Direttore Generale Agenzia Cybersicurezza Nazionale
Condividi
Intervista di Giorgio Marasco
Anche il crimine organizzato ha ammodernato i suoi strumenti tipici e le sue prospettive. Che ruolo giocano le mafie nelle minacce cibernetiche? Cosa gli interessa ottenere?
La rivoluzione digitale, con tutto il suo bagaglio di innovazioni e promesse, ha trasformato profondamente le nostre società, spesso con portata e modi imprevedibili. Da un lato, questa rapida digitalizzazione ha messo a disposizione di tutti una moltitudine di servizi e possibilità, inimmaginabili fino al secolo scorso; dall’altro, ha accresciuto esponenzialmente la complessità e la rilevanza della sicurezza, ampliando lo spettro del rischio e aprendo la strada ad altrettanto numerose minacce e forme di utilizzo “deviate” dei nuovi strumenti.
Il rischio di un utilizzo deviato e malevolo delle straordinarie potenzialità offerte dal cyberspazio, ancor più con il progressivo diffondersi delle nuove ed emergenti tecnologie (IoT, 5G, quantum computing e, non da ultimo, intelligenza artificiale) è quotidiano e concreto. Le motivazioni che alimentano tali forme di sfruttamento illecito di servizi e sistemi informatici sono le più disparate, ma, almeno nel caso della criminalità organizzata (e non solo), la principale ragione è certamente il profitto economico. Un attacco cyber andato a buon fine, infatti, presenta numerosi vantaggi per l’attaccante: uno su tutti, l’invertito rapporto costi-benefici rispetto a forme più “tradizionali” di criminalità, dovuto alla complessità, quando non alla completa impossibilità di attribuzione dell’attacco (e, conseguentemente, di perseguibilità degli autori dell’illecito), al relativamente basso costo, soprattutto nel caso di errori umani o vulnerabilità note, e al comparativamente elevatissimo beneficio che l’attaccante può trarre, ad esempio chiedendo un “riscatto” per la decrittazione dei dati della vittima (come nel caso dei ransomware) ovvero riuscendo a trafugare credenziali bancarie o a dati particolarmente sensibili. Tuttavia, la minaccia cibernetica non si presenta soltanto come opera di cybercriminali – sempre più spesso aggregati in vere e proprie “cyber gang”, quando non addirittura propaggini o “spin off” di organizzazioni malavitose organizzate, radicate anche nello spazio fisico, sul territorio –, ma anche come più esteso e variegato fenomeno, che va dall’attivismo politico (c.d. hacktivism), allo spionaggio industriale, passando per l’azione malevola di attori statuali ostili, che sfruttano software non aggiornati o non correttamente configurati o, più spesso, errori umani, per condurre attacchi cyber ai danni di individui, società ed enti pubblici.
Quale è il ruolo dell’ACN nella lotta al crimine organizzato e al terrorismo?
Il d.l. n. 82/2021, con l’istituzione dell’ACN e il rinnovamento dell’Architettura nazionale di cybersicurezza, ha dotato il Paese di uno strumento di tutela della cybersicurezza e della resilienza nazionale nello spazio cibernetico in linea con i più avanzati standard internazionali. L’ACN, in quanto Autorità nazionale per la cybersicurezza, assicura – nel rispetto delle competenze attribuite dalla normativa vigente alle altre Amministrazioni – il coordinamento tra i diversi soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale e promuove la realizzazione di azioni comuni dirette ad assicurare la cybersicurezza e la resilienza nazionale nello spazio cibernetico per lo sviluppo della digitalizzazione sicura del Paese, del sistema produttivo e della PA. In quest’ottica, l’ACN ha sin dalla prima operatività instaurato uno stretto rapporto di collaborazione con il Dipartimento della Pubblica Sicurezza e, in particolare, con la Polizia Postale, con cui il CSIRT dell’Agenzia opera in stretto raccordo in occasione di eventi di natura cibernetica. Tale collaborazione è anche disciplinata dalla normativa di settore in ambito cyber in modo tale da favorire lo svolgimento delle funzioni proprie della Polizia Postale in materia di prevenzione e repressione dei reati, considerati i molteplici punti di contatto tra ACN e Dipartimento in caso di incidenti cyber. La collaborazione tra la Polizia di Stato e l’Agenzia è infatti solida ed efficace, tanto sul piano della regolazione e pianificazione – ad esempio, tramite il prezioso strumentario offerto dalla Strategia Nazionale di Cybersicurezza 2022-2026 e dal relativo Piano di Implementazione – quanto su quello più strettamente operativo.
La guerra “ibrida” legata al conflitto russo-ucraino ha riportato al centro dell’attenzione l’importanza per gli Stati di raggiungere una piena autonomia tecnologica a tutela degli interessi nazionali. Quanto è importante questo aspetto per il nostro Paese? A che punto è l’Italia?
