Itasec 2025, l’impegno Acn per la sicurezza nazionale » inno3

Crescono le interconnessioni globali e di pari passo le minacce cibernetiche che diventano sempre più sofisticate. La sicurezza informatica rappresenta una sfida critica per il Paese ed è al centro del dibattito nel corso della sessione plenaria di Itasec25 – la conferenza nazionale sulla cybersecurity, a Bologna, organizzata annualmente dal Laboratorio Nazionale di Cybersecurity del Cini (Consorzio Interuniversitario per l’Informatica) – che ospita anche l’intervento del direttore generale dell’Agenzia per la Cybersicurezza Nazionale (Acn), Bruno Frattasi.
Frattasi coglie l’occasione per sottolineare l’urgenza di affrontare con determinazione le sfide della cybersecurity, ed evidenzia il ruolo centrale dell’agenzia nella protezione e nella resilienza informatica dell’Italia. “La crescita della superficie digitale pubblica e privata dell’ecosistema digitale nazionale – esordisce Frattasi – vede, anche in considerazione del contesto geopolitico europeo e mondiale, l’incremento della minaccia informatica. Una minaccia alimentata, come sappiamo, anche da organizzazioni criminali che leggono nella possibilità di sfruttare le vulnerabilità dei sistemi informatici una grande occasione di profitto”.

Anche la pandemia lo ha dimostrato: il crimine cyber può trovare una nuova fonte di alimentazione nella estensione di traffici digitali, delle attività umane che si svolgono attraverso il digitale. In particolare, la diffusione degli attacchi ransomware è in costante crescita, rappresenta una delle principali preoccupazioni dell’Acn. Non si tratta solo di un aumento numerico degli attacchi, ma della relativa capacità di infliggere danni gravi a infrastrutture critiche e aziende, mettendo a rischio servizi essenziali per la cittadinanza. E’ urgente per questo “una difesa più robusta e coordinata”. 

Il quadro normativo: Nis2 e strategia europea

A Itasec25 la bussola è il quadro normativo di riferimento. L’Italia è tra i primi Paesi europei ad aver recepito la direttiva Nis2; amplia la platea dei soggetti pubblici e privati obbligati a rispettare stringenti misure di cybersecurity, è pervasiva, e comprende anche il settore sanitario, particolarmente vulnerabile agli attacchi informatici per la sensibilità dei dati trattati, che rientra tra le priorità della nuova regolamentazione. Un punto che porta Frattasi a rimarcare il valore dell’approccio bottom-up adottato dall’Acn, che richiede agli operatori di registrarsi sulla piattaforma dedicata entro la fine di febbraio, per poi procedere con un adeguamento graduale alle nuove misure di sicurezza informatica: “L’obiettivo è creare un ecosistema digitale sicuro e interconnesso tra i 27 Paesi dell’Unione Europea, con standard comuni che garantiscano competitività, efficienza e sicurezza”. Spetterà poi alla stessa Acn stabilire quali sono le misure di sicurezza informatica che gli operatori dovranno implementare “per uniformarsi a quella che è un’esigenza fondamentale, che l’Europa aveva già intravisto, del mercato unionale digitale”.

Considerata la sfera interconnessa dei 27 Paesi UE e le relazioni digitali tra le organizzazioni commerciali, produttive, sanitarie, istituzionali critiche e supercritiche, individuate da Nis2, è per Frattasi mandatorio che “strumenti, apparecchiature e apparati rispondano a standard di sicurezza che siano in grado di garantire la sicurezza massima a tutti i soggetti ricompresi in questa sfera”. Un obiettivo di protezione e di difesa che deve avvenire secondo specifiche regole di competitività, efficienza e sicurezza. La competitività leale è possibile solo in un mercato regolato da criteri di concorrenzialità, che garantisca che tutti gli attori interessati rispettino degli standard comuni. “Un filo rosso che unisce queste esigenze speculari”. Il tutto coordinato dal lavoro comune delle varie agenzie nazionali che si occupano di cybersicurezza e che vedono in Enisa un punto di riferimento. 

L’importanza delle tecnologie regolamentate

“Acn pone grande attenzione ai temi della ricerca e della produzione tecnologica. Siamo il terzo Paese dell’Unione come capacità di intercettare gli avvisi emessi dal Centro di competenza europeo sulla cybersecurity, Eccc, per finanziare progetti di cybersicurezza”, prosegue Frattasi. E l’Acn in questo contesto ha il compito di risvegliare il Paese nell’intercettare risorse importanti – “Queste risorse serviranno soprattutto per lo sviluppo dell’intelligenza artificiale e di tecnologie avanzate che si affacciano sul mercato italiano e internazionale” – anche attraverso attività in sintonia con quanto indicato dalla Strategia europea sulla competitività sul digitale, l’intelligenza artificiale generativa, il quantum computing.

