Strategia ambiziosa, ma manca il personale: la corsa difficile dell’Agenzia per la Cybersicurezza Nazionale

Secondo quanto risulta a True News, sono solo una quarantina i professionisti assunti sinora dall'Agenzia per la Cybersicurezza Nazionale

Nel mese di giugno l’Agenzia per la Cybersicurezza Nazionale (Acn), a meno di un anno dalla costituzione, ha varato il suo primo documento strategico.

Cosa continene la strategia di cybersicurezza dell’Acn

La Strategia Nazionale di Cybersicurezza 2022-2026 promossa dall’Acn si pono l’obiettivo di governare ” l’incessante evoluzione delle moderne tecnologie” in modo tale da “rendere più conveniente la migrazione” verso il digitale dei servizi strategici, valorizzando anche la “resilienza e la sicurezza delle reti e dei sistemi su cui tali servizi si basano possono garantire la sicurezza per la nostra comunità e, in prospettiva, lo sviluppo economico e il benessere dello Stato”.

Propositi importanti per un’organizzazione inserita nel quadro del Sistema informativo per la sicurezza della Repubblica, fuori dal perimetro del Dipartimento delle Informazioni della Sicurezza (Dis) guidato da Elisabetta Belloni che coordina l’attività dell’intelligence italiana ma come esso alle dirette dipendenze del Presidente del Consiglio dei Ministri.

Recependo il decreto del 14 giugno 2021 che l’ha istituita, l’Acn si è data una strategia che ritiene funzionale a portare alla massima estensione il perimetro nazionale di sicurezza cybernetica e l’attivazione delle direttive Nis.

Essenzialmente si colgono tre livelli di attenzione nell’operatività dell’Acn:

  • Un livello prettamente strategico-operativo: l’Acn mira a definire con attenzione il perimetro delle minacce cybernetiche provenienti tanto da attori ostili di carattere statuale quanto da gruppi criminali privati operanti nel deep web e intende prevenirne l’azione “assicurando, al contempo, la fiducia dei cittadini nella possibilità di sfruttarne i relativi vantaggi competitivi, nella piena tutela dei diritti e delle libertà fondamentali”.
  • Un livello di presidio tecnologico fondato sulla trasformazione della cybersicurezza, che è divenuta una questione di importanza strategica, in un fondamento del processo di digitalizzazione del Paese, sia a livello di pubblica amministrazione che di impresa privata. L’Acn vuole che la cybersicurezza “emerga quale elemento imprescindibile della trasformazione digitale, anche nell’ottica di conseguire l’autonomia nazionale strategica nel settore” e vuole certificare i livelli di sicurezza di software e hardware per definire quali sono coerenti coi suoi obiettivi.
  • Un livello politico connesso all’interlocuzione diretta dell’Acn con i decisori e alla sua natura ibrida tra agenzia di intelligence, ente di ricerca, forza dell’ordine cybernetica. L’Acn potrà fornire i dati per analisi e approfondimenti alle agenzie di spionaggio, consultarsi con la Polizia Postale e gli altri corpi investigativi, promuovere assieme al Ministero della Difesa un rafforzamento delle capacità militari di difesa e proiezione assegnate al Comando Operazioni in Rete.

In quest’ottica va sottolineato che, nell’ultimo punto in questione, ritenuto oggigiorno tra i più critici data l’esposizione dell’Italia alla “guerra senza limiti” tra Occidente e Russia, la strategia nazionale L’Italia è pronta ad effettuare cyber attacchi per difendersi dall’azione degli hacker ostili.

La Difesa si tiene le operazioni in rete

L’Acn nota nel documento che le “ultime tensioni internazionali hanno messo in evidenza l’importanza primaria di un meccanismo efficiente di gestione delle crisi cibernetiche, che consenta, con l’apporto di tutti i soggetti interessati, di graduare le attività sulla base di scenari predefiniti della minaccia cyber – che vanno dalla pre-allerta in vista di possibili eventi cyber sistemici su larga scala, fino al loro verificarsi in maniera conclamata – al ricorrere dei quali viene innescata l’immediata applicazione di strumenti, procedure e norme di linguaggio comuni”.

In quest’ottica, va sottolineato il fatto che “la rapidità con cui eventi cyber possono verificarsi e susseguirsi, specie in scenari geopolitici complessi, richiede, infatti, un coordinamento continuativo tra tutti i soggetti pubblici e privati interessati, nonché prontezza nel dispiegamento di un set predefinito di misure”.

 

In quest’ultimo punto, l’Acn sembra però non aver potere decisionale per le azioni sistemiche in capo alla Difesa. Secondo quanto ha ricordato in un post Facebook  Angelo Tofalo, onorevole del Movimento Cinque Stelle ed ex sottosegretario alla Difesa nel governo Conte II,  alla discussione in Parlamento avvenuta nei giorni scorsi è stato rivisto l’Articolo 88 del COM, il Codice dell’Ordinamento Militare, “garantendo in forma esclusiva al Ministero della Difesa la facoltà di ordinare e condurre operazioni di cyber defence.

Alle unità terrestri, navali e aeree preposte alla difesa del territorio nazionale, infatti, verranno integrate anche quelle cibernetiche e aerospaziali (Comando Operazioni Spaziali)”, con la possibilità di agire in profondità.

Mancano i professionisti: e Ciardi non vuol svuotare la Postale

L’Acn risulta quindi di fatto ridimensionata nella sua capacità d’azione dichiarata nella strategia 2022-2026. Resta l’indubbio peso specifico con cui l’Acn potrà agire sul fronte del potenziamento delle capacità del Centro di Valutazione e Certificazione Nazionale (CVCN) e, negli ambiti di competenza, dei Centri di Valutazione (CV) del Ministero dell’Interno e della Difesa per le tecnologie critiche, nonché sull’integrazione degli stessi “con una rete di Laboratori Accreditati di Prova, permetterà di sviluppare capacità nazionali di valutazione delle vulnerabilità di tecnologie avanzate a servizio degli asset più critici del Paese”.
Tutto questo si scontra in ogni caso con il vero tallone d’Achille che l’Acn deve doppiare: la carenza di professionisti per colmare il primo scaglione di reclutamento di trecento professionisti nei suoi ranghi che, secondo quanto riportano fonti vicine al dossier della cybersicurezza nazionale ascoltate da True News, sarebbero stati riempiti per poco più del 10%, con una quarantina di tecnici. Tanto che perfino il direttore Roberto Baldoni si sarebbe lamentato dei ritardi nei vuoti di organico, mentre il suo vice, nonché figura principale sul lato operativo, Nunzia Ciardi, non sarebbe intenzionata a accettare uno spostamento in massa verso l’Acn di professionalità provenienti dal corpo più efficiente in materia di sicurezza cybernetica, la Polizia Postale di cui ha diretto le attività contro il cybercrime dal 2017 al 2021. L’Acn, insomma, vive il rischio di imbattersi nel collo di bottiglia che ha coinvolto l’intero mondo tecnologico nazionale: il ritardo nella formazione di competenze di base, professionalità e best practices e i problemi nel far diventare “sistemiche” le eccellenze del Paese. Un fronte su cui con investimenti e governance nei prossimi anni si dovrà operare per non far restare i propositi della strategia quadriennale lettera morta.