Italia e cybersecurity: a che punto siamo?

Il cyberspazio sta assumendo una crescente importanza all’interno del dibattito politico italiano. L’analisi di Federica Nisticò e Arianna Prati (Cybersecurity consultant in Deloitte) per il nuovo quadrimestrale di Start Magazine

Il cyberspazio sta assumendo una crescente importanza all’interno del dibattito politico italiano a seguito di un aumento esponenziale del numero e tipo di minacce alle reti di informazione e comunicazione riscontrate negli ultimi anni, nonché della preoccupazione generale legata al quadro geopolitico causato dalla guerra Russo-Ucraina.

Tale centralità porta con sé connotazioni positive, come il progresso, la crescita degli investimenti e del mercato ma anche sfide, come la disinformazione e la difficoltà nell’adattarsi al mutamento costante del panorama delle minacce cibernetiche.

I dati sull’Italia

I dati sottolineano come gli attacchi cyber contro enti pubblici e privati, imprese e singoli cittadini, siano aumentati esponenzialmente negli ultimi anni, in termini di numeriche, complessità e gravità. In tale contesto, l’Italia non è mera spettatrice, ma protagonista in termini certamente non rassicuranti essendo vittima del 7,6% degli attacchi globali (a fronte del 3,4% del 2021).

La relazione del 2022 dell’indice di digitalizzazione dell’economia e della società (DESI) pone l’Italia al 18º posto fra i 27 Stati membri dell’Unione Europea. Tale indice, riassume gli indicatori sulle prestazioni digitali dell’Europa e tiene traccia dei progressi dei paesi dell’UE: considerando i risultati degli ultimi cinque anni, l’Italia sta avanzando a ritmi molto sostenuti. Cuore pulsante di quest’accelerazione ne è il piano nazionale di ripresa e resilienza (PNRR) il più cospicuo d’Europa: 191,5 miliardi di EUR dei quali il 25,1 % (48 miliardi di EUR) destinati alla transizione digitale.

Tra gli obiettivi di digitalizzazione perseguiti dal PNRR, il cui completamento è previsto per il 2024, vi è uno specifico programma di cybersecurity, di cui sono responsabili l’Agenzia Nazionale per la Cybersecurity (ACN) e il Dipartimento per la Transizione Digitale della Presidenza del Consiglio dei ministri.

Scorrendo la relazione DESI, anche i dati sul capitale umano non fanno ben sperare: l’Italia è terzultima per popolazione con competenze digitali almeno di base, e ultima per quota di laureati in ambito ICT sul totale della popolazione con una laurea.
In ambito di integrazione delle tecnologie digitali, l’Italia ricopre l’8º posto nell’UE, dato il livello base di intensità digitale raggiunto dalla maggior parte delle PMI italiane un buon 60 %, ben al di sopra della media UE del 55 %. Suddetti dati sono frutto della buona riuscita della Strategia Cloud Italia, realizzata dal Dipartimento per la trasformazione digitale e dall’ACN, la quale si pone come obiettivo la migrazione del 75 % delle pubbliche amministrazioni italiane al cloud entro il 2026.

L’Italia obiettivo degli attacchi

Prova della crescente politicità del cyber spazio, i massicci attacchi informatici, di tipo distributed denial of service (DDos) scagliati dai cyber criminali russi di NoName057 e Killnet che continuano a colpire obiettivi italiani. La tempistica non è casuale: in seguito alla visita del premier Meloni a Kiev, avvenuta lo scorso 23 febbraio, NoName057 ha reso indisponibili diversi siti online di enti pubblici: il sito dei Carabinieri (per un totale di 5 volte!), dei Ministeri della Difesa e Lavoro, l’Atac, l’Autorità dei Trasporti, la Corte costituzionale ed il Consiglio Superiore della Magistratura sono solo alcuni di essi.
L’attacco DDos non è di per sé preoccupante, l’inaccessibilità al sito colpito comporta di fatto alcuni disservizi per un tempo limitato, a preoccupare è la lentezza di implementazione delle contromisure (certamente non economiche) volte a prevenire tale tipologia di attacchi a danno delle infrastrutture critiche nazionali.

Le sfide dello spazio cyber gravano sulla giovane ACN, che sebbene rappresenti un attore fondamentale per le normative e i regolamenti italiani in materia di Sicurezza Nazionale Cibernetica, ha ancora molta strada da percorrere nell’affermarsi come punto di riferimento nazionale.

Differenze tra settore pubblico e privato

La spesa per cybersecurity sia nel settore pubblico, ma in particolare con importanti implicazioni per quello privato, segue uno strano paradigma che ne influenza il livello. Infatti, se pensiamo ad un piano cartesiano dove sull’asse delle X abbiamo il livello di spesa in sicurezza informatica e sull’asse delle Y il livello di sicurezza raggiunto, l’equazione e il grafico che ne derivano si definiscono asintotici verso più infinito. Questa semplice definizione matematica si può semplicemente tradurre in: servirebbe una spesa infinita in sicurezza per raggiungere il massimo livello possibile.

In Italia è certo che l’attenzione alla cybersecurity stia crescendo sia nel pubblico che nel privato: il governo italiano ha investito nel mercato un miliardo e ottocentocinquanta milioni. Un incremento del 18% rispetto al 2021, destinato ad aumentare nel corso del 2023.
Questi dati, a prima vista incoraggianti, non risultano all’altezza di quelli relativi agli altri paesi del G7, dove il nostro Paese si colloca ultimo per rapporto tra spesa in sicurezza informatica e PIL (0,10% contro i 0,31 di Regno Unito e USA).

