Corre a una velocità sempre più frenetica l’investimento nella cybersecurity. Oggi la sfida è quantomai inderogabile ma parte da una posizione sfavorevole, visto che nel biennio 2019/2020 in Italia gli stanziamenti per la sicurezza informatica sono aumentati solo del 4% a fronte di un incremento negli anni precedenti dell’11 o 12%. «È urgente realizzare un lavoro di messa a sistema», dice Giulia Pastorella, esperta di cybersecurity e data policy, Zoom – EU Government Relations Director, nel 2016 selezionata da Forbes tra i 30 under 30 più influenti nel mondo di Law and Policy. «A livello locale, nazionale ed europeo si è sviluppata la consapevolezza che la cybersecurity sia un tema da affrontare, ma è stato fatto fino a ora in maniera molto frammentata. Il rischio di sottoperformance è dietro l’angolo». Molte piccole e medie imprese sentono di essere state lasciate sole a difendere il proprio futuro: il PNRR, sul tema, fa focus più sulla pubblica amministrazione che sul privato. Ma non mancano spiragli positivi, su tutti la spinta dell’Europa per creare reti di osservazione e supporto sempre più efficienti.
«A livello italiano siamo indietro, va fatto passare il messaggio che la cybersecurity non è un obbligo a cui le aziende devono sottostare come una costrizione, ma è parte integrante di qualsiasi business. Deve essere percepito come un valore aggiunto e non come un dazio da pagare in funzione di una certa normativa. Questo salto di consapevolezza non è ancora stato fatto perché non c’è ancora stato un accompagnamento adatto alle stesse aziende».
Le PMI non si sentono sostenute su questo tema e non sanno che strategie adottare. Dov’è il problema?
«La consapevolezza della minaccia cibernetica esiste, ma viene sempre percepita come qualcosa di distante. “Sicuramente non capiterà a me”, pensano in molti. Ma un’azienda deve capire che gli attacchi informatici non sono questione di “se”, ma questione di “quando”. La necessità di stanziamenti in sistemi di protezione e anticipazione viene vista come un investimento ad alto costo ma a potenziale rendimento zero: un’assicurazione contro qualcosa di molto improbabile. Non c’è chiarezza sul ritorno di investimento per le piccole e medie imprese e per loro è spesso complesso investire i già pochi fondi, che magari stanzierebbero più volentieri su Ricerca e Innovazione – e non darei loro torto! Inoltre le PMI hanno un pool di competenze per questioni banalmente numeriche limitato, non possono avere esperti in ogni campo. Dunque devono affidarsi a consulenze esterne e questo step rende complesso e più costoso mantenere aggiornate protezione e resilienza del proprio sistema IT. La cybersecurity non è un monolite, i servizi variano da azienda ad azienda a seconda delle esigenze, dai flussi di dati e tante variabili. Non esistono soluzioni univoche per tutti. Credo che per le PMI sia davvero complesso stare al passo. Esistono organi preposti all’assistenza, come gli Innovation Hub di Confindustria o enti nei ministeri. Richiedono però una consapevolezza e una voglia di informarsi di partenza che non è detto esista. Questo accompagnamento va rafforzato».
Nel PNRR però il digitale è uno degli elementi strutturali. Questo potrebbe creare un’evoluzione anche nell’ambito della sicurezza?
«La parte digitale del PNRR ha un grossissimo focus sulla pubblica amministrazione, a cui è dedicata la parte più corposa dei fondi. Quindi si riferisce poco specificatamente alle PMI. Sulla parte cybersecurity il nuovo piano si concentra sulla cyber soprattutto come servizio per ottenere una protezione dagli attacchi e meno come un settore in cui investire in quanto tale, uno in cui l’Italia potrebbe ancora eccellere».
È un bene o un male?
«Sono d’accordo che, coi fondi limitati, prima sia necessario mettere ordine negli apparati statali (che significa proteggere i dati dei cittadini). La messa in sicurezza della pubblica amministrazione è un lavoro complesso per via di infrastrutture obsolete, mancanza di competenze e risorse scarse. Diciamo che però il resto degli sforzi non va, sembra, nella direzione di necessità di accompagnamento nella transizione 4.0 e innovazione delle aziende. Per esempio, il PNRR prevede la creazione di alcuni nuovi centri di innovazione sul territorio, ma questo aggiunge ulteriore frammentazione all’offerta di innovazione e trasferimento tecnologico già molto sparpagliata. Al contrario ritengo ci sia bisogno di razionalizzazione e consolidamento perché l’innovazione si basa su ecosistemi e sull’economia di scala, sull’aggregazione di talenti. Moltiplicare questi centri, quando poi ci mettono decenni per attecchire sui territori e lanciare progetti significativi, significa non raccoglierne i frutti. La razionalizzazione dell’offerta aiuterebbe la domanda, che è quella delle PMI, ed eviterebbe confusione e spreco di risorse. Non è un caso se nell’indice DESI (Digital Economy and Society Index) retrocediamo sempre di più».
