Approvato nel Consiglio dei Ministri del 24 gennaio, è stato pubblicato in Gazzetta Ufficiale un paio di giorni fa il Decreto del Presidente del Consiglio dei Ministri contenente gli “indirizzi per la protezione cibernetica e la sicurezza informatica nazionale”.
Con un po’ di ritardo rispetto a Paesi come gli Stati Uniti, la Gran Bretagna, la Germania, l’Olanda o la Francia, anche l’Italia si sta attrezzando per garantire la sicurezza del cyber-spazio che, tra l’altro, per la prima volta nel nostro Paese trova formale definizione in un testo legislativo. Il decreto appena pubblicato, infatti – riprendendo la definizione contenuta nel “Glossario Intelligence” pubblicato dal DIS nel giugno dello scorso anno – definisce lo spazio cibernetico come “l’insieme delle infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti nonché delle relazioni logiche, comunque stabilite, tra di essi”.
Il principale scopo del decreto, tuttavia, è quello di riorganizzare l’architettura istituzionale nel settore della sicurezza cibernetica, un’architettura considerata disorganica ed inefficiente anche a causa della mancanza di una precisa strategia nazionale per il settore. Il Governo ha, quindi, compiuto un primo, importantissimo, passo procedendo “secondo un percorso di graduale e progressiva razionalizzazione di ruoli, strumenti e procedure”, puntando, anche al fine di razionalizzare e contenere i costi pubblici, sull’integrazione delle strutture e delle competenze già esistenti.
Di fatto si è optato per un framework classico, già sperimentato in altre Nazioni, che vede in cima alla piramide il Presidente del Consiglio ed i ministri che compongono unitamente il Comitato per la sicurezza della Repubblica (CISR) e a cui sono demandati i compiti di indirizzo politico-strategico. Ad essi, infatti, spetta la definizione della strategia nazionale di cyber-security (nel decreto si parla di “quadro strategico nazionale per la sicurezza dello spazio cibernetico” e di un “Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali”), nonché l’emanazione delle conseguenti direttive d’indirizzo.
A supporto del Comitato interministeriale opera quello che nel decreto viene definito “organismo collegiale di coordinamento”, presieduto dal Direttore generale del Dipartimento Informazioni per la Sicurezza (DIS). Dovrebbe trattarsi (il condizionale è d’obbligo poiché la normativa che lo riguarda, il DPCM 26 ottobre 2012, n. 2, è riservata) del c.d. “CISR tecnico”, composto, secondo quanto si evince dall’analisi congiunta delle più recenti relazioni annuali del COPASIR e del Governo, dai dirigenti di vertice delle Amministrazioni rappresentate nel CISR, a cui, in occasione delle sedute sui temi della sicurezza cibernetica, si aggiunge il Consigliere militare.
Il suddetto organismo svolge non solo attività istruttoria e preparatoria dei lavori del Comitato interministeriale ma è anche deputato a coadiuvare il CISR nella verifica dell’implementazione del Piano nazionale per la sicurezza del ciberspazio, coordinando altresì i rapporti tra amministrazioni ed uffici competenti nonché tra questi e i soggetti pubblici e privati chiamati ad attuarlo. Infine, in ragione del suo ruolo prettamente “tecnico”, esercita anche una funzione di rilievo nell’individuazione delle minacce e delle vulnerabilità che attentano alla sicurezza dello spazio cibernetico, come pure nell’adozione delle opportune misure di sicurezza e best practices.
Nel quadro istituzionale delineato dal decreto del 24 gennaio, tuttavia, un ruolo centrale è svolto dagli organismi di informazione per la sicurezza. Sia da parte delle due Agenzie, nella fase di raccolta ed elaborazione delle informazioni, che da parte del DIS, nella formulazione di analisi strategiche, valutazioni e previsioni sulla minaccia cibernetica e nella promozione e diffusione della “conoscenza e [de]la consapevolezza in merito ai rischi derivanti dalla minaccia cibernetica e sulle misure necessarie a prevenirli”. Inoltre, il decreto istituisce presso la Scuola di formazione del Sistema di Intelligence (recentemente inaugurata) un comitato scientifico, composto da esperti provenienti dalla pubblica amministrazione, dal mondo accademico e dal settore privato, con il compito di assistere l’organismo collegiale ed il Nucleo per la sicurezza cibernetica.
