Era il 21 aprile 2009 quando l’allora sottosegretario alle Comunicazioni Paolo Romani, che guidava la delegazione italiana alla conferenza di Tallinn, in Estonia, confermava la strategicità del ruolo dell’Enisa, l’Agenzia europea per la sicurezza delle informazioni, e annunciava l’intenzione dell’Italia di adoperarsi per l’adozione di strumenti nazionali, come il Cert (Computer emergency response team), “favorendo – testuali parole – la cultura della sicurezza informatica”.
Ma a più di tre anni e mezzo dalla conferenza organizzata nel secondo anniversario dell’attacco informatico degli hacker russi, che ne 2007 paralizzò per alcuni giorni la maggior parte delle infrastrutture di rete dell’Estonia, il Cert italiano non è ancora operativo, e difficilmente vedrà la luce in tempo per rispettare la scadenza di fine 2012 fissata dalla Ue. Un ritardo che a maggior ragione salta agli occhi se si considera che riguarda un settore in cui la velocità delle risposte è la prima arma, oltre che la più efficace, per contrastare attacchi e intrusioni informatiche.
Quello della sicurezza delle informazioni è uno dei pilastri su cui poggia la strategia comunitaria sull’Agenda digitale; le infrastrutture critiche sono considerate fondamentali per la sicurezza dell’intera area euro, sia sul piano istituzionale sia su quello delle piccole e grandi aziende e dei singoli cittadini. L’obiettivo è creare strutture e sistemi che mettano al riparo ogni Paese, e l’area euro in generale, dal furto di informazioni a scopo commerciale ma anche da vere e proprie minacce per la sicurezza nazionale. Questo perché sempre più servizi critici sono legati all’informatica e dipendono dal corretto funzionamento di strumenti Ict, dall’elettricità alla finanza, dai trasporti alle Tlc, ed è evidente che sarà conveniente utilizzarli soltanto se saranno in grado di garantire totale sicurezza.
L’Italia rimane in questo campo nelle posizioni di retrovia, anche se è molto probabile che la partenza dell’Agenzia digitale, alla cui guida il Consiglio dei ministri ha designato alla fine di ottobre Agostino Ragosa, potrebbe dare un nuovo e decisivo impulso alla partenza del Cert nazionale. Anche perché i temi della sicurezza non possono non essere una premessa fondamentale di quel “piano nazionale dell’Ict” proposto da Ragosa, che vuole chiamare a raccolta attorno a questa idea tutti i player del settore, dalle aziende a ogni livello della pubblica amministrazione: un serbatoio di esperienze e competenze che finora si è sviluppato a spese e per iniziativa dei privati, e che per questo oggi ha bisogno di una piattaforma in cui armonizzare e ottimizzare i risultati, scambiando informazioni preziose con le strutture analoghe del resto della Ue.
A oggi è sicuro che il Cert nazionale italiano sarà individuato presso il ministero per lo Sviluppo economico, come stabilito dal decreto legislativo 70 del 28 maggio 2012, e sono già stati portati a termine gli studi preliminari che hanno individuato le capacità minime richieste e i servizi da erogare. È l’ora della vera e propria start-up, il momento in cui i rappresentati del settore pubblico e privato si confronteranno e valuteranno il modello organizzativo che meglio risponde alle esigenze del caso, individuando sedi e risorse umane, organizzando la logistica e gli strumenti per l’inizio delle attività. Senza parlare delle convenzioni, dei protocolli d’intesa e degli accordi di mutuo supporto necessari per far partire la collaborazione con la PA e i privati. Un percorso che nemmeno i più ottimisti potrebbero ormai immaginare di veder concluso nel giro di un solo mese, anche a causa dei venti di tempesta sul Governo Monti.
Ma cosa sarà richiesto nello specifico al Cert nazionale una volta che il motore sarà partito ed entrato a regime, in attesa di poter contare, entro la fine del 2013, anche su un sistema europeo di condivisione delle informazioni e di allarme per i cittadini e le Pmi? Il Cert dovrà innanzitutto essere un centro di eccellenza per la sicurezza informatica in Italia, e per questo dovrà mutuare le esperienze migliori che già si sono formate nel Paese e nel resto della Ue, approfittando in questo caso anche delle competenze di chi è più avanti. Custodirà e fornirà informazioni in tempo reale sulle minacce che potrebbero danneggiare infrastrutture, imprese e cittadini, fornendo supporto a chi ne avesse bisogno per gestire le conseguenze di incidenti o emergenze. Ma sarà fondamentale anche perché rappresenterà l’Italia nella cooperazione con gli altri Cert dell’Unione europea e con le autorità nazionali e internazionali del settore, raccogliendo i dati, stilando le statistiche e programmando, con l’obiettivo di dare vita a procedure standardizzate di reazione e coordinamento.