Il governo è al lavoro nella creazione di un organo di sicurezza digitale…?
«Potrebbe essere un passo avanti, ma la creazione dell’organo in sé è una soluzione solo se realizzata nella maniera giusta. Non deve trasformarsi in un ennesimo aggregatore di competenze confuse. La mia speranza è che si ispiri al modello dell’NCSC britannico, organo che, lasciando a chi di competenza la parte sulla sicurezza nazionale, ha creato un one stop shop per le aziende che necessitino di supporto in cybersecurity. In Italia, dalle voci di corridoio, sembra già che ci sarà un po’ più di confusione. Le competenze in questa nuova struttura dovranno essere ben chiare per evitare accentramenti eccessivi di mansioni e affrontare al meglio le diverse situazioni. La sicurezza nazionale e quella dei cittadini, per esempio, sono campi diversi. Molto dipenderà dalle persone scelte che abbiano la giusta conoscenza tecnica combinata a una consapevolezza dei problemi del mondo produttivo italiano».
E l’Europa fornisce supporto nell’affrontare questa sfida?
«Assolutamente sì e lo fa agendo su diversi fronti. Intanto, quello di diverse regolamentazioni da applicare a tutti gli Stati membri, come con la direttiva NIS sulle infrastrutture critiche, in revisione proprio in questi mesi, che fornisce elementi e standard per proteggerle dal punto di vista cyber e per coordinare la risposta in caso di attacco. L’UE è anche impegnata nel certificare uno standard di sicurezza valido in tutti gli stati membri per dispositivi connessi, servizi software o cloud. Questo permetterebbe una coesione e uniformità di standard nel mercato unico ed eviterebbe che arrivassero, per esempio, dispositivi IoT non sicuri da altri Paesi. L’altro fronte su cui agisce è organizzativo, tramite il coordinamento di centri nazionali e osservatori. Gli attacchi cyber non si fermano ai confini delle nazioni, dunque è fondamentale collaborare, ci vuole una strategia coordinata e questi centri sono creati per confrontarsi continuamente. Anche a livello di investimenti l’UE sta facendo degli sforzi anche se i fondi sono pochi».
E in mezzo a tutto questo le tensioni tra Russia e USA in tema di sicurezza digitale non mancano di creare dei dibattiti, perfino Draghi ne ha parlato pubblicamente.
«Sicuramente le tensioni ci sono da molto. In Europa siamo stati vittime di una guerra fredda sino-statunitense, la cosiddetta tech cold war, scatenata intorno alla produzione di chip, tra dazi ed altro. Una tensione che non si è allentata con il cambio di presidenza USA. La Russia ha sempre giocato una partita a parte, fatta di attacchi, più che sul fronte tecnologico puro, sul fronte digitale in senso più ampio, si pensi alle ingerenze elettorali. Ma quello non rientra propriamente nella cybersecurity. Si sta facendo di tutto per limitare le ingerenze russe con iniziative di trasparenza. Questa è la parte che vediamo e in cui sono coinvolte le grandi piattaforme social, poi c’è la parte di confronti geopolitici tra Stati che noi non vediamo».
Si stanno ricreando due blocchi come a metà Novecento, da una parte la Russia e dall’altra l’occidente?
«Io parlerei più di tanti blocchi, da un certo punto di vista blocchi commerciali, che stanno richiudendo le proprie frontiere digitali pensando che la dipendenza da altri Paesi nel settore cyber crei debolezza. Sta nascendo un nazionalismo tecnologico, le nazioni stanno sviluppando un protezionismo digitale giustificato con la difesa dei cittadini, ma le cui motivazioni risiedono in un’intenzione di sovranismo economico molto più spinto. Nella pratica si traduce spesso nella creazione di standard nazionali interni digitali che rendono più difficile l’accesso al mercato da parte di players internazionali. Assistiamo a una frammentazione del mondo online che, nato per azzerare le frontiere, viene ora ri-assorbito dalle nazioni».