Il settore privato ha maggiori margini di manovra rispetto a quello pubblico per quanto riguarda l’allocazione del budget interno destinato alla sicurezza informatica e la gestione della stessa. Inoltre, a differenza del settore pubblico, il settore privato ha la libertà di decidere se mantenere internamente la sicurezza o affidarla ad aziende terze. Questa libertà colora il panorama italiano di numerose aziende di consulenza che, attraverso il proprio business, diventano cardine del settore privato della cybersecurity.

Le più grandi aziende di consulenza contabile italiane, note come Big Four, hanno integrato la sicurezza informatica in tutti gli aspetti della consulenza strategica e operativa del loro business, arricchendo così il parco dei servizi offerti. Tuttavia, il panorama privato non è limitato alle sole quattro aziende prime per ricavi, ma è costituito da una vasta gamma di grandi e medie imprese di consulenza generalista e settoriale, che si sono specializzate nella cybersecurity come primo ramo di business. Inoltre, vi sono anche microimprese di consulenza altamente specializzate in settori specifici come l’energia, la comunicazione, la salute o in tecnologie come il Cloud, l’AI e l’IoT.

Il panorama normativo italiano

In quanto Stato membro dell’UE, l’Italia è vincolata dagli strumenti comunitari in materia di cybersecurity e protezione dei dati, nonché all’adozione di Regolamenti e Direttive Europee tramite legge nazionale, come visto precedentemente. Di questi la direttiva NIS 2 e il Regolamento DORA risultano essere i più recenti, pubblicati nel gennaio 2023, volti all’ampliamento del panorama normativo europeo.

Una delle leggi Italiane più importanti è sicuramente il Decreto Legislativo 101/2018, adottato per allinearsi all’entrata in vigore del Regolamento generale sulla protezione dei dati dell’UE (2016/679) detto anche GDPR, che ha modificato drasticamente la vecchia sulla privacy dei dati italiana.

Un caso conosciuto ed eclatante riguardante la violazione del GDPR, è stata l’incriminazione di Facebook, a pochi mesi di distanza dall’entrata in vigore del regolamento. Infatti, la Corte Distrettuale di Berlino, ha condannato Facebook per la violazione della normativa nazionale in materia di protezione dei dati personali e delle disposizioni a tutela dei consumatori.

Un passo avanti rilevante e decisivo per affrontare la cybersecurity in Italia e definirne una chiara linea strategica, è stata la pubblicazione del Regolamento sul Perimetro Nazionale di Sicurezza Cibernetica, pubblicato sulla Gazzetta Ufficiale 261 del 21 ottobre 2020. L’obiettivo è quello di garantire la sicurezza delle reti, dei sistemi e servizi ICT delle pubbliche amministrazioni, degli enti pubblici e privati e degli operatori con sede nel territorio nazionale da cui dipende l’esercizio di una funzione essenziale dello Stato o la fornitura di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato.

Non esistono best practice, framework o standard di settore sulla cybersecurity sviluppati in Italia; tuttavia, è importante ricordare che, da un punto di vista strategico, la strategia Cloud emanata dal governo italiano è chiaro segnale nella rotta presa dalla nazione in materia cyber.

Staremo a vedere inoltre, come il governo italiano intenderà recepire la Direttiva NIS 2, e come gli istituti operanti nel settore finanziario e amministrativo si allineeranno alla neo-emessa DORA.

Conclusioni

La legislazione italiana che regola la cybersecurity e la privacy dei dati ha fatto e farà enormi passi avanti dovendo adeguarsi alle regolamentazioni e direttive Europee come il regolamento DORA e la direttiva NIS2. Tuttavia, ad oggi il panorama non è completo, sia a causa della mancanza di un framework comune europeo, sia per la mancanza di legislazioni specifiche in materia di nuove tecnologie, come ad esempio le Intelligenze Artificiali e l’IoT, destinati a un uso crescente in tutte le infrastrutture critiche nazionali.

Caso eclatante sicuramente è stato quello della temporanea chiusura di ChatGPT, generatore di testo mediante intelligenza artificiale, per una probabile violazione del GDPR. Ad oggi è di nuovo possibile l’utilizzo di ChatGBT all’interno del nostro Paese, ma rimane ad oggi aperto l’interrogativo su come colmare il gap legislativo sulla privacy creatosi con l’avvento delle nuove tecnologie di Intelligenza Artificiale.

Nonostante gli investimenti nella cyber security siano destinati ad aumentare nel corso del 2023 è evidente la necessità di un organo governativo specializzato che promuova la cyber security in modo efficace e coordinato, soprattutto in un momento in cui il tema sembra essere stato trascurato dai programmi politici delle elezioni italiane del settembre 2022. L’ACN, dovrebbe così essere il cardine della cybersecurity italiana, promuovendo l’informazione e l’awareness sul tema e contrastando la disinformazione presente nei media.

Inoltre, il governo italiano dovrebbe investire nella promozione dell’awareness sulla cybersecurity, ad esempio introducendo la materia nelle scuole e aumentando i programmi di formazione sul tema. In questo modo, si ridurrebbe il gap presente a livello europeo in termini di competenze tecniche e di formazione nel settore della cybersecurity, auspicando alla creazione di una cultura comune della sicurezza informatica che sia condivisa da tutti i cittadini e dalle aziende del nostro Paese.

Il PNRR rappresenta un elemento fondamentale per la trasformazione digitale italiana, ma non è sufficiente per garantire un’adeguata sicurezza informatica a lungo termine. È necessario continuare a investire in tecnologie avanzate, adeguatamente regolamentate, e ad aggiornare costantemente i sistemi informatici, al fine di contrastare le sempre più sofisticate minacce cibernetiche.