doveva essere globale. Questo è stato alla lunga un fattore negativo. Un’altra cosa fondamentale è sviluppare un’unica strategia industriale, questo significa come prerequisito avere nuove regole per gestire l’Unione europea, argomento che il presidente Draghi ha portato di recente in Parlamento europeo. Il rischio altrimenti è restare pesci piccoli che litigano in un piccolo acquario mentre gli squali fuori aspettano il momento di mangiarli.
Come si può ovviare al problema dell’uso del Cloud act da parte degli Usa?
Per la parte legata ai dati sensibili nazionali, sviluppando il cloud nazionale. Creando una propria “isola” che potrebbe usare all’interno tecnologia anche extra europea ma non connessa in modo stretto ai “continenti” rappresentati dalle reti dei datacenter delle multinazionali extra UE. In questo modo si può creare una barriera al Cloud act.
Non possiamo dunque rinunciare a sviluppare tecnologia nazionale ed europea?
Sì, non abbiamo alternativa, chi controlla la tecnologia tra 10 anni controllerà tutta la nostra vita. Non possiamo, dunque, rinunciare a un cloud nazionale che abbia gestione italiana e a una strategia industriale europea perché è in gioco il futuro, l’indipendenza e la prosperità dei nostri figli.
20/05/2022
