L’Agenzia per la Cyber-sicurezza Nazionale (ACN) istituita ufficialmente con il decreto firmato dal premier Mario Draghi e approvato dal Consiglio dei ministri disporrà di 300 esperti (che potrebbero aumentare con ulteriori decreti) e di una dotazione finanziaria di 530 milioni di euro fino al 2027 di cui 41 milioni nel 2022 che saliranno progressivamente fino a 122 milioni del 2027.

Il nome più accreditato per guidare l’agenzia sembra essere quello di Roberto Baldoni (nella foto sotto), vicedirettore del Dipartimento Informazioni Sicurezza della repubblica (DIS) con delega alla cybersecurity.

Il decreto evidenzia la “straordinaria necessità ed urgenza” di “attuare misure tese a rendere il Paese più sicuro e resiliente anche nel dominio digitale”. La vulnerabilità delle reti può “provocare il malfunzionamento o l’interruzione di funzioni essenziali dello Stato con potenziali gravi ripercussioni sui cittadini, sulle imprese e sulle pubbliche amministrazioni, sino a poter determinare un pregiudizio per la sicurezza nazionale”.

Un esempio del pericolo incombente, ricordato dall’agenzia di stampa ANSA, è l’attacco hacker – con richiesta di riscatto – che lo scorso maggio ha paralizzato uno dei più grandi gasdotti degli Stati Uniti.

“Abbiamo il 93-95% dei server della Pubblica amministrazione non in condizioni di sicurezza” ha detto Vittorio Colao, ministro per l’Innovazione tecnologica e la Transizione digitale. E il sottosegretario con delega all’Intelligence, Franco Gabrielli, ha riconosciuto che il Paese è fragile “per mancanza dei consapevolezza dei rischi, per un deficit di cultura su questi temi: purtroppo siamo molto in ritardo e dobbiamo camminare a passi molto svelti”.

Il principale cambiamento introdotto dal decreto è che non sarà più il DIS, cioè il dipartimento che coordina i servizi d’intelligence, il depositario della cyber security nazionale, ma la nuova agenzia che opererà sotto la responsabilità del Presidente del Consiglio e dell’Autorità delegata per la sicurezza della Repubblica (incarico ora ricoperto da prefetto Gabrielli – nella foto sotto) e in stretto raccordo con l’intelligence con un  direttore generale che resterà in carica per 4 anni rinnovabili una sola volta.

Il comunicato della Presidenza del Consiglio in data 10 giugno ha definito il perimetro operativo dell’ACN:

• esercitare le funzioni di Autorità nazionale in materia di cybersecurity, a tutela degli interessi nazionali e della resilienza dei servizi e delle funzioni essenziali dello Stato da minacce cibernetiche;
• sviluppare capacità nazionali di prevenzione, monitoraggio, rilevamento e mitigazione, per far fronte agli incidenti di sicurezza informatica e agli attacchi informatici, anche attraverso il Computer Security Incident Response Team (CSIRT) italiano e l’avvio operativo del Centro di valutazione e certificazione nazionale;
• contribuire all’innalzamento della sicurezza dei sistemi di Information and communications technology (ICT) dei soggetti inclusi nel perimetro di sicurezza nazionale cibernetica, delle pubbliche amministrazioni, degli operatori di servizi essenziali (OSE) e dei fornitori di servizi digitali (FSD);
• supportare lo sviluppo di competenze industriali, tecnologiche e scientifiche, promuovendo progetti per l’innovazione e lo sviluppo e mirando a stimolare nel contempo la crescita di una solida forza di lavoro nazionale nel campo della cybersecurity in un’ottica di autonomia strategica nazionale nel settore;
• assumere le funzioni di interlocutore unico nazionale per i soggetti pubblici e privati in materia di misure di sicurezza e attività ispettive negli ambiti del perimetro di sicurezza nazionale cibernetica, della sicurezza delle reti e dei sistemi informativi (direttiva NIS), e della sicurezza delle reti di comunicazione elettronica.

