Rete, ICT, Internet ok Things, Big Data, Cloud, sono tutti termini entrati prepotentemente nel nostro quotidiano. Ma non si tratta soltanto di un nuovo linguaggio né di una lingua più esotica rispetto al passato: è la realtà quotidiana delle informazioni. Informazioni di qualunque tipo: personali, commerciali, industriali, militari, bancarie e finanziarie, della ricerca scientifica, fiscali, anagrafiche, politiche, sanitarie, ambientali, delle risorse alimentari, energetiche, idriche…e la lista potrebbe ancora continuare a lungo.
La globalizzazione, anche quella dell’individuo, procede spedita, immersa e spesso travolta, da questo flusso enorme e continuo di informazioni. Possiamo, in qualsiasi momento e da qualsiasi luogo, accedere a questa immenso fiume informativo, ma contemporaneamente tutti i nostri dati personali o istituzionali, sono esposti all’accesso di “altri”, anche di chi non vorremmo mai che venisse a conoscenza di ciò che ci riguarda.
E’ a questo punto che nasce e si sta sviluppando la cyber security: l’esigenza cioè di proteggere dati e informazioni che riteniamo non debbano essere disponibili per tutti (e soprattutto per alcuni). La questione della protezione dei dati ha ormai direttamente a che a fare con la qualità della democrazia di un Paese, di un sistema. Lo Stato democratico ha il dovere (ed il diritto) di tutelare alcune informazioni che riguardano sia la privacy dei suoi cittadini, le strutture che lo costituiscono, quelle che lo devono difendere e tutelare, quelle che possono sostenerne la crescita economica. In questo contesto sempre più interconnesso vanno riconsiderati i concetti stessi di libertà e di sicurezza: va ricercato un nuovo equilibrio tra il diritto alla privacy e il diritto alla sicurezza. La gestione di questa dicotomia può creare, come nel caso delle attuali vicende bancarie, una empasse operativa ed uno stallo istituzionale, ma uno Stato democratico ha il compito di offrire, nel rispetto dei principi costituzionali, un approccio garantista che non faccia rischiare derive autoritarie.
E’ inutile tentare di proteggere tutti i dati che possono circolare sulla rete. Bisogna selezionare quelli che è necessario proteggere e, per questi, mettere in campo tutte le risorse economiche, infrastrutturali, di proprietà intellettuale, di ricerca e sviluppo, di coordinamento e controllo che questa complessità richiede. Quanto abbiamo fatto finora è insufficiente!
Il nostro Stato, i nostri Governi, hanno avviato diversi progetti con l’ambizione di coniugare insieme le esigenze di informatizzazione dei processi amministrativi e quindi di messa in rete del maggior numero possibile di informazioni, con le necessità di protezione e di sicurezza di questi dati. Il CAD (Codice dell’Amministrazione Digitale, l’AGID (Agenzia per l’Italia Digitale), lo SPID (Sistema Pubblico per l’Identità Digitale), l’FSE (Fascicolo Sanitario Elettronico) a cui fanno da specchio i CERT (Computer Emergency Reponse Team) e i singoli responsabili della Sicurezza IT delle diverse amministrazioni. Tuttavia siamo ancora distanti, come dimostrano anche alcune recenti vicende riportati dalle cronache, dall’aver raggiunto un livello di sicurezza accettabile.
Abbiamo l’obiettivo di costruire un ecosistema pubblico in cui la Pubblica Amministrazione, le imprese, i cittadini siano in grado di dialogare, implementare le loro conoscenze, prendere le decisioni che li riguardano. Il MEF insieme a SOGEI (società pubblica interamente controllata dal MEF che gestisce diverse infrastrutture critiche) sta sperimentando alcune best practice per la trasformazione digitale della Pubblica Amministrazione: la fatturazione elettronica, la sanità digitale, i Fast Corridor doganali.
Dobbiamo fare alcune cose importanti:
a) Istituire un organismo che coordini centralmente le azioni di cybersecurity in modo da garantire livelli minimi ma omogenei per tutti gli operatori, pubblici e privati del sistema e rispondere a quanto previsto dalla Direttiva Europea NIS (Network Information Security);
b) Definire standard, linee guida e regolamenti che riguardano l’acquisto, la fornitura e la gestione sia di prodotti che di processi necessari alla digitalizzazione della P.A. Tali vincoli devono riguardare anche i fornitori che della P.A. che devono adottare al loro interno i medesimi standard e regolamenti di sicurezza;
c) Creare una piattaforma di cooperazione tra le aziende italiane del settore, le start-up, le strutture di ricerca pubbliche e private con l’obiettivo di far crescere il settore e contemporaneamente aumentare la sovranità nazionale sullo stesso. In questo settore non possiamo pensare alla creazione di un campione nazionale ma al sostegno della rete di eccellenze che abbiamo;
d) Supportare la trasformazione 4.0 delle nostre PMI attraverso un Framework nazionale per la cybersecurity, sul modello di quello sviluppato dal CIS La Sapienza di Roma, che le tuteli dai rischi di hakeraggio e di inquinamento informatico.
