“Bisogna correre”. Ne è convinto Franco Gabrielli, sottosegretario alla Presidenza del Consiglio (Autorità delegata per la sicurezza della Repubblica), che in un’intervista a la Repubblica, a pochi giorni dal via libera definitiva del Parlamento all’istituzione dell’Agenzia per la cybersicurezza nazionale (Acn), ricorda che “due Paesi come la Germania e la Francia si sono dotati di un’Autorità nazionale di resilienza cybernetica già da molto tempo. La Germania nel 1991, la Francia nel 2009. Noi arriviamo trafelati a questo 2021, con, lo dice il ministro Colao, un 95 per cento di server della pubblica amministrazione non affidabili e la prospettiva di 1 trilione di dispositivi digitali attivi sul pianeta entro il 2030. Siamo già immersi nell’intelligenza artificiale e nella dimensione digitale delle cose. Ecco perché dico che dobbiamo correre. E la nascita dell’Agenzia è l’inizio di questa corsa”. A chi gli chiede le ragioni di questo ritardo, Gabrielli risponde così: “Ci si è impantanati in un dibattito decennale che immaginava la cybersicurezza inserita all’interno del perimetro della nostra Intelligence. Il che, per certi aspetti, era anche comprensibile. Il ragionamento, per molto tempo, è stato quello di immaginare che il contesto delle agenzie di Intelligence avrebbe consentito capacità e tempi di sviluppo di un’Agenzia “civile” per la cybersicurezza più rapidi. Un po’ come accade con le start-up. Molti forse ricorderanno, durante il governo Renzi, l’idea dello “Zar per la cybersicurezza”. E tutti ricordano certamente l’idea di Conte di una Fondazione incardinata nel perimetro del Dipartimento per le Informazioni e la Sicurezza, che è organo di vertice e coordinamento delle nostre agenzie operative di intelligence”. “Quella scelta – prosegue Gabrielli – ha fatto sì che, per anni, mentre l’Europa ci chiedeva un interlocutore certo, definito e unitario sui temi della cybersicurezza, noi abbiamo avuto 23 soggetti competenti che interloquivano su quella materia. E che mentre Paesi come Francia e Germania si dotavano di agenzie con non meno di 1.000 addetti, noi non siamo andati al di là di 50 validi operatori al Dis e la promessa assunzione di 70 ingegneri informatici al Mise, mai arrivati”. Da qui l’esigenza di un cambio di passo. “Abbiamo fatto una scelta chiara che vede quella che abbiamo battezzato “resilienza cybernetica” – e dunque le strutture, le professionalità, la formazione necessarie a dotare il Paese di un’autonomia tecnologica che le consenta di raggiungere livelli di produzione hardware e software che ci rendano competitivi nello scenario internazionale – in capo a un soggetto pubblico, l’Agenzia per la cybersicurezza nazionale. Che si muoverà sotto la guida della Presidenza del Consiglio, che dialogherà con tutte le pubbliche amministrazioni e i soggetti privati destinati a dotarsi di strumenti di sicurezza cybernetica. Contestualmente, abbiamo invece lasciato alle forze di Polizia le indagini sui crimini cyber, alla Difesa quello degli attacchi alle nostre infrastrutture militari e all’Intelligence, Dis, Aise e Aisi, quello della raccolta delle informazioni. Se la dovessi dire con una parola, l’Agenzia per la cybersicurezza nazionale è uno strumento di “safety” che si aggancerà e completerà gli altri strumenti di “security” di cui disponiamo: forze di polizia, difesa, Intelligence. Un modello “misto” che poggia su quattro pilastri”. “Nel mondo della cosiddetta “safety” – e parlo con cognizione di causa avendo trascorso una parte della mia vita professionale nella Protezione civile – i parametri di sicurezza si misurano su tre indicatori di rischio: la pericolosità, l’esposizione, la vulnerabilità. Prendiamo ora la minaccia Cyber. È evidente che i parametri di pericolosità ed esposizione, proprio per quello che dicevo prima, non solo non potranno essere ridotti in futuro, ma cresceranno esponenzialmente, a prescindere dalle iniziative che qualsiasi Paese o soggetto privato potrà assumere. Dunque, c’è un solo parametro su cui possiamo agire: quello della vulnerabilità. Ecco, l’Agenzia per la cybersicurezza nazionale dovrà fare in modo che le nostre pubbliche amministrazioni, le nostre imprese, le nostre infrastrutture strategiche, diciamo pure il nostro “Sistema Paese” riduca il suo grado di vulnerabilità”. Un passaggio che “non sarà semplice”, riconosce Gabrielli nell’intervista, “perché è culturale. Perché significa introdurre una cultura di “safety” all’interno di un modello storicamente sicuritario. Significa cambiare approccio alla nostra idea e organizzazione della sicurezza nazionale. Quello che voglio dire è che troppo spesso ci siamo convinti che gli aspetti della safety, della prevenzione del rischio o della minaccia, potessero essere gestiti con gli strumenti della security: forze di polizia, esercito, intelligence. La dico semplificando: non mettiamo in sicurezza il nostro territorio, sottovalutiamo i cambiamenti climatici e le implicazioni che comportano sotto il profilo di una nuova organizzazione della sicurezza, ma invochiamo l’esercito quando siamo sommersi dalle alluvioni. Insomma, siamo abituati a pensare che il nostro sia un Paese da rassicurare, mentre deve essere messo nelle condizioni di sentirsi sicuro. Ecco perché penso che questa riforma sia importante anche al di là della materia Cyber che disciplina”. Infine, il capitolo risorse destinate all’Agenzia. “Il Pnrr prevede 50 milioni per l’Agenzia e 620 per la resilienza. E, vuoto per pieno, un organico di 300 professionisti che, nel quinquennio, saliranno a 1.000, da reclutare sul mercato a prezzi di mercato. Non possiamo pensare di attrarre il meglio delle professionalità e delle intelligenze se non siamo in grado di retribuirle come le retribuisce il mercato. Per questo è stato pensato un inquadramento che vedrà gli addetti dell’Agenzia retribuiti con i parametri della Banca d’Italia. Mi ripeto: dobbiamo correre e fare le cose non solo per bene, ma sul serio”.
