ACN * BOLOGNA – “ITASEC25“: «DICHIARAZIONI DI BRUNO FRATTASI, ATTACCHI INFORMATICI E SITUAZIONE GEOPOLITICA»

(Il testo seguente è tratto integralmente dalla nota stampa inviata all’Agenzia Opinione) –

///

Dichiarazioni di Bruno Frattasi ad Itasec 2025. Attacchi informatici e situazione geopolitica. Intervenendo nella sessione plenaria di Itasec25 in corso a Bologna fino al 8 febbraio, il Direttore Generale dell’Agenzia per la cybersicurezza nazionale, ACN, ha ribadito perché è così importante parlare di cyber oggi. “L’Agenzia per la cybersicurezza nazionale – ha detto -, in questo momento è fortemente impegnata nel suo compito di di protezione e resilienza informatica perché l’evoluzione digitale in Italia e in tutto il mondo sta raggiungendo livelli elevatissimi. La crescita della superficie digitale pubblica e privata dell’ecosistema digitale nazionale vede, anche in considerazione del contesto geopolitico europeo e mondiale, l’incremento della minaccia informatica. Una minaccia alimentata anche, come sappiamo, da organizzazioni criminalità che hanno visto nella possibilità di sfruttare le vulnerabilità dei sistemi informatici una grande occasione di profitto. La pandemia ha proprio dimostrato questo: le occasioni di crimine e di profitto legato al crimine possono trovare una nuova fonte di alimentazione nella estensione di traffici digitali, cioè delle attività umane che si svolgono attraverso il digitale”.

“In particolare, è aumentata la minaccia del ransomware, ha sottolineato. Gli stessi attacchi che come ACN abbiamo registrato nel 2024 ci danno un indicatore di aumento sensibile della minaccia. Anche se, come ripeto spesso, la gravità della minaccia non va misurata solo rispetto al numero incrementale degli attacchi ma anche rispetto alla capacità degli attacchi di generare danni gravi o gravissimi e quindi alla capacità di resilienza e difesa dei sistemi. Non c’è un solo indicatore da prendere in considerazione, bisogna considerare anche il numero di attacchi che hanno avuto un effetto rilevabile”.

LEGGI E REGOLAZIONE

Parlando a ITASEC25, la conferenza italiana sulla cybersecurity organizzata annualmente dal Laboratorio Nazionale di Cybersecurity del CINI (Consorzio interuniversitario per l’Informatica), in corso a Bologna, Bruno Frattasi, DG di ACN, ha detto: “Ci confrontiamo con un quadro regolatorio complesso i cui ultimi sviluppi sono stati cautamente inseriti nel quadro nazionale. Vorrei sottolineare che siamo stati uno dei pochi Paesi europei che hanno già provveduto a trasporre nell’ordinamento nazionale la direttiva NIS 2.

Questa direttiva risponde ad una esigenza fondamentale, quella di ampliare la platea dei soggetti e delle entità pubbliche e private, come il mondo sanitario, che è tra i più bersagliati dalla minaccia informatica, anche per l’appetibilità dei dati, all’interno del perimetro di applicazione della NIS. Abbiamo anche dato una prima applicazione nazionale della direttiva erogandola a favore di soggetti pubblici e privati che, entro la fine di febbraio dovranno registrarsi sulla piattaforma ACN. Ciò consentirà a questa vasta platea, secondo un processo bottom up, dal basso verso alto, di appartenere al perimetro e a cui seguirà uno sforzo implementativo di sicurezza informatica. Spetterà a me poi, in qualità di Direttore di ACN, di stabilire quali sono le misure di sicurezza informatica che questi operatori dovranno implementare per uniformarsi a quella che è un’esigenza fondamentale, che l’Europa aveva già intravisto, del mercato unionale digitale.

Un mercato, una sfera unionale interconnessa di 27 Paesi con interconnessioni commerciali, produttive, sanitarie, istituzionali, critiche e supercritiche individuate dalla NIS 2. Ecco, tutto ciò che avviene in questa sfera complessa e interconnessa, non può che avvenire con strumenti, apparecchiature e apparati che rispondAno a degli standard di sicurezza, in grado di garantire la sicurezza massima a tutti i soggetti ricompresi in questa sfera. Ho usato l’esempio della sfera, proprio perché è quella la figura geometrica che racchiude al suo interno tutta la sicurezza possibile. Un obiettivo di protezione e di difesa che deve avvenire con regole che possono portare a mettere insieme esigenze che sono l’una il completamento dell’altra: competitività, efficienza e sicurezza. La competitività avviene in un mercato regolato da criteri di concorrenzialità, e garantendo che tutti gli attori interessati rispettino degli standard comuni. Un filo rosso che unisce queste esigenze speculari. Il tutto in un lavoro comune dele varie Agenzie nazionali che si occupano di cybersicurezza, inoltre, e che vedono in Enisa un punto di riferimento. ACN fa parte di questa costellazione di agenzie e si occupa sì di proteggere adeguatamente la superficie digitale e di resilienza intesa come prevenzione, protezione e risposta alle minacce informatiche.”

RICERCA, TECNOLOGIE E INTELLIGENZA ARTIFICIALE

Nel corso del suo intervento a ITASEC25, organizzata dal Laboratorio Nazionale di Cybersecurity del CINI a Bologna, Bruno Frattasi, DG di ACN ha detto:
“ACN pone grande attenzione ai temi della ricerca e della produzione tecnologica. Siamo il terzo Paese dell’Unione come capacità di intercettare gli avvisi emessi dal Centro di competenza europeo sulla cybersecurity, ECCC, per finanziare progetti di cybersicurezza. Rispondendo efficacemente alle opportunità di finanziamento dell’Ue, abbiamo reso ACN protagonista del risveglio italiano di intercettare risorse importanti. Queste risorse serviranno soprattutto per lo sviluppo dell’intelligenza artificiale e di tecnologie avanzate che si affacciano sul mercato italiano e internazionale. Le nostre attività sono fortemente in sintonia con quanto indicato dalla Strategia europea sulla competitività sul digitale, l’intelligenza artificiale generativa, il Quantum.

