Cos’è la difesa cibernetica? Quali soggetti se ne occupano in Italia? Che norme regolano il settore? Se negli ultimi anni si è sentito parlare sempre più di cyber security, la cyber defence è rimasta un argomento poco conosciuto, o comunque trattato solo dagli addetti ai lavori.

In Italia ciò è in parte cambiato con gli attacchi hacker ai danni della Regione Lazio nell’agosto 2021, che hanno causato non poca preoccupazione nell’opinione pubblica circa minacce cibernetiche alle infrastrutture e infostrutture delle istituzioni pubbliche.

Un recente studio IAI analizza la realtà italiana e il contesto dell’Alleanza Atlantica, a partire da alcune rilevanti novità sul piano istituzionale.

Un nuovo Comando militare…
La prima importante novità nel quadro italiano di difesa cibernetica, tutta interna alle Forze Armate, è rappresentata dal Comando per le Operazioni in Rete – Cor, inaugurato nel febbraio 2020.

La nascita del Cor è stata dettata dalla necessità di individuare un unico organismo incaricato di coordinare le attività di sicurezza e difesa cibernetica del Ministero della Difesa, al fine di ottenere una visione completa delle attività che si svolgono entro questo dominio. Ad essa si sommava l’intenzione di ottimizzare l’apparato tecnico-operativo della Difesa nel campo cibernetico, e da qui la natura interforze del Comando.

Il Cor, che risponde direttamente al Capo di Stato Maggiore della Difesa, è composto da tre reparti, a loro volta suddivisi in diversi uffici. Il Reparto C4 (che prende il nome dall’acronimo di Command, Control, Communications, Computers) gestisce le tecnologie di informazione e comunicazione di tutti gli Stati maggiori, garantendo continuità delle operazioni e ripresa in caso di incidente, oltre che sviluppo delle tecnologie stesse.

Al fine di sviluppare un’efficiente architettura nazionale di difesa cibernetica, il Reparto Sicurezza e Cyber Defence è impegnato in un’attività di prevenzione del rischio che si concretizza nel delineare capacità di difesa, controllare operazioni in corso, ed elaborare strategie per contrastare le minacce cibernetiche.

Infine, il Reparto Operazioni Cibernetiche ha di fatto sostituito l’ex-Comando Interforze per le Operazioni Cibernetiche (Cioc), acquisendo così competenza su tutto il ventaglio di attività militari entro il dominio cibernetico: dall’analisi delle minacce alla protezione delle infrastrutture informatiche, dal reclutamento di personale ad attività di procurement.

…e una nuova Agenzia di sicurezza
La seconda novità in ordine di tempo ma di ben più ampia portata, interagendo con diversi Ministeri e attori privati, è l’Agenzia per la Cybersicurezza Nazionale – Acn in breve – istituita tramite la legge n. 109 del 4 agosto 2021, deputata anche a delineare il Quadro Strategico Nazionale per la Sicurezza dello Spazio Cibernetico.

La nuova governance prevede l’acquisizione da parte dell’Agenzia delle competenze di sicurezza cibernetica in precedenza appannaggio del Sistema di informazione per la sicurezza. Quest’ultimo rimarrà comunque coinvolto tramite il neocostituito Nucleo per la cybersicurezza, ovvero l’organismo incaricato di rispondere nell’eventualità di un attacco cibernetico contro il Paese.

L’Agenzia assume così le funzioni principali contemplate dal Perimetro di sicurezza cibernetica nazionale – inizialmente tracciato nel 2019 e poi esteso dal governo Draghi lo scorso giugno – incluso il ruolo di autorità di certificazione della cybersecurity di prodotti e tecnologie utilizzate dai soggetti, pubblici e privati, parte del Perimetro.

L’istituzione dell’Acn ha anche portato all’assunzione di 300 esperti di sicurezza cibernetica. Si tratta di un dato importante, considerata la frequente difficoltà della pubblica amministrazione nel competere nei segmenti ad alta tecnologia con il settore privato internazionale, in termini di compensi economici e opportunità di carriera dei propri dipendenti.

Verso competenze più efficaci ed efficienti?
L’istituzione di questi nuovi enti porta con sé una serie di benefici sul lato pratico che rendono potenzialmente il quadro istituzionale italiano più efficiente nella prevenzione, analisi e contrasto delle minacce cibernetiche.

Oltre ad un miglioramento della sicurezza e difesa cibernetica nazionale in termini di chiarezza di ruoli e funzioni e di sviluppo di capacità, vi sono infatti una serie di vantaggi quali una rinnovata attenzione posta sul tema in Italia.

Se da un lato la nuova Agenzia sarà impegnata anche in campagne di sensibilizzazione dell’opinione pubblica alla minaccia cibernetica, dall’altro si occuperà di formazione specialistica di personale che andrà a ricoprire incarichi a livello istituzionale.

Vi è infine una notevole opportunità di sinergia pubblico e privato. Lo stesso decreto-legge istituente l’Acn stabilisce la possibilità di stipulare accordi ad hoc mirati ad un generale miglioramento delle reciproche competenze – uno sviluppo decisamente benvenuto, che fa ben sperare riguardo una futura collaborazione tra pubblico e privato nel campo della difesa e sicurezza cibernetica.

D’altra parte, le attività portate avanti dal Cor permetteranno alla Difesa di stabilire contatti con il mondo accademico e industriale, e la stessa attività militare di cyber defence necessita di un ecosistema tecnologico e industriale nazionale incline all’innovazione sulle tecnologie chiave per il dominio cibernetico. Si tratta di un ambito in cui la sovranità operativa è strettamente legata a quella tecnologica, e il confronto internazionale si gioca sul design di hardware, software e reti prima ancora che sul loro utilizzo a fini difensivi o offensivi.

Nell’immediato futuro, sarà importante che il Comando, l’Agenzia e in generale gli attori coinvolti nel Perimetro si impegnino a concretizzare quanto previsto dalla nuova governance, tenendo presente che la minaccia in rete è ancora più veloce di quella cinetica.

*Questo articolo rappresenta il primo di una trilogia tratta dallo studio IAI “L’Italia e la difesa cibernetica”.