giovedì, 7 Novembre 2024

Cybersecurity: l’Italia è pronta a proteggersi?

DiAndrea Porcelli

15 Luglio 2024
Sommario
cybersecurity

Nonnis: «Con un budget di 2.000 euro al mese, come fanno i Comuni ad assumere nuovi tecnici…»

Tecnologia e connettività digitale dominano ogni aspetto della nostra vita quotidiana. La sicurezza informatica è quindi diventata una priorità assoluta per Governi, aziende e cittadini. Con l’approvazione della nuova legge sulla cybersecurity (28 giugno 2024, n. 90), l’Italia fa un passo significativo verso la protezione delle sue infrastrutture digitali e della privacy dei cittadini. Ma cosa comporta realmente questa normativa e quali sono le sue implicazioni pratiche? «Rappresenta un passo cruciale per rafforzare la difesa informatica del Paese», dice William Nonnis, Analista tecnico per la digitalizzazione e l’innovazione presso la Presidenza del Consiglio dei Ministri.

La nuova legge sulla cybersecurity

Quali sono le principali disposizioni introdotte dalla nuova norma sulla Cybersicurezza?

«Facciamo una premessa fondamentale, non sarà la legge cyber a risolvere tutti i grossi problemi che abbiamo da anni per una mancanza di visione. In Italia si cerca di normare tematiche globali senza incentivi economici. Il testo approvato obbliga le pubbliche amministrazioni a segnalare incidenti, ma è illogico aspettarsi che Comuni e Provincie assumano esperti di cybersecurity con budget di 1.500/2.000 euro al mese. Gli esperti seri guadagnano dai 5000 euro in su, sono evidenti i limiti strutturali e la scarsa attrazione della PA. Inoltre, l’adeguamento alla NIS 2 per le aziende private sarà difficile senza investimenti governativi.

Ma vediamo le principali norme:

● Inasprimento della repressione: le pene per l’accesso abusivo ai sistemi informatici vengono raddoppiate, passando da 1-5 a 2-10 anni di reclusione. In più sono previsti fino a 2 anni di detenzione e multe per chi detiene o distribuisce software dannosi.

● Obbligo di notifica degli incidenti: le Pubbliche Amministrazioni devono segnalare gli attacchi informatici all’ACN (Agenzia per la Cybersicurezza Nazionale) entro 24 ore dall’accaduto.

● Nomina di un referente per la cybersecurity: gli Enti Pubblici devono nominare un esperto dedicato, responsabile della gestione della sicurezza informatica, in linea con la Direttiva NIS2 europea.

● Rafforzamento del ruolo dell’ACN: l’Agenzia avrà maggiori responsabilità nella prevenzione degli attacchi e nel coordinamento con l’autorità giudiziaria.

● Introduzione di nuove figure di reato: vengono configurati reati specifici come l’estorsione cibernetica e migliorati gli strumenti di indagine e accertamento dei reati».

L’importanza della legge

Perché questa legge è importante?

«L’architettura nazionale di cybersicurezza delineata nel testo della norma è di fondamentale importanza per diversi motivi:

● Protezione delle infrastrutture critiche: mira a tutelare apparati strategici e vulnerabili del Paese, come reti elettriche, sistemi finanziari, trasporti e servizi sanitari, da attacchi informatici che potrebbero causare danni significativi alla sicurezza nazionale e al benessere dei cittadini.

● Coordinamento centrale: il rafforzamento del ruolo dell’ACN permette un coordinamento centralizzato delle attività di prevenzione, risposta e recupero dagli attacchi informatici, migliorando l’efficacia e la tempestività delle azioni.

● Maggiore responsabilità e controllo: la nomina di un referente per la cybersecurity in ogni ente pubblico assicura che ci sia una figura dedicata alla gestione delle tematiche di sicurezza informatica, garantendo un controllo più rigoroso e responsabile.

● Reazione tempestiva agli incidenti: l’obbligo per le Pubbliche Amministrazioni di notificare gli incidenti informatici entro 24 ore permette una risposta rapida e coordinata, riducendo l’impatto degli attacchi e migliorando la capacità di mitigare le conseguenze.

● Inasprimento delle pene: dovrebbe fungere da detterrente per reati informatici, riducendo il rischio di attacchi e aumentando la sicurezza complessiva del cyberspazio nazionale.

● Introduzione di nuove fattispecie di reato specifiche: la configurazione dell’estorsione cibernetica e il miglioramento degli strumenti di indagine rafforza il quadro legale, permettendo alle autorità di perseguire più efficacemente i crimini informatici.

