Intervento del ministro Lamorgese al convegno del Parlamento e della Commissione UE “La nuova strategia Europea per rafforzare la sicurezza informatica”

14 Maggio 2021
Tema

Sono particolarmente lieta di partecipare a questo seminario sulla nuova strategia europea per rafforzare la sicurezza informatica e costruire un ecosistema digitale più forte e resiliente.

Il numero degli attacchi cibernetici, in crescita costante da diversi anni ed esponenzialmente aumentato nei drammatici mesi appena trascorsi, ha imposto, infatti, un’accelerazione al percorso di riforme in ambito europeo basata su un concetto globale di resilienza, intesa non più solo come capacità di resistere e far fronte alle sfide, ma come principio cardine dei processi decisionali negli ambiti socio-economico, geopolitico, verde e digitale.

A causa della crescente dipendenza della vita quotidiana, dell’economia, dei servizi essenziali, persino della sicurezza nazionale dalle tecnologie digitali, infatti, alle tradizionali minacce si sono aggiunti i pericoli dei cyber-attacchi che, silenziosamente, possono mettere a repentaglio il nostro benessere, la nostra sicurezza ed anche il funzionamento stesso delle nostre democrazie.

Le cyber-minacce infatti, se in molti casi sono manifestazione della criminalità comune che, per realizzare profitto, agisce con nuovi metodi, in altrettanti casi provengono da soggetti motivati da istanze strategico/politiche.

Non a caso, infatti, i dati emergenti dalle attività della Polizia Criminale e del CNAIPIC evidenziano che, nel 2020, i reati informatici sono aumentati del 33% e gli attacchi cibernetici diretti a infrastrutture critiche sono più che raddoppiati rispetto all’anno precedente.

Nel contesto delineato, la sicurezza cibernetica risulta fondamentale per il funzionamento delle istituzioni, della Pubblica Amministrazione, delle infrastrutture che erogano servizi essenziali, dell’economia e per il benessere della società nel suo complesso, sia a livello nazionale che dell’Unione Europea.

In Europa, questo tema ha assunto centralità già da tempo, nella consapevolezza che la sicurezza cibernetica deve essere parte integrante ed ineliminabile delle politiche di trasformazione digitale dei Paesi membri.

Nel quadro normativo e culturale Europeo, che in questo momento si sta ulteriormente arricchendo anche grazie alla revisione della Direttiva sulla sicurezza delle reti e dei servizi informatici (c.d. NIS), all’introduzione della Direttiva volta alla protezione delle infrastrutture critiche Europee ed alle ulteriori iniziative rientranti nella nuova strategia per la cibersicurezza presentata lo scorso dicembre dalla Commissione Europea, sono fiera di poter dire che l’Italia è fra gli Stati membri che maggiormente credono nella necessità di conseguire il più elevato livello di sicurezza e di resilienza delle reti e dei sistemi informativi e nella cooperazione a ciò finalizzata.

Già a partire dal 2012 il nostro Paese ha posto le basi per la costruzione dell’attuale sistema nazionale di sicurezza cibernetica, culminata, nel 2019, con l’istituzione del “Perimetro di Sicurezza Nazionale Cibernetica”.

Si tratta di un intervento normativo complesso, volto a garantire la sicurezza e la continuità di reti, sistemi informativi e servizi informatici di Amministrazioni pubbliche, enti ed operatori che esercitano una funzione essenziale dello Stato o prestano un servizio essenziale per lo Stato o per la collettività.

I soggetti inclusi nel “Perimetro” dovranno, sulla base di un’analisi del rischio, valutare la probabilità di un incidente ed il suo impatto potenziale sulla continuità della funzione esercitata o del servizio essenziale fornito e, conseguentemente, individuare e implementare idonee misure di sicurezza.

Ma - ed è questo il cuore della disciplina – tali soggetti dovranno, soprattutto, attenersi a regole stringenti per poter acquisire beni e servizi ICT (Information and Communications Technology), andando incontro a rilevanti sanzioni in caso di mancato rispetto delle prescritte procedure. 

Lo scopo della normativa è infatti quello di minimizzare la superficie di attacco, sia aumentando la capacità degli operatori di rilevare anomalie sulle reti sia, principalmente, introducendo misure volte a escludere dal procurement beni e servizi ICT riscontrati vulnerabili a minacce esterne dal Centro di Valutazione e Certificazione Nazionale.

Ciò in quanto la potenziale vulnerabilità di tali beni e servizi minerebbe non solo il funzionamento delle Amministrazioni pubbliche, enti ed operatori inseriti nel Perimetro di Sicurezza Nazionale Cibernetica ma, indirettamente, comprometterebbe la sicurezza stessa dello Stato.

Il complesso normativo ora sinteticamente descritto è un unicum tutto italiano che riconosce un ruolo centrale al Ministero dell’interno quale generale autorità di contrasto alle minacce cibernetiche, destinataria delle segnalazioni di eventi significativi per la sicurezza effettuate dai soggetti componenti il Perimetro ed è il fulcro della politica normativa italiana in materia di cyber-security.

Nella consapevolezza che la sicurezza informatica sia un prezioso investimento per il futuro, oltre ed ancor prima dell’introduzione di regole, obblighi e sanzioni, è però essenziale diffondere la cultura della sicurezza, declinata anche in chiave digitale ed informatica che deve essere sviluppata già in età scolare, considerato anche il sempre più precoce avvicinarsi delle giovani generazioni alle nuove tecnologie e, soprattutto, ai social network.