A supporto del capo del Governo per gli aspetti relativi alla prevenzione e alla preparazione rispetto a situazioni di crisi il decreto istituisce il Nucleo per la sicurezza cibernetica, costituito in via permanente presso l’Ufficio del Consigliere militare e da questo presieduto.
Il Nucleo, composto dai rappresentanti degli organismi di Intelligence (DIS, AISE ed AISI), del Ministero dell’interno, del Ministero degli affari esteri, del Ministero della difesa, del Ministero dello sviluppo economico, del Ministero dell’economia, del Dipartimento della protezione civile, dell’Agenzia per l’Italia digitale, svolge una funzione di raccordo tra i diversi attori istituzionali che operano nel campo della sicurezza cibernetica. In particolare, è compito del Nucleo sviluppare attività di prevenzione, allertamento e approntamento in caso di eventuali situazioni di crisi, anche attraverso una propria unità operativa permanente e costantemente attiva, nonché svolgere le opportune azioni di risposta e ripristino rispetto a queste situazioni, provvedendo se del caso ad attivare il Tavolo interministeriale di crisi cibernetica. Ciò avviene qualora un c.d. “evento cibernetico” (attacco, incidente, furto/spionaggio) assuma “dimensioni, intensità o natura tali da incidere sulla sicurezza nazionale” o non possa “essere fronteggiato dalle singole amministrazioni competenti in via ordinaria”.
Occorre evidenziare, peraltro, che il Tavolo interministeriale altro non è che il già esistente Nucleo Interministeriale Situazione e Pianificazione (NISP), istituito con il DPCM 5 maggio 2010 in materia di gestione delle crisi nazionali. Spetterà al NISP, quindi, quale Tavolo interministeriale, verificare e coordinare la gestione e la risposta alla crisi cibernetica da parte delle amministrazioni coinvolte, avvalendosi,dove necessario, del CERT nazionale.
Tuttavia, ad una prima lettura dell’impianto normativo posto in essere dalla direttiva, potrebbero sorgere alcune ipotesi di duplicazione/affiancamento tra le competenze del CERT nazionale ed alcuni dei compiti assegnati al Nucleo per la sicurezza cibernetica. Ad una più attenta e complessiva lettura del dettato normativo, però, appare chiaro come il Nucleo sia posto in una posizione apicale all’interno della piramide decisionale e di indirizzo, tanto da essere organo di supporto diretto del Presidente del Consiglio dei Ministri, e pertanto indiscutibilmente sovraordinato al CERT nazionale e alle ulteriori unità operative poste in essere nel tempo dalle leggi. Del resto non potrebbe essere altrimenti, soprattutto in considerazione del fatto che la principale funzione del Nucleo per la sicurezza cibernetica è quella di offrire “raccordo tra le diverse componenti dell’architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica”.
Per ultimo, occorre sottolineare anche il ruolo primario assunto dagli operatori privati all’interno del processo istituzionale deputato alla tutela della sicurezza nazionale dalle minacce derivanti dal cyber-spazio e alla gestione delle eventuali crisi da queste derivanti.
Infatti, in linea con la logica sottesa alla bozza di cyber-strategy europea, gli operatori che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall’operatività di sistemi informatici e telematici, da un lato devono comunicare ogni significativa violazione della propria sicurezza o dell’integrità dei propri sistemi informatici al Nucleo per la sicurezza cibernetica e, se richiesto, agli organismi di informazione per la sicurezza, dall’altro devono adottare le misure di sicurezza e le best practices eventualmente predisposte dall’organismo collegiale di coordinamento posto a supporto del CISR.
Claudio Neri è direttore del Dipartimento di ricerca dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”
Stefano Mele è coordinatore dell’Osservatorio Infowarfare e Tecnologie Emergenti dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”
