di Stefano Sansonetti
Una strategia a tre teste, ma al momento con pochi spiccioli a disposizione. Mentre impazza lo scandalo Facebook, con una valanga di dati di utenti utilizzati a fini politici dalla società Cambridge Analytica, sul più vasto tema della cyber security l’Italia sta cercando di approntare la sua risposta. Il tutto in attuazione di una direttiva Ue di cui si discute da anni, quella sulla “sicurezza delle reti e dei sistemi informativi”. Uno degli ultimi atti del Governo guidato da Paolo Gentiloni è stato proprio la predisposizione di un decreto legislativo di attuazione del provvedimento europeo, che paradossalmente giace inerme proprio in queste ore presso le competenti commissioni di Camera e Senato. In attesa che un Parlamento operativo possa dare i relativi pareri (in teoria la scadenza è prevista per il 2 aprile), è interessante andare a leggere lo schema che da qui alla fine del 2018 dovrà prendere corpo. La strategia prevede tre nuclei di controllo sulla sicurezza di reti e sistemi informatici. Si parte con la definizione delle cosiddette Autorità Nis (Network and Information Security), deputate all’applicazione delle nuove norme. Il decreto italiano, suddividendole in settori di competenza, le identifica in cinque ministeri: Sviluppo economico (competente per energia, gas, petrolio e servizi digitali), Infrastrutture (aerei, ferrovie e vie d’acqua), Economia (banche e mercati finanziari), Salute (operatori di assistenza sanitaria) e Ambiente (operatori della distribuzione dell’acqua pubblica). Ebbene, l’articolo 10 del decreto legislativo stabilisce che entro il 9 novembre del 2018 questi cinque Ministeri (come detto nella veste di autentiche Autorità di controllo) dovranno identificare per ciascun settore di competenza “gli operatori di servizi essenziali con sede sul territorio nazionale”. L’operazione è necessaria all’istituzione, presso il Ministero dello Sviluppo, di un elenco di operatori di servizi essenziali, da aggiornare ogni due anni. A facilitare l’identikit di questi operatori è un allegato al decreto, dal quale si desume che tutte le società come Eni, Enel, Terna, Snam, Ferrovie, aziende di trasporto areo, Autorità portuali, banche, ospedali (pubblici o privati) dovranno essere inserite nell’elenco. Accanto a esse ci dovranno essere anche operatori di “mercato on line” (leggasi Amazon), “motori di ricerca” (Google) e servizi di cloud computing (qui si fa un riferimento alla Sogei, la società informatica del Tesoro). Insomma, nella lista dovranno esserci tutte realtà che operano sulla base di reti e sistemi informatici. L’altra testa dello schema è la costituzione di un nuovo organismo presso la Presidenza del Consiglio, ovvero il Csirt (Computer security incident response team). Si tratta, precisano le relazioni tecniche, di una “struttura tecnico-operativa di prevenzione e trattamento degli incidenti informatici”. L’articolo 8 del decreto spiega che potrà essere composto al massimo da 30 membri, 15 dei quali scelti tra i dipendenti della Pa (in comando o fuori ruolo) e 15 provenienti dall’esterno. Il Csirt, che erediterà funzioni simili a quelle svolte dagli attuali Cert, è un po’ il cuore del meccanismo. A questo team, infatti, tutti gli operatori registrati nell’elenco dello Sviluppo economico dovranno far pervenire, “senza ingiustificato ritardo”, le segnalazioni di incidenti aventi un impatto rilevante. La terza gamba del meccanismo, nel ruolo di coordinamento con le altre Autorità europee, c’è il cosiddetto “punto di contatto unico”, che il decreto identifica nel Dis, ovvero il Dipartimento che coordina i nostri servizi segreti. Insomma, come si vede il piano è particolarmente elaborato.
A CORTO DI DENARO
Semmai a far riflettere è l’esiguità delle risorse messe in campo per sostenerlo. Gli oneri per far fronte all’attività delle Autorità Nis (i cinque ministeri) e del Csirt (il team di reazione e gestione degli incidenti informatici) vengono fissate in 5 milioni di euro nel 2018, che poi scendono a 3 milioni l’anno a partire dal 2019. Così come esile appare l’apparato sanzionatorio che dovrebbe convincere gli operatori iscritti nell’elenco dello Sviluppo a collaborare puntualmente con lo stesso Csirt. L’articolo 21 del decreto, a seconda del tipo di mancanza accertata, delinea multe che vanno da un minimo di 12mila a un massimo di 120mila euro, oppure da un minimo di 25mila a un massimo di 125mila euro. Non proprio un “siluro” per i colossi energetici o digitali. Ma i numeri sono modesti soprattutto se si considera che in Italia, nel 2017, oltre 16 milioni di utenti della rete sono “caduti in trappole informatiche” con conseguenti perdite economiche per circa 3,5 miliardi di euro (come ha rivelato il “2017 Norton Cyber Security lnsight Report”). Da segnalare, infine, che il decreto non si applica alle società di telecomunicazioni, che rientrano nei controlli previsti dal Codice delle comunicazioni elettroniche.