Lo spazio cibernetico si è trasformato in un vero e proprio terreno di competizione strategica, interessato anch’esso, quindi, da una sempre più evidente trasposizione di logiche competitive. Questa nuova dimensione della competizione internazionale, conseguentemente, tende a ridisegnare anche le catene del valore lungo le principali faglie di divisione geopolitica. Il controllo effettivo sulle principali catene di approvvigionamento e sugli snodi commerciali strategici, la disponibilità di materie prime essenziali per lo stesso sviluppo di prodotti ad alta tecnologia, ovvero la capacità di produzione di particolari componenti ad alto tasso tecnologico sono componenti ineludibili nella considerazione del più generale quadro delle minacce a cui un Paese può essere esposto in questo nuovo scenario internazionale, che, purtroppo, appare sempre più teso e fragile. In questo ambito, l’Italia si è posta l’ambizioso obiettivo di promuovere e rafforzare ulteriormente la propria autonomia strategica e tecnologica. Una autonomia che, naturalmente, va declinata nel più ampio quadro dell’Unione europea e delle principali alleanze e partenariati di cui il nostro Paese fa parte. Non è infatti un caso che, tra le modifiche introdotte dalla c.d. direttiva NIS2, entrata in vigore il 16 gennaio 2023, figuri proprio l’estensione dell’ambito di applicazione anche alle catene di approvvigionamento, riconoscendo così il fatto, anche a livello normativo, che la sicurezza di un’organizzazione non è mai del tutto separabile da quella dei suoi fornitori. La costituzione dell’ACN e il rinnovamento dell’architettura nazionale di cybersicurezza rientrano a pieno titolo tra gli strumenti messi in campo dall’Italia per rispondere, tra le altre, alla cruciale sfida posta dal rischio tecnologico e dalle dipendenze da catene di approvvigionamento condizionate o completamente in mano ad attori potenzialmente ostili o non sempre del tutto affidabili. Nella medesima direzione si colloca l’introduzione dell’articolo 29 del decreto-legge n. 21/2022, il quale ha previsto che, al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle pubbliche amministrazioni derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti (appartenenti a determinate categorie) in conseguenza della crisi in Ucraina, nonché al fine di prevenire possibili pregiudizi per la sicurezza nazionale nello spazio cibernetico, le medesime amministrazioni debbano tempestivamente procedere alla diversificazione dei prodotti in uso. Le categorie di prodotti e servizi oggetto della sopracitata previsione – ovvero rientranti tra quelle volte ad assicurare funzioni di sicurezza dei dispositivi (“endpoint security”), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR), e di “web application firewall” (WAF) – e le relative aziende produttrici o fornitrici sono indicate da un’apposita circolare adottata dall’ACN, che è stata pubblicata in Gazzetta Ufficiale il 21 aprile 2022.
In un’epoca dove tutti noi viviamo in rete e il processo di trasformazione digitale coinvolge sempre più rapidamente il settore pubblico e privato, l’Italia ha un adeguato sistema di difesa dagli attacchi cyber? Quale è il grado di maturità della sicurezza cibernetica del nostro Paese?
Nell’ambito delle sue funzioni istituzionali, l’Agenzia svolge continuamente un’attività di analisi degli eventi e degli incidenti di cybersicurezza, in particolare attraverso le sue articolazioni tecnico-operative, CSIRT Italia in testa. Ciò è cruciale per potersi orientare tra le numerose stime su numeri e caratteristiche dei cyber-attacchi diffuse da diversi operatori e ottenere un quadro chiaro dello stato dell’arte della minaccia informatica. Per fare un esempio, nel corso del 2022 – come riassunto nella Relazione annuale al Parlamento sulle attività svolte da ACN – il CSIRT Italia ha trattato oltre 1.000 eventi cyber, 126 dei quali hanno avuto un impatto confermato dalla vittima, configurandosi così come incidenti informatici. In questo campo, analisi e infosharing sono fondamentali. A tale riguardo, cito tre importanti Servizi nazionali cyber cui l’Agenzia sta lavorando per elevare la resilienza cyber dell’intero Paese: l’HyperSoc nazionale, volto ad assicurare servizi di monitoraggio della constituency e delle minacce cyber d’interesse; l’Information Sharing and Analysis Center (ISAC Italia), un servizio dell’ACN per la diffusione capillare di informazioni sul rischio cyber a tutta la constituency, attraverso portali e spazi di collaborazione; il CERT Network, una rete di CERT territoriali, federati con CSIRT Italia e allineati a metodologie e standard condivisi con quest’ultimo. Inoltre, in ambito PNRR, l’Agenzia è attivamente impegnata per elevare la postura di cybersicurezza del settore pubblico. In tale contesto, l’ACN, grazie ad una virtuosa sinergia istituzionale con le amministrazioni interessate, ha potuto rilevare lo stato di maturità di alcuni Organi costituzionali, a rilievo costituzionale, Pubbliche Amministrazioni Centrali (PAC) e Pubbliche Amministrazioni Locali (PAL). Da tale analisi congiunta, ne sono emerse specifiche opportunità di miglioramento che includono sia modifiche di tipo organizzativo, come quelle volte alla razionalizzazione dei modelli di governance o alla standardizzazione di processi per la risposta agli incidenti informatici, sia di tipo tecnologico, per esempio quelli volti alla gestione automatizzata degli asset aziendali. Occorre ricordare anche i finanziamenti stanziati dalla legge di bilancio 2023 al fine di dare attuazione alla Strategia Nazionale, la cui implementazione è affidata all’ACN. La norma istituisce il “Fondo per l’attuazione della Strategia nazionale di cybersicurezza”, destinato a finanziare gli investimenti volti al conseguimento dell’autonomia tecnologica in ambito digitale e l’innalzamento dei livelli di cybersicurezza dei sistemi informativi nazionali, e il “Fondo per la gestione della cybersicurezza”, destinato a finanziare le attività di gestione operativa dei suddetti progetti di investimento. Attualmente, con il dPCM adottato il 9 agosto 2023, sono stati già ripartiti circa 66,7 milioni di euro.
