La Gazzetta Ufficiale del 4 agosto 2021 presenta il testo del decreto-legge 14 giugno 2021, n. 82 coordinato con la legge di conversione 4 agosto 2021, n. 109, recante: «Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cyber sicurezza nazionale».
Alcune osservazioni si impongono immediatamente, seppure esterne all’apparato normativo.
Colpisce, infatti, la sincronia (junghiana) tra pubblicazione della legge n. 109/21 e l’attacco che si è verificato in danno della regione Lazio.
Come dire: non abbiamo fatto in tempo a realizzare una completa innovazione informatizzata della P.A. che già ci è presentato il conto salato (in criptovaluta[1]), da parte dei nuovi pirati informatici.
Connessa è la percezione che la cybersicurezza ha un contesto naturalmente extranazionale, globale, dove i sequestratori di siti non sono criminali di genuina estrazione nazionale, ben radicati in una individuabile area geografica, ma eterei criminali che abitano un luogo indefinito, per convenzione chiamato “dark web”.
Internazionale è anche la risposta: al server della Regione Lazio sta lavorando quella stessa equipe americana che ha fronteggiato l’attacco al mega oleodotto Colonial Pipeline che serve molti Stati nord americani: equipe che si è impegnata anche alla riduzione dell’importo del cripto-riscatto richiesto.
Sempre di matrice americana è, inoltre, il Virtual Tape Library (VTL) che ha “salvato” la Regione in quanto programma acquistato nel 2019 e contenente (pare) up backup dei dati sanitari laziali.
Extra nazionale, almeno europea, è – in parallelo – la risposta che appare necessaria.
Il ministro Colao, al recente summit di Trieste, si è espresso nel senso della auspicabilità di un cloud comunitario, in cui custodire i dati pubblici. Secondo il ministro, “La dimensione piccola non aiuta”, e l’Italia ripone fondate attese nel cloud europeo “Gaia-X”.
Venendo al testo in commento, l’art. 1 fornisce un rilevante “vocabolario”, indispensabile per orientarsi nella cyber materia.
Dall’art. iniziale, (lett. a) apprendiamo la definizione stessa di cybersicurezza, quale l’insieme delle attività necessarie per proteggere dalle minacce informatiche reti, sistemi informativi, servizi informatici e comunicazioni elettroniche, assicurandone la disponibilità, la confidenzialità e l’integrità e garantendone la resilienza, anche ai fini della tutela della sicurezza nazionale e dell’interesse nazionale nello spazio cibernetico.
Per resilenza nazionale, nello spazio cibernetico, si intende le attività volte a prevenire un pregiudizio per la sicurezza nazionale[2].
Il tema – già nel lessico – è, all’evidenza, collegato al PNRR.
Basta qui ricordare che la “missione n. 1” del PNRR ha come obiettivo generalizzato quello di dare un impulso decisivo al rilancio della competitività, investendo, con ampi settori di intervento, in primo luogo, sulla digitalizzazione e modernizzazione della pubblica amministrazione[3].
Gli artt. 2 e seguenti delineano la “catena” di comando, al cui vertice si colloca il Presidente del Consiglio, cui spetta (ex multis) “in via esclusiva” “l’alta direzione e la responsabilità generale delle politiche di cybersicurezza” e “l’adozione della strategia nazionale di cybersicurezza, sentito il Comitato interministeriale per la cybersicurezza (CIC)”.
Di assoluta attualità, per la predetta emergenza, è, infine, l’art. 10 in tema di “Gestione delle crisi che coinvolgono aspetti di cybersicurezza”.
In sintesi, è previsto che il Nucleo per la cybersicurezza – articolazione della Agenzia per la cybersicurezza nazionale, istituita ex art. 5 istituita, «a tutela degli interessi nazionali nel campo della cybersicurezza» – gestisca la crisi, assicurando che le attività di reazione e stabilizzazione di competenza delle diverse amministrazioni ed enti rispetto a situazioni di crisi di natura cibernetica vengano espletate in maniera coordinata, mantenendo costantemente informato il Presidente del Consiglio dei ministri, assicurando il coordinamento per l’attuazione a livello interministeriale delle determinazioni del Presidente del Consiglio dei ministri per il superamento della crisi, raccogliendo tutti i dati relativi, elaborando rapporti e fornendo informazioni sulla crisi e trasmettendoli ai soggetti pubblici e privati interessati, partecipando ai meccanismi europei di gestione delle crisi cibernetiche, assicurando altresì i collegamenti finalizzati alla gestione della crisi con gli omologhi organismi di altri Stati, della NATO, dell’Unione europea o di organizzazioni internazionali di cui l’Italia fa parte.
Un ultimo (si fa per dire), peculiare quesito: vale stabilire una connessione fra cyber attacchi e smartworking?
I dati, rispetto a quanto si potrebbe intuitivamente ritenere, sono in controtendenza, nel senso che si è registrata, da parte della Associazione Italiana per la sicurezza informatica (Clusit), una «netta flessione rispetto all’anno prima»[4], flessione iniziata proprio dopo il primo trimestre del 2020, in corrispondenza con il lockdown e la remotizzazione del lavoro.
Articolo a cura di Diotima Pagano
Per approfondire:
[1]“Perché il riscatto viene chiesto in bitcoin? Essendo una moneta virtuale, un codice alfanumerico che qualsiasi agenzia di cambio di criptovalute può convertire in denaro, è molto difficile da tracciare. Specie poi se il conto dove versare la cifra richiesta è in qualche paradiso fiscale, dal quale poi viene subito spostata su altri conti fino a sparire senza lasciare tracce.” – Un incubo di nome ransomware E non sempre basta pagare di J.D’Alessandro su La Repubblica del 3 agosto 2021
[2] Come definito dall’articolo 1, comma 1, lettera f), del regolamento di cui al decreto del Presidente del Consiglio dei ministri 30 luglio 2020, n. 131.
[3] Cfr., Schede di lettura del piano nazionale di ripresa e resilenza, Dossier del 31 luglio 2021 del Parlamento italiano, pg. 20 e seg.
[4] Cfr, J. D’Alessandro, “Cyber attacchi? Grazie allo smartworking sono calati”, in A&F, 9 agosto 2021 pg. 23
