I rischi e le minacce per la sovranità digitale dell’Italia

Intervista di Achille Pierre Paliotta all'Onorevole Alberto Pagani

Negli ultimi anni il legislatore nazionale è intervenuto più e più volte per rinforzare le difese dello spazio cyber dell’Italia. È intervenuto per normare il perimetro cibernetico nazionale, per estendere il golden power, per il 5G, per istituire l’Agenzia per la cybersicurezza nazionale (ACN), ecc. Tutto ciò ha portato a una razionalizzazione delle competenze istituzionali, insieme a un crescente processo di istituzionalizzazione della sicurezza nazionale nello spazio cibernetico. Le competenze sono ora distinte tra: cyber-sicurezza (ACN); cyber-intelligence (Agenzia informazioni e sicurezza esterna, AISE e Agenzia informazioni e sicurezza interna, AISI); cyber-investigation (Forze di polizia); cyber-defense (Comando per le operazioni in rete, COR). In questa e nelle prossime interviste con i decisori politici e con alcuni esperti di settore cercheremo di mostrare le novità legislative in materia e le sfide principali a cui saranno chiamate queste nuove realtà istituzionali. Il filo conduttore di tutte esse sarà, nondimeno, la tematica delle attuali e prossime venture minacce cibernetiche. Il nostro primo interlocutore è Alberto Pagani, capogruppo Pd in commissione Difesa della Camera e componente dell’Assemblea parlamentare della Nato.

Onorevole Pagani, la tecnologia duale, ovvero il software e le tecnologie che possono avere un utilizzo sia civile che militare, costituisce un aspetto sempre più rilevante per la sicurezza nazionale. Per quali ragioni?

La stessa rete internet è derivata da tecnologia militare. Nata durante la Guerra Fredda, da ARPANET. Quando nel 1983 questa ha esaurito il suo scopo militare, lo spin-off al settore civile ha generato tutto quello che poi fu chiamato new economy e che ha cambiato il mondo. Ora sta avvenendo anche il fenomeno inverso e i giganti del web sviluppano tecnologia talmente sofisticata che può essere utilizzata anche per uso militare.

CYBERSECURITY/ Next Ingegneria dei Sistemi ha superato il processo di accreditamento del CE.V.A

Quali sono i principali utilizzi nel campo militare e della difesa?

Non penso tanto allo sviluppo di malware come Stuxnet (virus informatico, di probabile origine statunitense e israeliana, utilizzato per sabotare la centrale nucleare iraniana di Natanz, ndr), i quali richiedono consistenti investimenti miranti a colpire target militari. Penso piuttosto a quelle che la Nato definisce disruptive technology, come l’utilizzo di big data e algoritmi analitici di nuova generazione per la guerra psicologica. Si tratta di tecnologia che richiede capacità di calcolo che non erano disponibili in passato e nasce per scopi commerciali, combinando neuroscienze e intelligenza artificiale, ma può essere utilizzata facilmente anche per manipolare l’opinione pubblica, come la vicenda di Cambridge Analytica ha dimostrato nel campo della politica”.

CYBERSECURITY/ Finanza e sanità i settori più a rischio di attacchi informatici

Si tratta di tipologie inedite di armi ibride?

Sì, in quest’ottica equivale a un’arma, perché può servire per destabilizzare l’assetto istituzionale di un Paese, attraverso sofisticate e invisibili PsyOps (Psycological operations, ovvero operazioni di guerra psicologica, ndr) sui social network. Non esiste nella storia umana un’arma che sia stata inventata e poi, benché immatura, non sia stata utilizzata in guerra, per cui dobbiamo sapere che le operazioni psicologiche ostili nel web 2.0 saranno una componente essenziale delle nuove guerre ibride.

L’intelligenza artificiale è sicuramente una tecnologia duale e l’attuale Governo ha appena pubblicato un piano in cui mette in campo 26 miliardi di euro da destinare all’Università, alla ricerca pubblica e alla Pa. Basteranno a colmare il gap con le altre nazioni, considerato che gli altri Paesi europei investono il 2,38% del Pil mentre l’Italia solo l’1,45%?

Non le so rispondere. Sicuramente serviranno a recuperare, almeno parzialmente, il ritardo che abbiamo accumulato nel tempo, ma per essere certi di colmare il gap bisognerebbe che il resto del mondo restasse immobile, cosa che non accadrà. Tutti sanno che nel campo delle tecnologie digitali si gioca una partita geopolitica e strategica di importanza vitale, per cui nessuno rimarrà fermo. Stiamo correndo con gli altri, e anche contro gli altri, e stiamo correndo una maratona, non i cento metri, per cui bisogna dosare le forze, calibrare il passo e continuare a correre. Quello che è certo è che non ci possiamo permettere il lusso del dilettantismo, delle paludi burocratiche, o del conflitto di ruolo tra pubblico e privato. Ne va del rango futuro del nostro Paese.

Al fine di salvaguardare gli assetti delle imprese operanti in ambiti ritenuti strategici e di interesse nazionale il Presidente Draghi ha già utilizzato il golden power in diverse occasioni, relative ai semiconduttori. È davvero così efficace?

La mia modesta opinione è che lo strumento del golden power, così com’è ora, non sia sufficiente, e che vada aggiornato. Lo dico per due ragioni: la prima è che lo scudo senza la spada non ti protegge mai efficacemente dagli attacchi ostili, perché non produce deterrenza, tantomeno se questi attacchi sono rivolti ai settori strategici dell’economia nazionale. Senza strumenti adeguati di intelligence economica, che permettano al decisore politico di prevenire e se del caso anche di contrattaccare, il golden power è poco più di un palliativo illusorio. Siamo sotto attacco e perdiamo i pezzi ugualmente, anche se ne temperiamo gli effetti.