Dal punto di vista strategico nazionale, quanto è indispensabile educare i cittadini all’uso corretto degli strumenti informatici?
Tra le priorità dell’ACN la formazione, la consapevolezza e, più in generale, la diffusione di una cultura della cybersicurezza a tutti i livelli occupano una posizione di assoluto rilievo. A conferma di ciò, basti ricordare come già il decreto istitutivo attribuisca all’Agenzia specifiche competenze in materia di formazione e awareness. In questa prospettiva si pone anche la più volte citata Strategia Nazionale, che fissa tra i propri obiettivi anche quello di consolidare e accrescere il livello complessivo di capacità, competenze e consapevolezza in ambito cyber. Obiettivi declinati operativamente nel Piano di Implementazione, che prevede, alla misura #59, di “potenziare lo sviluppo di percorsi formativi dedicati con diversi livelli di specializzazione in cybersecurity […]” e alla misura #72, di “promuovere l’educazione digitale, comprensiva di aspetti di sicurezza cibernetica, per tutti i livelli di istruzione scolastica […]”. In aggiunta alle iniziative di cui l’ACN sarà titolare, l’Agenzia potrà collaborare con i soggetti responsabili della gestione dei progetti di awareness e formazione per bambini e ragazzi alla realizzazione della misura #73 del richiamato Piano di Implementazione, che prevede di “predisporre e implementare un’autonoma strategia nazionale, con relativo piano d’azione, dedicata alla protezione online dei minori dai crimini informatici […]”.
Che ruolo gioca il contrasto alla disinformazione per la sicurezza del nostro Paese?
La disinformazione, come ha reso evidente la proliferazione di fake news legata allo scoppio della guerra in Ucraina, rappresenta una grave minaccia per le democrazie. Queste ultime, infatti, dipendono dal corretto svolgimento di libere elezioni le quali, a loro volta, non possono prescindere da una corretta e libera informazione. In questo senso, appare chiaramente come la disinformazione, incidendo direttamente il cuore della democrazia, rischia di minarne alle fondamenta il normale funzionamento. La diffusione delle c.d. fake news genera confusione nell’elettorato, che non sapendo quando credere o meno ad una notizia, finirà per non credere più a nulla o, peggio, finirà per credere a tutto. Consapevole di ciò, la Strategia Nazionale affronta direttamente il problema, dedicando al contrasto alla disinformazione una specifica misura del Piano di Implementazione. La misura #24, la cui responsabilità è affidata congiuntamente a Dipartimento per l’informazione e l’editoria-DIE della Presidenza del Consiglio dei Ministri e DIS, ha infatti l’obiettivo di “implementare un’azione di coordinamento nazionale, coerente con le iniziative adottate a livello europeo e in sinergia con i Paesi like-minded, per prevenire e contrastare – anche attraverso campagne informative – la disinformazione online che, sfruttando le caratteristiche del dominio cibernetico, mira a condizionare/influenzare processi politici, economici e sociali del Paese”. In tale ottica, con il sopracitato dPCM di ripartizione dei fondi sono stati assegnati 1,9 milioni di euro al DIE, che impiegherà tali risorse per la realizzazione di studi per l’approfondimento della conoscenza del fenomeno delle fake news online, e per la realizzazione di una campagna di sensibilizzazione rivolta ai cittadini per il contrasto alla disinformazione online. In questo contesto, l’ACN, anche grazie alla propria ordinaria attività a tutela della cybersicurezza e della resilienza nazionale nello spazio cibernetico, che le consente di trattare un pregevole patrimonio informativo circa minacce ed eventi cyber, può certamente contribuire ad evidenziare eventuali pattern riconducibili a più estese campagne di disinformazione online.
