Un Framework nazionale per la Cybersecurity sarebbe un propulsore dell’economia digitale e un elemento di attrazione per gli investimenti nel nostro Paese”: Andrea Farina, Presidente e AD di Itway, azienda italiana quotata e leader nella cybersecurity, è concorde con la proposta lanciata oggi da Cis-Sapienza . Un punto di vista significativo anche perché Itway opera da anni nel mercato italiano e sta allargando la sfera delle attività all’estero, anche al di fuori dell’Europa, in particolare in Turchia, nell’area del Golfo, in Nigeria.
Cis-Sapienza prende a modello l’americana Nist.
Credo che l’esperienza degli altri paesi vada valutata con attenzione, quando consente di apprezzare se si sono fatti passi avanti, soprattutto in un terreno così delicato e complesso come la cybersecurity. L’esperienza americana è avanzata, e molto diversa dalla nostra. Il National Institute of Standard & Technology (NIST) che ha ispirato il lavoro del Cis, è una istituzione più che centenaria, che ha svolto sempre un ruolo di primo piano nella standardizzazione (dall’elettricità, ai pesi, alle misure, al tempo etc.). È che è nata negli anni in cui gli Stati Uniti volevano raggiungere le capacità tecnico-scientifiche dei maggiori paesi europei. Il suo ruolo è sempre stato quello di affermare gli standard tecnologici per rafforzare la capacità competitiva dell’economia americana. Questo spirito è ben compreso dal CIS, secondo il quale, l’affermazione del “Framework sarebbe un propulsore dell’economia digitale e un elemento di attrazione per gli investimenti nel nostro Paese.
Il modello USA è incentrato sulle infrastrutture critiche e di conseguenza su grandi imprese dei settori regolati. La proposta del Cis è attenta anche alle Pmi, Non a caso prevede per esse una procedura semplificata di adozione del Framework per gli interventi con priorità alta
Nella realtà italiana è imprescindibile tener conto delle piccole imprese, che sono non solo la spina dorsale dell’economia e dell’occupazione, ma che svolgono un ruolo assai rilevante nell’innovazione. I dati spesso citati sul gap nelle spese di ricerca tra grandi e piccole imprese, in realtà non rivelano una parte non piccola delle spese di ricerca e sviluppo effettuate dalle Pmi. Queste imprese, generalmente non quotate, non hanno nessuna convenienza ad iscrivere le spese di investimento in ricerca e sviluppo tra quelle di investimento: le lasciano tra le spese coerenti. Di conseguenza, nessuno, nemmeno l’Istat può censirle. Inoltre, le PMI affrontano una gamma di problemi connessi alla sicurezza in generale, molto diversificati: è quindi giusto avere attenzione alle loro esigenze e tener conto che la sensibilità delle Pmi al costo-opportunità degli investimenti è molto più elevata che nel caso delle grandi aziende. Al fine di ridurre i rischi a cui sono esposte, occorre dare alle Pmi gli strumenti per crescere di consapevolezza e di capacità.
Che tipi di strumenti?
Credo che gli investimenti formativi e tecnologici delle PMI nel campo della cybersecurity abbiano anche una valenza “sistemica”, ovvero portino a benefici generali, che sono i frutti della creazione del bene comune che è la sicurezza del sistema Italia. Da questo punto di vista, direi che gli investimenti nella cybersecurity dovrebbero essere considerati più strategici degli incentivi per i macchinari o per il risparmio energetico, che hanno una priorità strategica inferiore e un contenuto di innovazione ormai marginale.
Vede benefici per il “sistema Italia” nell’adozione del Framework?
“Sicuramente il fall out sarebbe importante, sia per la crescita della professionalità e competenza delle aziende italiane, sia per l’aumento della sicurezza con effetti positivi sulla propensione da investire e sui consumi. Si pensi a quanto i pregiudizi sulla sicurezza delle transazioni in rete frenano lo sviluppo del commercio elettronico, in cui siamo parecchio indietro, come nell’uso delle carte di credito. Itway spesso trova più sensibilità all’estero che in Italia sull’esigenza di proteggere il proprio business e i propri asset, materiali o immateriali che siano.
Ma chi può farsi promotore dell’adozione del Framework?
In effetti è questo un tema che nello studio del CIS rimane nell’ombra. Negli Usa è stato il Presidente Barack Obama che nel 2013 ha dato poco meno di un anno di tempo al NIST per avviarlo, e il NIST lo ha fatto. Il riferimento era alle infrastrutture critiche, quindi, in generale alle grandi imprese. Esse sono più potenti delle Pmi, ma più facili da controllare e dotate di risorse e competenze in grado di operare con maggiore tempestività ed efficacia.
E in Italia come fare la collaborazione fra pubblico e privato?
Una delle strade è la promozione delle assicurazioni contro i danni provocati dalle violazioni della sicurezza, come ad esempio ha capito il gruppo di brokeraggio assicurativo AON. Ma serve una politica del governo che non penalizza, come avviene ora, le polizze assicurative del ramo danni. Infine, un ministro dell’economia digitale e della cybersecurity, come nel Regno Unito per ritornare in Europa, sarebbe molto utile anche da noi”.
