Breadcrumbs
Università degli studi di Salerno - Fondazione SERICS
Mi pregio di chiudere questa giornata esprimendo grande apprezzamento per l’avvio di un progetto, di grandi ambizioni e aspettative, visto anche l’importo del finanziamento (114 ML di euro), che tocca tematiche trasversali e fortemente connesse allo sviluppo di un’economia ad alta intensità di conoscenza, di competitività e resilienza.
I contenuti dell’iniziativa, già diffusamente trattati da coloro che mi hanno preceduto, mi consentiranno di intervenire sul tema della sicurezza cibernetica che, per la sua trasversalità e per la vastità delle possibili ricadute, ha assunto un ruolo preminente e strategico nel dibattito pubblico e giuridico.
Tuttavia non posso tralasciare una considerazione di metodo che – sia per il contesto accademico in cui ci troviamo, sia più in generale per una pervicace convinzione personale – penso sia utile ribadire.
Se il vertice politico-amministrativo di un Ministero – che, tra le sue missioni tipiche, annovera la tutela della sicurezza – partecipa alla presentazione di un così significativo progetto scientifico, la ragione è che non ci può essere “buona amministrazione” senza eccellente ricerca, in nessun campo.
Governare bene significa saper pensare bene e, per saper pensare bene, non si può smettere di studiare.
Amministrazione e ricerca devono sempre più concepirsi in una prospettiva complementare che eviti all’accademia di immaginarsi in maniera autoreferenziale e che, d’altro canto, impedisca all’Amministrazione di replicare all’infinito se stessa con prassi e visioni inadeguate ad un mondo in rapida trasformazione: i risultati della ricerca, in ogni ambito, naturale o sociale, oltre che porre le basi per nuova indispensabile ricerca, devono trovare uno sbocco immediato che si rifletta positivamente sulla quotidianità delle persone.
La scienza è essenziale alla nostra - e nella nostra - quotidianità: ci serve perché è attraverso scienza e tecnica che accresciamo la nostra conoscenza del mondo e siamo in grado di provvedere al nostro benessere, tutelando la nostra libertà.
Tuttavia, terreni complessi come quello della cybersicurezza – che rappresentano una sfida interdisciplinare plasticamente rappresentata dai molteplici filoni di questo mirabile progetto – non rilevano soltanto per i risultati che la ricerca è in grado di produrre, ma anche per le intelligenze che sono in grado di muovere. Intelligenze che per loro natura sapranno fare rete e disseminare i frutti dello studio in ambiti microscopici e concreti, garantendone la sostenibilità e la diffusione sui territori.
Insomma, se è vero che all’uomo serve la scienza, è altrettanto vero che alla scienza serve il suo motore, l’uomo.
Questo non solo perché ogni progetto scientifico parte dalla definizione oggettiva di un bisogno che è, sempre, profondamente umano, ma anche perché l’impulso allo studio viene da un istinto, intimamente soggettivo, che può alternativamente atteggiarsi come curiosità, o necessità di intercettare e difendersi da un pericolo, o semplicemente di dare una spiegazione a ciò che è intorno a noi.
Diceva Heidegger “L’essenza più profonda della tecnica non è nulla di tecnico”. Quanta verità in questa affermazione che aggancia il pensiero scientifico all’obiettivo di riconoscere la realtà e spiegarla (o “svelarla”, se volessimo essere rispettosi del pensiero del filosofo). E una volta svelata, aggiungo io, intervenire su di essa, riprodurla o, se necessario, governarla.
In questo gioco delle parti, a voi il pensiero scientifico che osserva e trova soluzioni, a me, all’Amministrazione, il compito di presentare la realtà come orizzonte di bisogni a cui dare una risposta: è nel dialogo tra i nostri mondi che risiede la possibilità concreta di accrescere la qualità della vita delle persone e tutelarne effettivamente i diritti.
In questo quadro, la cybersicurezza è sicuramente un bisogno a cui corrispondere, con creatività e pragmatismo.
Infatti, sebbene il rischio cyber sia comparso solo di recente nell’elenco delle grandi minacce globali, è già saldamente attestato ai vertici della classifica.
Ora più che mai la sicurezza del continente è minacciata nei suoi diversi domini. Quello terrestre, in cui da quasi un anno imperversa il drammatico conflitto russo-ucraino, è chiaramente il più visibile, ma non meno vitali e nevralgici sono gli interessi e gli equilibri che viaggiano sulle reti.
Anche in questo inedito fronte di sicurezza il presupposto indefettibile per assicurare una risposta resiliente è la reale conoscenza della minaccia e delle sue implicazioni.
