L’Italia, in quest’ambito, è fanalino di coda d’ Europa, ma con il Decreto Legge che oggi torna nell’Aula della Camera per la terza e decisiva lettura sembra essersi compiuto un passo decisivo
Quando si parla di attacchi virtuali capita, talvolta, di non aver ben chiara la portata dell’evento. A causa della loro immaterialità, la pericolosità viene spesso sottostimata e invece queste aggressioni rappresentano uno dei principali pericoli a cui la società contemporanea dovrà, sempre più frequentemente, fare fronte. Dobbiamo considerare, infatti, che quando parliamo di cybersicurezza ci riferiamo a un ambito che coinvolge sistemi di difesa, di fornitura di servizi primari, di telecomunicazioni, servizi finanziari e, solo in ultimo, ma non per importanza, ogni singolo dispositivo fisico in nostro possesso, tutti potenzialmente soggetti ad attacchi hacker.
Appena un anno fa, il 12 novembre 2018, venivano violate 500 mila caselle di posta elettronica certificata, delle quali circa 98.000 appartenenti a magistrati, militari e funzionari del Comitato Interministeriale per la sicurezza della Repubblica. L’ episodio venne definito “preoccupante” dal Dipartimento delle informazioni per la sicurezza (Dis), perché aveva interessato infrastrutture fino ad allora considerate del tutto sicure. Il Presidente del Consiglio, Giuseppe Conte, convocò immediatamente una riunione tecnica del Comitato interministeriale per la sicurezza della Repubblica, la quale diede vita a un gruppo di lavoro per studiare la capacità di tutti i servizi pubblici e privati di fronteggiare attacchi cibernetici e pose le basi per alcune delle misure contenute nel Decreto Legge che nel pomeriggio di oggi 13 novembre torna nell’Aula della Camera per la sua terza, e decisiva, lettura.
Le importanti novità introdotte dal DL sono riconducibili a a tre punti fondamentali.
Per prima cosa, dovrà essere individuato il “perimetro di sicurezza nazionale cibernetica” tramite Decreto del Presidente del Consiglio che dovrà indicare, entro quattro mesi dall’emanazione del decreto, i soggetti idonei a farne parte, da individuarsi tra “amministrazioni pubbliche, nonché a enti e operatori nazionali, pubblici e privati le cui reti e sistemi informativi e informatici sono necessari per l’esercizio di una funzione essenziale dello Stato, per l’assolvimento di un servizio essenziale, per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e il cui malfunzionamento, interruzione o uso improprio possono pregiudicare la sicurezza nazionale.”
Sarà sempre facoltà di Palazzo Chigi predisporre, in caso di rischio grave e imminente per la sicurezza nazionale, misure di emergenza come la disattivazione, totale o parziale, di uno o più apparati.
Nella fase di controllo, invece, un ruolo di primo piano sarà attribuito al Centro di Valutazione e Certificazione Nazionale (CVCN), che dovrà assicurare l’assenza di vulnerabilità di prodotti, hardware e software, destinati a essere impiegati dagli attori del perimento di sicurezza cibernetica. Per questo comparto, il Mise è autorizzato a predisporre le misure necessarie all’aumento dell’organico fino a un massimo di 77 unità.
Le disposizioni del Decreto Legge si applicheranno, infine, anche per i contratti o gli accordi conclusi con soggetti esterni all’Unione europea e relativi ai servizi di comunicazione elettronica basati sulla tecnologia 5G, rispetto ai quali viene prevista una notifica alla Presidenza del Consiglio al fine dell’eventuale esercizio del potere di veto o dell’imposizione di specifiche prescrizioni o condizioni. Si tratta dei cosiddetti poteri speciali o golden power istituiti nel 2012 per proteggere aziende strategiche da acquirenti stranieri, ed estesi fino alle reti.
In definitiva, con questo provvedimento il nostro Paese dovrebbe riuscire a rafforzare le difese in questo settore e ad adeguarsi a standard di sicurezza e valutazione del rischio già da tempo raggiunti in altre parti d’Europa.