● Allineamento con standard europei: l’architettura è in armonia con la Direttiva NIS2, assicurando che l’Italia sia in regola con i protocolli di sicurezza informatica europei e possa collaborare efficacemente con altri Paesi comunitari nella lotta contro le minacce informatiche.

Quello che penso è che la norma rappresenta un passo cruciale per rafforzare la difesa informatica del Paese, garantendo una maggiore protezione delle infrastrutture critiche, migliorando la risposta agli incidenti e allineando l’Italia agli standard di sicurezza europei».

L’Agenzia per la Cybersicurezza

In che modo la creazione dell’Agenzia per la Cybersicurezza nazionale influenzerà la gestione delle minacce digitali in Italia?

«Diciamo che sicuramente aiuta tantissimo, ma non basta, perché comunque abbiamo il problema del capitale umano e delle competenze che non permette quel salto di qualità.»

E quali saranno le responsabilità principali dell’Agenzia?

«Il nuovo Decreto-legge sulla cybersecurity rafforza e amplia le responsabilità dell’Agenzia per la Cybersicurezza Nazionale (ACN). Le principali funzioni sono:

● prevenzione degli attacchi informatici: monitoraggio delle minacce e sviluppo di strategie preventive.

● Coordinamento con l’autorità giudiziaria: collaborazione per l’indagine e l’accertamento dei crimini informatici.

● Supporto alle Pubbliche Amministrazioni: fornitura di linee guida e assistenza tecnica per migliorare la difesa e la risposta agli attacchi.

● Gestione degli incidenti: coordinamento delle operazioni di risposta e mitigazione degli attacchi.

● Istruzione e sensibilizzazione: promozione della formazione continua e della consapevolezza sulla sicurezza informatica.

● Analisi e valutazione delle minacce: studio delle vulnerabilità, con produzione di rapporti e valutazioni.

● Promozione della ricerca e dell’innovazione: supporto allo sviluppo di nuove tecnologie di sicurezza informatica.

● Collaborazione internazionale: cooperazione con enti e agenzie internazionali per condividere informazioni e coordinare le risposte globali.

● Supervisione e audit: verifica dell’implementazione delle misure di sicurezza informatica e garanzia della conformità agli standard e normative.

In sintesi, l’ACN avrà un ruolo centrale nella protezione del cyberspazio nazionale, con responsabilità che vanno dalla prevenzione e gestione degli attacchi alla formazione, ricerca e cooperazione internazionale».

I settori influenzati dal decreto

Quali sono i settori più critici che saranno maggiormente influenzati da questo decreto?

«Senza dubbio, avrà un impatto significativo su vari settori critici, tra cui:

● infrastrutture: energia (reti elettriche, gasdotti), trasporti (sistemi di trasporto pubblico, aeroporti, ferrovie, porti) e acqua (sistemi di distribuzione e trattamento).

● Settore finanziario: banche, istituti di credito, mercati azionari, sistemi di pagamento e assicurazioni.

● Sanità: ospedali, cliniche, sistemi di gestione delle informazioni sanitarie, aziende farmaceutiche e biotecnologiche.

● Pubblica amministrazione: Enti governativi e locali, gestione delle infrastrutture pubbliche, servizi di emergenza e sicurezza pubblica.

● Telecomunicazioni: reti di comunicazione, internet, operatori di telefonia mobile e fissa, fornitori di servizi internet.

● Industria e manifattura: settori industriali con sistemi di controllo e automazione, aziende di produzione tecnologica.

● Settore della difesa: forze armate, istituzioni, industrie della difesa e aerospaziali.

● Settore dell’istruzione e della ricerca: università, istituti di ricerca, laboratori e centri di innovazione tecnologica».

Il rafforzamento contro gli incidenti di cybersecurity

In che modo il decreto rafforza le capacità di risposta nazionale agli incidenti di cybersicurezza?

«A livello legislativo sicuramente ci sono grosse novità, ma secondo me non bastano, però elenchiamo il tutto e analizziamo punto per punto.

● Obbligo di notifica degli incidenti: le Pubbliche Amministrazioni devono segnalare gli attacchi informatici all’ACN entro 24 ore.

● Rafforzamento del ruolo dell’ACN: avrà maggiori responsabilità nella prevenzione e nel coordinamento delle risposte agli incidenti.