In tal senso, sebbene la velocità con cui gli attacchi informatici si modificano sia molto più elevata rispetto alla capacità di trovare soluzioni adeguate, abbiamo sviluppato una ampia conoscenza del fenomeno e delle sue caratteristiche particolarmente sfidanti.
Si tratta di una minaccia asimmetrica perché le capacità del soggetto attaccante sono superiori a quelle di chi difende; di difficile tracciabilità e, quindi, maggiormente “impermeabile” alle attività di prevenzione e di contrasto, direttamente proporzionale al grado di sviluppo raggiunto dalle tecnologie dell’informazione e altamente offensiva anche per la complessità dello spazio digitale ove la stessa si consuma.
Garantire la sicurezza del dominio cibernetico, infatti, non è come proteggere il paese in qualsiasi altro ambito strategico.
In esso trovano posto fortemente interconnessi fra loro, innumerevoli servizi e rilevanti attività economiche e sociali: infrastrutture energetiche, mercati finanziari, forniture di acqua potabile, trasporti di massa e, non ultime, le funzioni essenziali dello Stato, incluse la sua difesa e integrità.
Tutto ciò lo rende unico rispetto agli altri terreni di difesa.
La cybersecurity deve, pertanto, svilupparsi con approcci e strumenti performanti, evoluti e idonei a fronteggiare un vasto catalogo di rischi, in gran parte imprevedibili.
Si va dai più comuni atti di cyber crime, alle più insidiose forme di cyber spionaggio e di cyber terrorismo con attività di propaganda, affiliazione e addestramento, oltre che con azioni dirette a colpire lo stesso cyber spazio e i centri nevralgici e vitali, per poi giungere alla più grave forma di attacco informatico, la c.d. cyber guerra, volta a compromettere le difese, il funzionamento e la stabilità socio-politica di uno Stato.
Il dato degli attacchi informatici perpetrati nei confronti delle nostre infrastrutture erogatrici di servizi essenziali, dall’inizio del 2022 circa 10 mila con un aumento del 115% rispetto all’anno precedente, manifesta la gravità e l’entità del fenomeno.
Occorre dunque, per rendere il paese sicuro anche nel dominio digitale, mettere in campo, con efficacia e tempestività, tutte le misure tecnologiche, organizzative e culturali necessarie.
Se da una parte l’incessante evoluzione delle moderne tecnologie rende sempre più conveniente la “migrazione” verso il digitale, dall’altra, solo la sicurezza delle reti e dei sistemi su cui tali sistemi si basano possono garantire la sicurezza per la nostra comunità, lo sviluppo economico e il benessere dello Stato.
La sfida, pertanto, è importante e complessa e, anche alla luce dei più recenti eventi pandemici e bellici, si è imposta nell’agenda nazionale e europea al fine di sviluppare stringenti e sempre più performanti meccanismi di tutela soprattutto a salvaguardia delle infrastrutture critiche nazionali ed europee.
La strategia europea per rafforzare la sicurezza informatica fa riferimento ad uno scenario in cui l’Europa non è solo target di attentati terroristici e di destabilizzanti migrazioni di massa, ma è anche un ecosistema digitale in cui, ogni giorno, si realizzano attacchi malevoli.
Vale la pena di accennarlo, in tale direzione si muovono, a livello Ue, la nuova Direttiva CER-Critical Entities Resilience sulla resilienza dei soggetti critici e la nuova Direttiva NIS-Network and Information Security per la protezione delle infrastrutture critiche rispetto alle minacce di tipo cyber.
In tal senso, fra l’altro, è prevista l’istituzione di EU-CyCLONe, una rete europea per le crisi informatiche che sosterrà la gestione coordinata degli incidenti e delle crisi di cyber su vasta scala.
L’obiettivo finale è quello di garantire una base comune europea di protezione delle informazioni, delle reti e dei sistemi al fine di affrontare al meglio la crescente interconnessione tra il mondo fisico e quello digitale e assicurare la continuità dei servizi strategici in ambito civile, sociale ed economico.
Anche nel contesto nazionale l’attenzione al tema è massima e l’interessante progetto presentato oggi ne è una concreta testimonianza.
Nell’ambito della trasformazione digitale del Paese, la sicurezza cibernetica costituisce infatti uno dei principali interventi previsti dal Piano nazionale di ripresa e resilienza (PNRR), in coerenza con il Next Generation EU (NGEU).
Detto questo, non vi è dubbio che il tema oggi in discussione rappresenta da molto tempo una priorità per l’Italia che, con mirati interventi normativi, a partire dal 2012, si è dotata di una “architettura nazionale di sicurezza cibernetica” perfezionatasi con l’adozione del PNSC - Perimetro di sicurezza nazionale cibernetica (istituito con il decreto legge n. 105 del 2019 n. 133) nel cui ambito rientrano quei soggetti, pubblici e privati, che proprio perché svolgono un servizio o una funzione essenziale per lo Stato in settori ritenuti sensibili, devono assicurare un livello di sicurezza maggiore delle loro organizzazioni.