Il direttore generale di Acn interviene poi su un punto, su cui certo non mancano le polemiche, ovvero quello del rapporto tra sviluppo tecnologico e le regolamentazioni, ed è chiaro: “Sull’AI e riguardo al famoso paradosso tra regolazione e avanzamento e sviluppo della tecnica – secondo cui la regolazione è in qualche modo un intralcio allo sviluppo della tecnica – voglio dire che la regolazione segue sempre la tecnica. E voglio dire che la regolazione è necessaria, altrimenti ci consegniamo a quel passato che ha prodotto anche degli effetti indesiderati in termini di democrazia digitale”. Il riferimento è chiaro e rivolto alla presenza preponderante di soggetti privati che si sono ingranditi al punto da raggiungere, in termini di fatturato commerciale e di affari, il Pil di alcuni Paesi, manifestando una certa insofferenza a rispondere alle regole.

Torna l’importanza del tema etico “per evitare che l’AI diventi uno strumento di distruzione e non di progresso e sviluppo salutiamo con favore il regolamento europeo sull’AI. In quel regolamento si apre uno spiraglio in cui si cerca di conciliare l’esigenza di regolazione e lo sviluppo della tecnica”. E le sandbox normative, come spazi controllati di sperimentazione in cui anche i privati sono chiamati a collaborare possono in questo quadro contribuire ad uno sviluppo controllato di sistemi di intelligenza artificiale “che poi potrà trovare una adeguata regolazione ex post e che va vista con fiducia”.

I progetti di Acn sull’AI e la regolamentazione italiana

Tra i progetti Acn riguardo l’intelligenza artificiale possiamo citare l’Hypersoc sviluppato con il Cineca. Il progetto vuole sfruttare l’intelligenza artificiale per contrastare la minaccia cibernetica. Frattasi: “Stiamo sviluppando questo centro di supercalcolo a Napoli, nel Polo di San Giovanni a Teduccio, che sarà alimentato da algoritmi che elaboreranno big data sulla base di informazioni provenienti dalla constituency dell’Hypersoc, creando i presupposti per un’analisi predittiva della minaccia informatica”.

I passi in avanti dell’AI in Italia dal punto di vista della regolamentazione sono in questa fase affidati al Senato e Acn attende gli sviluppi del dibattito in atto. Sintetizza così Frattasi: “L’impianto del provvedimento presentato dal Governo è basato su due soggetti che governano in maniera collegiale il sistema: Agid e Acn con competenze di autorità di notifica e autorità di vigilanza di mercato”. Sono previsti inoltre strumenti di cooperazione istituzionali, tra cui il coinvolgimento delle autorità indipendenti, come il Garante della privacy. “Un’indicazione opportuna – puntualizza Frattasi – perché il regolamento europeo, quando fa riferimento alle sandbox, indica esattamente la necessità che vengano coinvolte le autorità indipendenti di protezione dei dati. Un esercizio che, se saremo chiamati a farlo, porteremo sicuramente avanti”.

Infrastrutture critiche, tema di sicurezza nazionale 

La presenza di realtà aziendali pervasive, straniere in quanto extracontinentali, pongono poi il tema della sicurezza delle infrastrutture critiche. E Acn è essa stessa organismo di sicurezza nazionale, con particolare riferimento alle infrastrutture critiche. Inquadra il tema Frattasi: “Abbiamo un perimetro di sicurezza nazionale che esisteva già prima dell’esistenza di Acn, perché è evidente che un problema di sicurezza nazionale è soprattutto un problema di sicurezza di infrastrutture critiche. E ne abbiamo ragionato a livello internazionale”. Acn ha stimolato riflessioni sulla minaccia a livello globale avviando a livello G7, in due occasioni nel 2024, dibattiti riguardanti la protezione delle infrastrutture critiche. E ha sollecitato le riflessioni sullo sviluppo dell’AI, ai fini della difesa cibernetica dei Paesi. Da qui: “]…[ l’esigenza di affidarsi a tecnologie trust. Non è questa una postura aggressiva ma difensiva e di responsabilità dei sistemi nazionali a cui l’Italia ha risposto”.

Prima di Nis è stata approvata in Italia la legge 90 sulla cybersicurezza, che comprende anche i criteri di rafforzamento delle difese informatiche per le infrastrutture trust e principi di premialità per dare fiducia a imprese o tecnologie espressione di paesi “like minded” che condividono gli stessi valori di democrazia. Inoltre, grazie alla legge 90 è nei programmi di realizzazione in Acn il centro nazionale di crittografia per rispondere alle sfide del quantum.

Ultimo punto toccato da Frattasi il tema caldo delle competenze. “Il Paese soffre una carenza di competenze digitali. Più del 50% della popolazione degli stati membri ha competenze digitali di base insufficienti. Sappiamo bene, per esempio, che uno dei principali fattori di successo degli attacchi informatici deriva dall’errore umano”. Chiaro che formazione e consapevolezza sono fattori abilitanti nell’ambito della cybersecurity. E sulla formazione anche Acn si è mossa “dalla collaborazione con la Crui – Conferenza dei Rettori delle Università italiane – per estendere l’offerta formativa universitaria di cybersicurezza, allo sviluppo degli istituti tecnologici Its, al protocollo con il ministero dell’Istruzione e del Merito per erogare formazione negli istituti scolastici”. Attività con il fine di incrementare una nuova leva generazionale, “non solo per lo sviluppo di competenze specialistiche ma per sviluppare una sensibilità, un orecchio come per la musica, un approccio critico a tema della cybersicurezza”.

© RIPRODUZIONE RISERVATA