Sull’intelligenza artificiale, e riguardo al famoso paradosso tra regolazione e avanzamento e sviluppo della tecnica, secondo cui la regolazione è in qualche modo un intralcio allo sviluppo della tecnica, voglio dire che la regolazione segue sempre la tecnica. E voglio dire che la regolazione è necessaria, altrimenti ci consegniamo a quel passato che ha prodotto anche degli effetti indesiderati in termini di democrazia digitale. Ad esempio, la presenza preponderante di soggetti privati che si sono ingranditi al punto da raggiungere, in termini di fatturato commerciale e di affari, il PIL di alcuni Paesi, manifestando una certa insofferenza a rispondere alle regole.

Sull’IA c’è un tema di grandissimo rilievo etico e relativo all’uso pacifico dell’IA relativo alla necessità di evitare che diventi uno strumento di distruzione e non di progresso e sviluppo. Da questo punto di vista salutiamo con favore il regolamento europeo sull’IA. In quel regolamento si apre uno spiraglio in cui si cerca di conciliare l’esigenza di regolazione e lo sviluppo della tecnica. Parliamo delle sandbox normative, spazi controllati di sperimentazione in cui chiamiamo anche i privati a collaborare. Uno sviluppo controllato di sistemi di intelligenza artificiale che poi potrà trovare una adeguata regolazione ex post e che va vista con fiducia.

L’ACN ha diversi progetti sull’IA. Ad esempio, l’Hypersoc che stiamo sviluppando con il CINECA. Il progetto vuole sfruttare l’intelligenza artificiale per contrastare la minaccia cibernetica. Stiamo sviluppando questo centro di super calcolo a Napoli, nel Polo di San Giovanni a Teduccio, che sarà alimentato da algoritmi che elaboreranno big data sulla base di informazioni provenienti dalla constituency dell’Hypersoc, creando i presupposti per un’analisi predittiva della minaccia informatica.
La regolazione dell’IA in Italia è al momento affidata al Senato e su questo attendiamo gli sviluppi del dibattito in atto. L’impianto del provvedimento presentato dal Governo è basato su due soggetti che governano in maniera collegiale il sistema: AgID e ACN con competenze di autorità di notifica e autorità di vigilanza di mercato. Ci saranno inoltre strumenti di cooperazione istituzionali, tra cui il coinvolgimento delle autorità indipendenti, come il Garante della privacy. Un’indicazione opportuna perché il regolamento europeo, quando fa riferimento alle sandbox, indica esattamente la necessità che vengano coinvolte le autorità indipendenti di protezione dei dati. Un esercizio che, se saremo chiamati a farlo, porteremo sicuramente avanti”.

SICUREZZA NAZIONALE E INFRASTRUTTURE CRITICHE

La presenza di realtà aziendali pervasive, americane o asiatiche, pongono un tema di sicurezza delle infrastrutture critiche. ACN è sotto diversi aspetti un organismo di sicurezza nazionale, con particolare riferimento alle infrastrutture critiche. Abbiamo un perimetro di sicurezza nazionale che esisteva già prima dell’esistenza di ACN, perché è evidente che un problema di sicurezza nazionale è soprattutto un problema di sicurezza di infrastrutture critiche. Ne abbiamo ragionato anche a livello internazionale. Abbiamo stimolato riflessioni sulla minaccia a livello globale avviando a livello G7, in due occasioni nel 2024, riguardanti la protezione delle infrastrutture critiche. Abbiamo riflettuto insieme anche sullo sviluppo dell’IA, ai fini della difesa cibernetica dei Paesi. Ovviamente in questo contesto geopolitico viene fuori l’esigenza di affidare in tecnologie trust. Non è questa una postura aggressiva ma difensiva e di responsabilità dei sistemi nazionali a cui l’Italia ha risposto.

Prima della NIS abbiamo, come Paese, approvato la legge 90 sulla cybersicurezza, in cui c’è un articolo che preso applicheremo, che contiene criteri di rafforzamento delle difese informatiche per le infrastrutture trust e principi di premialità per dare fiducia a quelle imprese o quelle tecnologie espressione di paesi like minded che condividono gli stessi valori di democrazia. Inoltre, grazie alla legge 90 realizzeremo in ACN il centro nazionale di crittografia per rispondere alle sfide del quantum.
Le competenze. Il Paese soffre una carenza di competenze digitali. Più del 50% della popolazione degli stati membri ha competenze digitali di base insufficienti. Sappiamo bene, ad esempio, uno dei principali fattori di successo degli attacchi informatici deriva dall’errore umano. Ecco perché formazione e consapevolezza sono due fattori abilitanti della sicurezza informatica. Sulla formazione abbiamo avviato diverse attività. Dalla collaborazione con la CRUI – Conferenza dei Rettori delle Università italiane- per estendere l’offerta formativa universitaria di cybersicurezza, allo sviluppo degli istituti tecnologici ITS, al protocollo con il Ministero dell’istruzione e del merito per erogare formazione negli istituti scolastici. Queste, come altre attività, hanno il fine di incrementare una nuova leva generazionale, non solo per lo sviluppo di competenze specialistiche ma per sviluppare una sensibilità, un orecchio come per la musica, un approccio critico a tema della cybersicurezza.