Un decreto legge del Governo struttura e regolamenta il nuovo organismo, che sarà posto sotto il diretto controllo del Presidente del Consiglio. La svolta, già annunciata nei mesi scorsi dal sottosegretario Gabrielli, punta a rafforzare la resilienza del Paese agli attacchi cibernetici superando la fase iniziale di “supplenza” svolto dal comparto dell’Intelligence nazionale.

Nasce l’Agenzia per la Cybersicurezza Nazionale (ACN): la bozza del decreto legge che ne prevede l’istituzione, illustrata ieri al COPASIR (Comitato parlamentare per la sicurezza della Repubblica) dal Sottosegretario ai Servizi Franco Gabrielli, è stata successivamente approvata dal Consiglio dei Ministri. Da come si leggeva nella bozza, un ulteriore impulso all’adozione del provvedimento è stato dato dalla “necessità ed urgenza di dare attuazione al Piano Nazionale di Ripresa e Resilienza, deliberato dal Consiglio dei ministri nella riunione del 29 aprile 2021, che prevede apposite progettualità nell’ambito della cybersicurezza, in particolare per l’istituzione di un’Agenzia di cybersicurezza nazionale”.

Il decreto legge, formato da 19 articoli, istituisce di fatto la suddetta Agenzia che, secondo quanto sancito dall’art. 5, ha “personalità giuridica di diritto pubblico ed è dotata di autonomia regolamentare, amministrativa, patrimoniale, organizzativa, contabile e finanziaria”. Esso inoltre attribuisce esclusivamente al Presidente del Consiglio dei ministri “l’alta direzione e la responsabilità generale delle politiche di cybersicurezza, anche ai fini della tutela della sicurezza nazionale nello spazio cibernetico” e istituisce “presso la Presidenza del Consiglio dei ministri il Comitato interministeriale per la cybersicurezza (CICS), con funzioni di consulenza, proposta e deliberazione in materia di politiche di cybersicurezza”.

La governance dell’Agenzia e i compiti

Sotto il diretto controllo del COPASIR, l’Agenzia sarà istituita in capo alla Presidenza del Consiglio dei Ministri, con una dotazione di 530 milioni di euro fino al 2027, un organico iniziale di 300 dipendenti e assunzione di personale ad hoc. Inoltre, includerà anche il Nucleo per la Sicurezza Cibernetica (NSC) che, al momento, è sotto il controllo del Dipartimento delle Informazioni per la Sicurezza (DIS), l’organo governativo che coordina le attività dell’intelligence interna (AISI) ed esterna (AISE). La direzione dell’agenzia “sarà affidata a un dirigente di prima fascia”, e il nome più papabile è quello di Roberto Baldoni, professore ordinario di Sistemi Distribuiti presso la Facoltà di Ingegneria dell’Informazione dell’Università degli studi Sapienza di Roma e vicedirettore del DIS con delega alla cybersecurity.

Tra le funzioni principali di cui l’Agenzia si occuperà, come si legge all’art. 7, c’è il “coordinamento tra i soggetti pubblici coinvolti in materia di cybersicurezza a livello nazionale”. Inoltre, l’ACN dovrà promuovere “la realizzazione di azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni, nonché per il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore”, e infine “predisporre la strategia nazionale di cybersicurezza”.

Una svolta annunciata per rafforzare la resilienza del Paese

Questo importante cambiamento era stato preannunciato dall’Autorità delegata per i servizi segreti, il sottosegretario alla presidenza del Consiglio Franco Gabrielli, che aveva evidenziato la necessità di un’agenzia come l’ACN nel corso di un’intervista concessa al quotidiano online Cybersecurity Italia lo scorso 8 aprile, a margine del convegno “Le nuove reti per l’industria italiana e per i consumatori” tenutosi a Roma: “In questi anni il comparto intelligence ha svolto una funzione di supplenza”, disse Gabrielli. “ma esso si occupa di un aspetto, non della complessità della resilienza cibernetica. Credo sia arrivato il momento di creare un’agenzia che tratti in maniera olistica la cyber security, nonché la crescita culturale in questo settore che, a mio giudizio, costituisce la precondizione per essere veramente capaci di affrontare i temi di questa nuova frontiera. È tempo di affrancarci da una modalità emergenziale per affrontare l’argomento in modo più strutturale e più ordinato.”

Secondo quanto riferito dal sottosegretario, questa Agenzia rappresenta lo strumento che aumenterà la cyber resilience del Paese dagli attacchi informatici. Infatti Gabrielli, durante una successiva audizione al COPASIR del 15 aprile, ha ribadito l’assenza di una diffusa consapevolezza dei rischi sul fronte cibernetico e la necessità di “rafforzare la resilienza e la capacità di resistere agli attacchi informatici che possono essere di diversa natura e colpire asset strategici”. Gabrielli ha spiegato come proprio da questa necessità nasca “l’esigenza di creare un’agenzia nazionale dedicata che sia esterna al sistema di intelligence. Finora il DIS ha avuto un ruolo di coordinamento con un vicedirettore ad hoc, Roberto Baldoni. Ora le cose cambieranno e si metterà mano a una riorganizzazione dell’apparato istituzionale di risposta al rischio cyber.”

L’On. Massimo Artini, cofondatore di Laran ed esperto di sicurezza cibernetica, ha così commentato l’approvazione del decreto legge che ha istituito l’ACN: “Si tratta di un passo importante per la sicurezza del nostro Paese, che consente di rispondere a un’esigenza presente da anni. L’aver concentrato strutture e competenze in un’unica agenzia garantirà maggiore efficienza e rapidità di reazione alle minacce e alle crisi cibernetiche, inoltre offrirà la ‘massa critica’ necessaria per affrontare in modo organico le complesse problematiche della sicurezza cibernetica.”
Artini ha poi suggerito di valutare, durante la discussione parlamentare del nuovo decreto, la possibilità di introdurre alcuni elementi per rafforzare ulteriormente il sistema di sicurezza cibernetica nazionale: “Manca ancora una procedura chiaramente definita per la gestione delle contromisure cibernetiche, soprattutto per quanto riguarda la risposta ad attacchi provenienti da altri Stati. Tali contromisure potrebbero essere affidate alle Forze Armate, alle quali è già demandata la deterrenza e la capacità di reazione a eventuali attacchi nei domini fisici (terra, mare, cielo e spazio). Per migliorare il coordinamento nazionale in ambito cyber si potrebbe pensare l’istituzione di referenti o uffici dell’Agenzia da integrare permanentemente all’interno dei vari ministeri, sulla falsariga degli Uffici Centrali di Bilancio del MEF. Infine, sarebbe opportuno dare una spinta verso una maggiore sovranità nazionale sulle tecnologie cyber, sostenendo lo sviluppo e la produzione di software e hardware nazionali da impiegare nelle reti e nei sistemi di maggiore rilevanza strategica. A questo scopo, e non solo, sarebbe importante realizzare un’aerea dedicata allo sviluppo delle tecnologie cibernetiche, dove giovani talenti e start-up possano liberare tutto il proprio potenziale, venire in contatto con le grandi aziende e farsi notare dagli enti statali preposti alla sicurezza cibernetica. Potremmo pensare a un incubatore di tecnologie e capacità secondo il modello del CyberSpark israeliano di Be’er Sheva.”