In una recente apparizione televisiva, il presidente del Consiglio Matteo Renzi si è soffermato sul tema della sicurezza cibernetica confermando la volontà di portare avanti “la proposta di uno staff” di stretta fiducia “che si occupi di cyber security”. Ha escluso, invece, l’intenzione di creare una nuova agenzia che si occupi di cyber intelligence, la quale non potrebbe che passare da una modifica legislativa. La legge 124/2007 stabilisce, infatti, che i Servizi segreti siano gli unici a potersi occupare di attività d’intelligence in materia cyber. Da valutare, piuttosto, l’ipotesi di nominare un consigliere governativo “specializzato”. La questione rimane aperta e controversa. Vale la pena di ricostruire lo stato dell’arte della materia sotto il profilo normativo.
Nel 2013, l’allora presidente del Consiglio Mario Monti sottoscrisse, insieme ai ministri che componevano il Comitato per la Sicurezza, un decreto presidenziale sulla cyber security. Si trattò del primo passo ufficiale in materia. Di fatto si scelse un framework classico, già sperimentato in altre nazioni, che vede in cima alla piramide il presidente del Consiglio e i ministri che compongono unitamente il Comitato per la sicurezza della Repubblica (Cisr) e ai quali sono demandati i compiti d’indirizzo politico-strategico. Spetta loro, infatti, la definizione della strategia nazionale di cyber security (delineata nel Quadro strategico nazionale per la sicurezza dello spazio cibernetico e nel Piano nazionale per la protezione cibernetica e la sicurezza informatica nazionali), nonché l’emanazione delle conseguenti direttive d’indirizzo.
Uno degli organismi più importanti individuati a dicembre 2013 è il Nucleo per la sicurezza cibernetica (Nsc). Si tratta di una struttura composta da funzionari in rappresentanza di tutti gli attori identificati nella nostra architettura istituzionale edificata col Dpcm Monti: il Ministro degli Affari esteri, il Ministro dell’interno, il Ministro della difesa, il Ministro della giustizia, il Ministro dell’economia e delle finanze, il Ministro dello sviluppo economico, il sottosegretario di Stato alla Presidenza del Consiglio – Autorità delegata per la Sicurezza della Repubblica, il direttore generale dell’Agenzia per l’Italia digitale, il Consigliere militare del presidente del Consiglio dei ministri, il direttore generale del Dipartimento delle informazioni per la sicurezza, i direttori di Aisi e Aise e il ministro per la Semplificazione e la Pubblica amministrazione. E’ operativo, inoltre, un piccolo nucleo fisso, circa un paio di persone, che gestisce tecnicamente il flusso d’informazioni.
Il Nsc, spiega il Dpcm Monti, svolge funzioni di raccordo tra le diverse componenti dell’architettura istituzionale che intervengono a vario titolo nella materia della sicurezza cibernetica, nel rispetto delle competenze attribuite dalla legge a ciascuna di esse. In particolare, nel campo della prevenzione, il Nsc promuove la programmazione e la pianificazione operativa della risposta a situazioni di crisi cibernetica da parte delle amministrazioni e degli operatori privati interessati e l’elaborazione delle necessarie procedure di coordinamento interministeriale, in raccordo con le pianificazioni di difesa civile e di protezione civile. Mantiene attiva – 24 ore su 24, 7 giorni su 7 -l’unità per l’allertamento e la risposta a situazioni di crisi cibernetica; valuta e promuove, in raccordo con le amministrazioni competenti per specifici profili della sicurezza cibernetica, procedure di condivisione delle informazioni, anche con gli operatori privati interessati, ai fini della diffusione di allarmi relativi a eventi cibernetici e per la gestione delle crisi; acquisisce, sia dall’estero sia per il tramite del ministero dello Sviluppo economico (Mise), degli organismi di informazione per la sicurezza, delle Forze di polizia e delle strutture del ministero della Difesa, le comunicazioni circa i casi di violazione o i tentativi di violazione della sicurezza o di perdita dell’integrità significativi ai fini del corretto funzionamento delle reti e dei servizi. È indicato come il punto di riferimento nazionale per i rapporti con l’Onu, la Nato e l’Unione europea in questo frangente. Inoltre, promuove e coordina, in raccordo con il Mise e con l’Agenzia per l’Italia digitale per i profili di rispettiva competenza, lo svolgimento di esercitazioni interministeriali, ovvero la partecipazione nazionale in esercitazioni internazionali che riguardino la simulazione di eventi di natura cibernetica.
Attualmente, il Nsc dipende dall’Ufficio del consigliere militare della Presidenza del consiglio, cioè dalla persona che consiglia Palazzo Chigi su tutto ciò che concerne la difesa della Penisola (un incarico non ancora assegnato da ottobre scorso, dopo il passaggio del generale Carlo Magrassi a segretario generale della Difesa). A questi tasselli se n’è aggiunto un altro lo scorso anno: la direttiva del premier Renzi del 1° agosto 2015, che – si legge sul sito dei Servizi italiani, www.sicurezzanazionale.gov.it – individua “le azioni prioritarie propedeutiche allo sviluppo di un sistema in grado di garantire, sempre di più, la protezione cibernetica e la sicurezza informatica”. In particolare, il documento riassume gli obiettivi raggiunti e “identifica le azioni che, all’interno di un’ampia collaborazione tra tutti i soggetti coinvolti, possano effettivamente contribuire alla sicurezza nazionale nella dimensione cyber”.
Palazzo Chigi considera prioritario “il consolidamento di un sistema di reazione in grado di operare, rapidamente e in maniera efficace, in caso d’incidenti o azioni ostili nei confronti delle infrastrutture informatiche nazionali”. Obiettivo da raggiungere attraverso “un aumento della dotazione in termini di risorse umane e materiali presso le Amministrazioni e gli Organismi coinvolti” (confermato dagli stanziamenti al settore previsti nella recente legge di Stabilità, 150 milioni di euro); la realizzazione di un coordinamento istituzionale, che garantisca la condivisione e la circolarità delle informazioni, potenziando l’operatività degli assetti trasversali previsti dal sistema di reazione, ovvero il Nucleo per la sicurezza cibernetica, il Cert Nazionale e il Cert-Pa; l’ulteriore sviluppo di un partenariato pubblico-privato; una sempre maggiore collaborazione con Università e Centri di ricerca; infine un coordinamento nazionale come pre-condizione per la cooperazione a livello internazionale che garantisca il raggiungimento di uno stesso livello di preparazione e interoperabilità”.