La sfida è quindi quella di modernizzare e digitalizzare l’intero Paese, a partire dalle sue istituzioni, rafforzando la capacità operativa cyber nazionale e garantendo la protezione degli ambienti IT dagli attacchi cibernetici, la resilienza dei sistemi informativi e favorendo l’uso accorto e consapevole degli strumenti tecnologici ed informatici.

Il tutto senza mai dimenticare che la tutela della sicurezza non deve entrare in contrasto con le libertà e con i diritti garantiti dalla Costituzione e dalle Carte Europee, fra questi, certamente, il diritto alla tutela della propria sfera privata e dei dati personali.

Proprio in quest’ottica, al fine di prevenire gli incidenti di cyber security, garantendo il necessario contemperamento fra sicurezza e privacy, lo scorso 26 aprile è stato inaugurato il Cyber Security Operations Center (C-Soc), presso l’Ufficio Protezione Dati della Direzione centrale della Polizia criminale del Dipartimento della Pubblica Sicurezza.

In questo Centro altamente specializzato, la rete sarà scansionata alla ricerca di vulnerabilità e di potenziali minacce cibernetiche, al fine di implementare le adeguate contromisure.

E l’operare secondo i principi di proporzione e adeguatezza rispetto al fine perseguito ed espressamente previsto dalla norma di riferimento - il cui rispetto deve essere metodo e normalità in una democrazia - permetterà di perseguire i crimini che mettono in pericolo la sicurezza pubblica, garantendo al contempo l’effettività della tutela dei dati personali.

Il complesso lavoro di chi, a garanzia della sicurezza comune, tratta i dati personali deve infatti essere sempre accompagnato da una serie di garanzie e condizioni (giuridiche, tecniche e organizzative) volte ad effettuare tale trattamento in sicurezza, limitando – entro ambiti chiari, ben definiti, trasparenti e strettamente necessari – l’“intromissione” nella sfera privata.

In un mondo in frenetica trasformazione, davanti a nuove minacce e a nuovi rischi, è questa la strada che, anche nel solco tracciato dall’Europa, sta percorrendo l’Italia.

Gli investimenti in misure tecniche ed organizzative di cyber-security, la formazione, la maggiore consapevolezza delle insidie insite negli strumenti digitali, sono già e continueranno ad essere, anche grazie ai fondi del Next Generation EU, punti fermi di una strategia mirata a garantire la sicurezza dei cittadini, nel pieno rispetto delle loro libertà e della loro sfera privata.

Il Next Generation Eu è, infatti, stata la risposta dell’Unione Europea alla crisi pandemica.

È un programma di inedita portata, che prevede investimenti e riforme per accelerare la transizione ecologica e digitale e che, per l’Italia e l’Europa intera, rappresenta un’opportunità anche sotto il profilo del rafforzamento delle difese cyber. 

In tale ambito, gli investimenti del nostro Paese saranno principalmente indirizzati, oltre che alla formazione digitale, all’implementazione dei presìdi per la gestione degli alert e degli eventi a rischio intercettatati verso la P.A. e le imprese di interesse nazionale.

Si investirà inoltre nell’immissione di nuovo personale nelle aree di pubblica sicurezza e polizia giudiziaria dedicate alla prevenzione e investigazione del crimine informatico e saranno irrobustiti gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cibernetiche.

In questo senso verrà anche potenziata la capacità di risposta dei Nuclei Operativi per la Sicurezza Cibernetica - presenti presso ogni Ufficio di polizia postale dislocato sul territorio - davanti agli attacchi informatici ai sistemi della Pubblica Amministrazione, compreso il Sistema Sanitario Nazionale, ed ai sistemi delle imprese ricadenti nel territorio di loro competenza.  

Nel contesto del potenziamento delle strutture digitali della Pubblica Amministrazione, per quanto concerne il Ministero dell’interno, sarà data priorità all’erogazione di servizi digitali al cittadino attraverso la realizzazione di una struttura cloud che consentirà di snellire le procedure secondo il principio once only, per cui cittadini e imprese devono poter fornire “una sola volta” le loro informazioni ad autorità ed amministrazioni.

E sempre grazie alla creazione di un cloud sarà inoltre resa effettiva l’interoperabilità delle banche dati delle forze di polizia al fine di permettere agli operatori di accedere, tramite un’unica interfaccia ed un unico meccanismo di autenticazione, ai dati di interesse, ai sistemi interni ed alla propria area personale.

Tutto ciò, ovviamente, in pieno raccordo con le iniziative Europee e alleate, per assicurare la protezione degli interessi comuni dei cittadini e delle imprese.

Avviandomi alla conclusione, voglio evidenziare che l’importanza strategica di un quadro normativo, nazionale e sovranazionale, chiaro ed efficace è evidente. Da un lato, l’impatto sociale ed economico dei rischi cibernetici rende necessario individuare un framework regolamentare semplice e univoco, dall’altro è fondamentale per accrescere la fiducia dei cittadini nelle reti e nei sistemi informativi, con chiari benefici per le aziende e per l’economia digitale nel suo insieme.

Grazie.