Si tratta di un unicum tutto italiano volto ad innalzare la resilienza delle reti, dei sistemi informativi e dei servizi informatici mediante la previsione di efficaci misure per garantire elevati standard di sicurezza e minimizzare i potenziali rischi.
Inoltre, lo scorso anno è stata ridisegnata l’architettura nazionale di cybesicurezza mediante l’istituzione della citata Agenzia per la Cybersicurezza Nazionale - ACN, avamposto della sicurezza digitale italiana.
La stessa Polizia Postale e delle Comunicazioni - articolazione specialistica della Polizia di Stato deputata alla difesa cibernetica verso il crimine comune e organizzato – si trova al centro di un processo strategico di evoluzione e rilancio. È stato recentemente tracciato una nuovo modulo organizzativo con la creazione, a livello centrale, di una Direzione centrale per la Polizia scientifica e la sicurezza cibernetica e, nell’ottica di assicurare la prossimità dell’organo di polizia informatica, l’operatività, a livello regionale, di appositi Centri Operativi (a livello provinciale, di Sezioni Operative). A chiusura del sistema, il Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche-CNAIPIC del Servizio della Polizia postale e delle comunicazioni del Dipartimento della pubblica sicurezza, attraverso dedicati alert, diffonde indicatori di compromissione e avvisi di sicurezza alle infrastrutture informatiche dei Dicasteri, alle infrastrutture critiche nazionali e ai potenziali target di azioni ostili.
In un contesto altamente qualificato come quello odierno, non posso non ricordare, infine, come la “nuova normalità” degli assetti internazionali abbia imposto all’Italia di dotarsi di un impianto normativo (DPCM di attuazione dell’art. 7 – ter del D.L. 174/2015) che gli consenta di condurre operazioni offensive mediante misure di intelligence di contrasto in ambito cibernetico, in situazioni di crisi o di emergenza a fronte di minacce che coinvolgono aspetti di sicurezza nazionale che non siano fronteggiabili solo con azioni difensive.
Alla luce di quanto sinora detto, è evidente che per far fronte all'impatto multidimensionale e trasversale generato dalla minaccia cyber siamo chiamati a potenziare la resilienza complessiva del nostro Paese.
Tuttavia, non si può essere resilienti da soli, ma è cruciale rafforzare una visione comune delle sfide e un approccio coordinato in relazione ai diversi scenari di rischio.
Queste determinazioni, che costituiscono il fulcro del piano d’azione della Bussola Strategica dell’Ue, non sono nuove nemmeno in ambito NATO dove è parimenti avvertita la necessità di un passo più deciso per rafforzare la capacità di reazione complessiva dell’Alleanza tenendo conto delle diversità anche culturali dei sistemi nazionali.
Il dialogo politico e la cooperazione NATO-UE assumono dunque una rinnovata importanza nell’ottica del rafforzamento della sicurezza e della resilienza della comunità occidentale, chiamata a confrontarsi con uno scenario geostrategico caratterizzato dalla postura persistentemente aggressiva assunta dalla Russia e dalla costante ascesa della Cina, entrambe definite “systemic rivals” nell’ambito del Programma NATO 2030.
In conclusione permettetemi di dire però che uno scenario così complesso, sia per la natura del pericolo che siamo tenuti a fronteggiare, sia in ragione dei molteplici livelli di governo che intervengono, non deve tuttavia riflettersi in un impianto normativo, nazionale e sovranazionale, anchilosato e cavilloso.
Obiettivo comune deve essere quello di elaborare strategie e norme semplici e univoche, se non altro perché non possiamo dimenticare che le prime sentinelle della sicurezza digitale sono gli stessi fruitori delle reti e dei sistemi informativi: le persone.
Tanto più saranno semplici i linguaggi e le regole, tanto più saremo, tutti, in grado di proteggerci: ci sarà sempre meno bisogno di dispositivi di sicurezza, se l’ambiente – reale o virtuale – sarà sicuro. E l’ambiente lo rendono sicuro le persone che lo vivono.
Mi fa estremamente piacere che in questo scenario e lungo questa prospettiva si muova l’importante iniziativa che oggi viene presentata in questa Università, la mia Università.
Mi piace pensare che anche da questi luoghi, dalle province del nostro Paese, possano partire esperienze e laboratori di intelligenze che renderanno migliore il futuro della nostra società.
Grazie