● Nomina di un referente per la cybersecurity: ogni ente pubblico deve avere un referente per la sicurezza informatica.

● Gestione degli incidenti: l’ACN coordinerà le operazioni di risposta agli attacchi, lavorando con le entità colpite.

● Analisi e valutazione delle minacce: effettuerà analisi dei rischi effettivi e delle vulnerabilità nazionali.

● Istruzione e sensibilizzazione: promozione della formazione continua e sensibilizzazione sulla sicurezza informatica.

● Introduzione di nuove figure di reato: definizione di nuove fattispecie e miglioramento degli strumenti di indagine.

● Supervisione e audit: sempre l’ACN monitorerà perennemente  l’implementazione delle misure di sicurezza informatica».

Le risorse finanziarie ed umane per aumentare la cybersecurity

Quali risorse finanziarie e umane sono state destinate all’attuazione delle nuove disposizioni?

«Il testo evidenzia una carenza di fondi sia nel settore pubblico che privato per adeguarsi al decreto-legge e alla Direttiva NIS2. Si prevede che molti operatori di servizi, che supportano anche la Pubblica Amministrazione, potrebbero essere sanzionati per non essere conformi. Nonostante ci siano alcuni investimenti nella PA, secondo me, non sono sufficienti. L’accento viene posto sull’importanza di educare il capitale umano sull’uso responsabile del digitale, evidenziando rischi, pericoli e opportunità, anziché risolvere tutto semplicemente normando il mondo digitale.»

Il Decreto in esame sulle Monete Digitali

In che modo invece, il Decreto in esame sulle Monete Digitali mira a proteggere gli investitori nel Mercato delle cripto-attività?

«Anche qua facciamo una premessa fondamentale sulle criptovalute: in Italia e in Europa si ragiona come se fossero CBDC (Euro Digitale, Dollaro Digitale), ma nascono con principi di libertà economica senza confini potenzialmente prive di limiti al loro uso universale. Gli exchange regolamentati sono simili alle banche, avendo accesso alle chiavi private degli indirizzi pubblici. Le vere crypto, come Bitcoin, funzionano senza intermediari. Si regolamenta un concetto di DLT centralizzato, non distribuito come le blockchain permissionless.

È necessario pensare a regole globali comuni, non per singoli Stati, per essere efficaci nel digitale. Per questo serve Visione da qui a trent’anni. Ora vengo alla domanda: la legge sulle cripto-attività si propone di proteggere gli investitori attraverso diverse misure chiave. Queste includono la regolamentazione e la trasparenza, con norme chiare per la registrazione delle piattaforme di scambio e degli emittenti di criptovalute, al fine di ridurre il rischio di frodi. La protezione dei consumatori è garantita tramite informazioni complete sugli investimenti, inclusi rischi e condizioni di trading.

La legge prevede anche un sistema di sorveglianza per monitorare le attività delle piattaforme e prevenire comportamenti fraudolenti. Misure rigorose sono inoltre previste per impedire l’uso illecito delle cripto-attività, come il riciclaggio di denaro sporco e il finanziamento del terrorismo, attraverso la verifica dell’identità degli utenti e la registrazione delle transazioni sospette. Infine, vengono promossi programmi di educazione finanziaria per consentire agli investitori di prendere decisioni informate. In conclusione, la legge mira a stabilire un ambiente regolamentato e sicuro per gli investimenti, proteggendo gli interessi di chi intende finanziare queste iniziative imprenditoriali digitali e mitigando i rischi associati».

L’influenza sui settori Fintech e Startup operanti con le crypto

Quale sarà l’influenza sul settore fintech e le Startup che operano con le Crypto attività in Italia?

«Secondo me l’impatto della nuova norma sarà abbastanza negativo sull’universo di Startup e fintech perché comunque attualmente ci stiamo approcciando a questo mondo in maniera sbagliata, in quanto possiamo tranquillamente dire a gran voce che il fenomeno incontrastabile di Bitcoin, non può essere considerato come una dimensione estranea a nessuno banche, lobby o istituzioni. Ecco perché bisogna oggi aprire la mente e far emergere i potenziali di questo sistema non solo dal punto di vista finanziario, ma con una visione corretta e rivoluzionaria». ©

Imparare cose nuove e poi diffondere: è questo il mio obiettivo. Proprio questo mi ha portato ad approfondire il mondo del web3, della finanza digitalizzata e delle crypto. Per il Bollettino mi occupo di raccontare una realtà ancora poco conosciuta in Italia, ma con un grande potenziale.