Col decreto viene istituito anche il Comitato interministeriale per la cybersicurezza (Cic), con funzioni di consulenza, proposta e deliberazione in materia. Organismo presieduto dal capo del governo e composto da ministri di Esteri, Interno, Giustizia, Difesa, Economia, Sviluppo economico, Transizione ecologica Università e ricerca e dal ministro delegato per l’Innovazione tecnologica.

L’Agenzia ha personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria. Coordinerà i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuoverà azioni comuni dirette ad assicurare la resilienza cibernetica per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni.

Nel decreto si cita anche l’obiettivo di conseguire “l’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore”.

Lo scopo è quindi creare strumenti cyber made in Italy e commercializzarli facendo crescere le aziende italiane del settore. Dall’’Agenzia dipenderà anche il Computer Security Incident Response Team (CSIRT), ora alle dipendenze del DIS con la denominazione di CSIRT-Italia.

Il personale dell’’Agenzia verrà in parte prelevato da altre amministrazioni pubbliche e in parte reclutato sul mercato con un trattamento economico equiparato a quello dei dipendenti della Banca d’Italia.

Per Ranieri Razzante, consigliere per la cybersecurity del sottosegretario alla Difesa Giorgio Mulè, professore di legislazione anti-riciclaggio all’Università di Bologna e direttore del Centro Ricerca Sicurezza e Terrorismo (Crst) la nuova agenzia costituisce “un cambio di approccio operativo e culturale”, un organismo che “ci pone all’avanguardia insieme ai principali paesi europei” e che difenderà “settori sensibili, imprese strategiche per la nostra difesa, infrastrutture critiche, sanità e ospedali” ma anche tutto il “mondo delle imprese che gestiscono i dati personali, le banche e il sistema finanziario.

Parliamo di mettere in sicurezza un sistema intero di gestione dei dati aziendali e personali che, una volta diffusi, possono creare danni sistemici”. L’Agenzia – ha spiegato Razzante all’Adnkronos – è un modello che “replichiamo sulla scorta di Germania, Francia, Romania, Inghilterra che hanno creato le loro strutture”. Un passo avanti “dal punto di vista culturale che ci pone all’avanguardia insieme ai principali Paesi che si sono strutturati in modo simile” e che arriva “dopo l’approvazione del parlamento europeo del Centro europeo per la cybersicurezza. Dunque siamo tempestivi, ci stiamo allineando all’Ue” aggiunge Razzante.

Un’esigenza legata anche al boom di attacchi cyber registrato, a livello mondiale negli ultimi anni. “Dai dati del parlamento europeo – osserva Razzante – nel 2019 sono stati 700 milioni in Europa, triplicati rispetto all’anno precedente.

Il costo annuale nel 2020 è stimato in 5.500 miliardi in Europa, il doppio rispetto alla stima fatta nel 2015″. Basti pensare, prosegue Razzante, che “secondo i dati del Rapporto Clusit nel mondo si è registrato il 12% di attacchi cyber in più nel 2020 rispetto al 2019. Nel 2020 i danni globali sono stati stimati in 3.400 miliardi di euro”.

Un altro dato interessante aggiornato al 2018 del sito Losspreventionmedia  riporta che nel mondo ogni 15 secondi c’è un tentativo di frode su carte credito, frode di dati, furti di identità. E 179 mln di persone hanno subìto un attacco sotto forma di furto e identità”. Come nel resto del mondo, preoccupano i dati anche in Italia dove, sottolinea Razzante, “in base al Rapporto Clusit si sono registrati 36 milioni di eventi sensibili nel corso del 2020 e 85mila attacchi su pc e telefonini rispetto al 2019. E 136 attacchi gravi al mese in Italia nel 2020”.

“Si tratta di “mettere in sicurezza un sistema intero di gestione dei dati aziendali e personali che, una volta diffusi, possono creare danni sistemici”. L’Agenzia farà anche formazione con la Cyber Defence Academy, “struttura di formazione delle risorse che farà da apripista per gli esperti di domani”.

(con fonti Presidenza del Consiglio, ANSA e Adnkronos)