“Bisogna correre”. È quanto ha detto il sottosegretario Franco Gabrielli, a capo dell’autorità delegata del governo per la Sicurezza repubblicana, in un’intervista a Repubblica parlando dell’Agenzia per la cybersicurezza nazionale e anche a proposito del recente attacco subito dai sistemi informatici della Regione Lazio (leggi l’articolo).
“Due Paesi come la Germania e la Francia – ha detto ancora Gabrielli – si sono dotati di un’Autorità nazionale di resilienza cybernetica già da molto tempo la Germania nel 1991, la Francia nel 2009. Noi arriviamo trafelati a questo 2021, con, lo dice il ministro Colao, un 95% di server della Pubblica Amministrazione non affidabili e la prospettiva di 1 trilione di dispositivi digitali attivi sul pianeta entro il 2030. Siamo già immersi nell’intelligenza artificiale e nella dimensione digitale delle cose. Ecco perché dico che dobbiamo correre. E la nascita dell’Agenzia è l’inizio di questa corsa”.
Perché questo ritardo? “Ci si è impantanati in un dibattito decennale – risponde Gabrielli – che immaginava la cybersicurezza inserita all’interno del perimetro della nostra Intelligence il che, per certi aspetti, era anche comprensibile. Il ragionamento, per molto tempo, è stato quello di immaginare che il contesto delle agenzie di Intelligence avrebbe consentito capacità e tempi di sviluppo di un’Agenzia ‘civile’ per la cybersicurezza più rapidi. Un po’ come accade con le start-up”.
“Nel mondo della cosiddetta “safety” – e parlo con cognizione di causa avendo trascorso una parte della mia vita professionale nella Protezione civile – i parametri di sicurezza si misurano su tre indicatori di rischio: la pericolosità, l’esposizione, la vulnerabilità. Prendiamo ora la minaccia Cyber. È evidente – ha sottolineato ancora Gabrielli – che i parametri di pericolosità ed esposizione, proprio per quello che dicevo prima, non solo non potranno essere ridotti in futuro, ma cresceranno esponenzialmente, a prescindere dalle iniziative che qualsiasi Paese o soggetto privato potrà assumere. Dunque, c’è un solo parametro su cui possiamo agire: quello della vulnerabilità. Ecco, l’Agenzia per la cybersicurezza nazionale dovrà fare in modo che le nostre pubbliche amministrazioni, le nostre imprese, le nostre infrastrutture strategiche, diciamo pure il nostro “Sistema Paese” riduca il suo grado di vulnerabilità”.