Più aumenta la digitalizzazione di PA, delle aziende pubbliche e private inserite anche nel perimetro di sicurezza nazionale cibernetica, più aumenta la “superficie d’attacco”, ossia i target sensibili che ogni giorno, secondo dopo secondo, sono presi di mira da cyber gang o da gruppi strutturati spesso sponsorizzati da Stati, che considerano l’Italia un Paese ostile.

Il bollettino della cyberwarfare è ormai quasi quotidiano con i continui attacchi DDOS ai siti istituzionali e i cyber attacchi alle infrastrutture critiche e sensibili: per quanto riguarda quest’ultimi, la Polizia di Stato ha rilevato un aumento dal 4 al 10% dall’inizio del conflitto Russia-Ucraina (dati diffusi alla nostra Conferenza CyberSec2023).

Ed è in questo contesto geopolitico e di sicurezza nazionale che si inserisce la proposta di emendamento al decreto legge n. 13 per l’attuazione del PNRR e delle politiche di coesione, a firma del senatore Mario Borghese, dal titolo “Norme in materia di Cyber Resilienza degli elementi digitali previsti nei singoli interventi del PNRR e del PNC”. La Commissione Bilancio del Senato è impegnata con l’esame del disegno di legge di conversione ed il testo è atteso nell’Aula di Palazzo Madama il 4 aprile.

Ma, da ciò che si apprende informalmente, il Governo ha dato, nel merito, un parere contrario alla proposta di emendamento a firma Borghese del gruppo Cd’I-NM (UDC-CI-NcI-IaC) -MAIE. Ma Perché?

Ecco cosa prevede, in sintesi, la proposta:

Nel caso in cui un intervento previsto dal Piano Nazionale di Ripresa e Resilienza ovvero dal Piano Nazionale Complementare comporti l’acquisizione o la messa in funzione di almeno un elemento digitale, sia esso hardware o software, una quota non inferiore al 3% delle risorse disponibili per l’intervento stesso è destinata all’acquisizione di beni e servizi atti a garantire ovvero ad incrementare la sicurezza cibernetica degli elementi digitali dell’intervento stesso.

Alessandro Manfredini, presidente di AIPSA “Mantenere una quota di cybersecurity in tutto il ciclo di vita del software”

Ci sembra una proposta ragionevole e di buon senso, perché una quota di risorse per la cybersecurity dovrebbe essere destinata di default per garantire maggiormente la sicurezza informatica dei software e hardware che si acquistano. Anche perché, come ci ha spiegato Alessandro Manfredini, presidente di AIPSA (Associazione Italiana Professionisti Security Aziendale): “è importante mantenere una quota di cybersecurity in tutto il ciclo di vita del software, che è qualcosa di dinamico: quindi riservare una parte delle risorse per la cybersicurezza ai piani di patching”.

Pino Bicchielli, deputato di Noi Moderati: “Se proposta non accolta, è perché il Paese ancora non pronto culturalmente sulla cybersicurezza”

Pino Bicchielli, deputato dello stesso gruppo parlamentare di Mario Borghese, ha commentato così a Cybersecurity Italia il “no” del Governo alla proposta di emendamento: “È una nostra iniziativa, in quanto riteniamo sia fondamentale riservare una ‘quota cyber’ per ogni spesa del PNRR destinata all’acquisto di software e hardware. Lo abbiamo fatto, perché siamo un gruppo parlamentare molto attento alla cybersecurity. Infatti, abbiamo costituito sia il gruppo interparlamentare sulla sicurezza cibernetica, coordinato dall’on. Alessandro Colucci, e poi io stesso ho avanzato anche una proposta di legge per la costituzione di una Commissione bicamerale per affrontare in modo specifico le sfide sulla cybersicurezza con l’obiettivo di governarle”.

“La proposta di emendamento se non sarà accolta, ufficialmente”, ha spiegato dal canto suo Bicchielli, “sarà perché il sistema Paese ancora non è pronto culturalmente sulla cybersicurezza. Non si comprende ancora che qualsiasi device nella PA può essere usato, potenzialmente, come strumento di controllo o spionaggio da Stati ostili o come ‘cavallo di Troia’ da parte di attaccanti cyber, se non si prevede a monte la sicurezza cibernetica dei dispositivi digitali, garantita da aziende italiane-europee”. “La cybersecurity”, ha concluso, “è vista ancora dalla maggioranza del Paese come lontana da noi, ma ci riguarda da vicino, perché la maggioranza di noi italiani viviamo e lavoriamo anche in un modo digitalizzato”.

Con il PNRR aumenta la superficie d’attacco dell’Italia. Il Governo n’è consapevole?

Qualcuno potrà obiettare, sostenendo che nel PNRR sono già previsti 623 milioni di euro per la cybersicurezza. Ma queste risorse, già stanziate, sono in gran parte destinate all’avvio dell’attività dell’Agenzia per la Cybersicurezza Nazionale e ad alcuni primi interventi di acquisto di soluzioni di

Cybersicurezza per la PA, ma nulla è disposto per assicurare che gli elementi digitali degli altri interventi, previsti in tutte le missioni del PNRR e del Piano Nazionale Complementare, siano dotati di adeguate misure di protezione cibernetica.

Allora come realizzare i tanti progetti del PNRR e PNC di smart cities, sulle infrastrutture di ricarica di auto elettriche, sulla digitalizzazione delle reti idriche, sulla digitalizzazione dei porti se non si pensa, by default, e con quote ad hoc, alla loro sicurezza cibernetica?

Il Governo è consapevole che con la maggioranza dei progetti del PNRR si amplia enormemente la superficie d’attacco nei confronti del nostro Paese? Perché sono legati alla transizione digitale. E tutto ciò che è digitale è a rischio dal punto di vista della sicurezza cibernetica. E le PA, le nostre città, i Comuni e le infrastrutture, che erogano servizi essenziali saranno più vulnerabili ai cyber attacchi. Il “rischio zero non esiste”, ma lo si sente solo dagli esperti nei convegni di cybersecurity e questa cultura della cybersecurity e la consapevolezza del rischio cibernetico non sono ancora maturate in tutti i componenti del Governo e, soprattutto, in tutti i funzionari dei ministeri alle prese con il PNRR.

Ma non esiste innovazione tecnologica senza cybersecurity.

È come andare in guerra solo con un giubbotto antiproiettile: prima o poi si viene colpito…