La seconda ragione?

La seconda ragione è che i settori strategici a cui faceva riferimento sono tutti occupati da aziende quotate, che rispondono necessariamente a logiche di mercato e alle norme del codice civile sulla responsabilità degli amministratori. È naturale, e ovvio, che questi ultimi operino nell’interesse dell’azienda e degli azionisti, e non nell’interesse nazionale, quando trattano cessioni di attività a concorrenti stranieri. Bisogna anche considerare che, a volte, la sola trattativa prevede la condivisione di informazioni strategiche, al fine di poter valutare gli asset aziendali. Se il Governo autorizza la trattativa, ma non la vendita, è come se chiudesse la stalla quando i buoi sono già usciti.

Il progetto di cloud europeo decentralizzato Gaia-X ha avuto, di recente delle defezioni, per l’asserita intromissione di player extra-europei. Quanto è realistica una sovranità digitale europea?

Gli Stati membri dell’Ue sembrano un po’ schizofrenici perché riconoscono di aver bisogno di cedere sovranità per ottenere insieme la forza e la capacità di investimento necessaria ad acquisire sovranità europea, in questo come in altri campi, ma al tempo stesso suggestionano le opinioni pubbliche nazionali con messaggi venati di un ottuso sovranismo, che ci allontana dagli obiettivi concreti, invece di avvicinarci.

Quanta parte della sovranità digitale nazionale passa per quella europea? Quanto incide, in tale situazione, l’appartenenza atlantica?

Noi ci giochiamo tutto il nostro futuro su di un tavolo nel quale siamo troppo piccoli per stare da soli. Su quel tavolo giocano le grandi potenze, come gli Stati Uniti e la Cina. Le nostre alleanze sono la condizione che ci permette di non diventare irrilevanti. Dentro il quadro delle nostre alleanze, che non sono in competizione tra loro, perché l’Alleanza Atlantica e l’Unione europea hanno più bisogno l’una dell’altra oggi che nel passato, l’Italia può disegnare la sua strategia e perseguire legittimamente il proprio interesse nazionale. La sovranità digitale nazionale è un obiettivo molto importante, ma non è realistico immaginare di sviluppare in proprio tutte le tecnologie necessarie, performanti, con costi economicamente convenienti e magari pure con capacità interoperabili. Chi racconta questa favola è molto bugiardo, oppure è molto ignorante.

Il cloud nazionale della Pa, per il Polo Strategico Nazionale (Psn), basato sul partenariato pubblico privato, sarà quello della cordata Tim, Cdp Equity, Leonardo e Soegi. Quale sarà il suo principale ruolo strategico, anche per le Pmi?

Come abbiamo detto anche nei dibattiti parlamentari è compito dello Stato proteggere i dati delle imprese e dei cittadini. Ovviamente si deve procedere per gradi, per questo si comincia dalla Pubblica amministrazione, che detiene gran parte di queste informazioni, custodite in data center e trasferite ad altri data center. La vulnerabilità del dato può essere sia nello stoccaggio che nell’applicazione. Un passo alla volta bisogna riuscire proteggere sia la prima che la seconda funzione, e non solo la Pa, ma anche le imprese, in particolare le Pmi, le quali sono l’ossatura economica del Paese e sono le più fragili su questo terreno.

Quali saranno le sfide/minacce cibernetiche più rilevanti del prossimo anno?

Quest’anno sia la Pa che le aziende sono state colpite dai ransomware. Tuttavia, le minacce che più mi spaventano non rientrano nel cybercrime. Sottovalutiamo il cyberspionaggio perché non ci rendiamo conto di quanto può essere invasivo, e quindi pericoloso. I pirati informatici agiscono al soldo di governi e grandi aziende per entrare in possesso di informazioni e documenti riservati di ogni tipo. I danni non sono immediati, e nemmeno visibili, ma possono essere molto profondi se le informazioni acquisite riguardando vulnerabilità che hanno valore strategico per il Paese. A volte sono la premessa per azioni di cyberwarfare, o guerra cibernetica, che ha l’obiettivo di colpire i sistemi informatici del target per compromettere le sue infrastrutture critiche, con lo scopo di renderle inutilizzabili. Un attacco di questo tipo è il tipico cigno nero che può mettere in ginocchio un Paese quanto o più di un attacco militare nella guerra cinetica.

Il 2 agosto scorso il Presidente Draghi ha istituito l’Agenzia per la cybersicurezza nazionale (Acn) nominando Roberto Baldoni quale direttore. Quali saranno le principali sfide che l’Acn dovrà affrontare nel prossimo anno?

La nuova Agenzia verrà implementata progressivamente, servirà qualche anno per andare veramente a regime. Il prossimo anno credo che si dovrà prima di tutto sistematizzare e armonizzare i compiti assegnati dalla legge, che con il recepimento della direttiva NIS (Network and Information Systems, direttiva europea mirante ad elevare il livello generale di sicurezza informatica, ndr) e la successiva definizione del perimetro cibernetico erano distribuiti in maniera un po’ caotica tra diverse amministrazioni dello Stato. Se dovessi individuare una priorità la indicherei nella definizione delle procedure più snelle ed efficienti di collaborazione tra pubblico e privato. Se non si lavora seriamente su questo obiettivo si rischia di avere un appesantimento burocratico delle procedure e degli strumenti di certificazione degli aggiornamenti tecnologici che anziché aumentare l’efficacia delle protezioni ne ritardano l’utilizzo, causando nuove vulnerabilità. Sarebbe un’applicazione molto spiacevole del principio dell’eterogenesi dei fini formulato da Wundt (tra i padri fondatori della psicologia, iniziatore della psicologia sperimentale e fisiologica, ndr).

(Achille Pierre Paliotta)