Il burosauro, ovvero uno dei dinosauri della pubblica amministrazione che sopravvivono, agiscono, parlano e scrivono in modo complicato e autoreferenziale, ostacolando lo scambio trasparente tra Stato e cittadino. È così che è stato definito alcuni giorni fa il decreto-legge che introduce disposizioni urgenti in materia di cybersicurezza e l'istituzione dell'Agenzia per la cybersicurezza nazionale (ACN) da Umberto Rapetto, già generale della Guardia di Finanza, nella sua recente audizione alla Camera: “Questo approccio all'emergenza cibernetica confligge con il buon senso e dimentica le esperienze straniere dove i Governi hanno preferito un ristretto manipolo di veri conoscitori della materia per assumere rapidamente le decisioni e muovere le pedine già operative per affrontare attacchi digitali, gestire la controffensiva, ripristinare la situazione quo ante e, nei periodi di apparente quiete, coordinare tutte le iniziative per innalzare il livello di preparazione e la capacità reattiva di chi gestisce le infrastrutture critiche e delle organizzazioni pubbliche e private che erogano servizi essenziali”.

Ma, mentre è in corso l'attacco hacker alla Regione Lazio, l'Agenzia per la cybersicurezza nazionale (Acn) punta a diventare legge dello Stato entro la metà di questa settimana, con il voto al Senato. Ne parla, in un'intervista a La Repubblica, Franco Gabrielli, autorità delegata del governo Draghi per la sicurezza: “Due Paesi come la Germania e la Francia si sono dotati di un'Autorità nazionale di resilienza cybernetica già da molto tempo. La Germania nel 1991, la Francia nel 2009. Noi arriviamo trafelati a questo 2021, con, lo dice il ministro Colao, un 95 per cento di server della pubblica amministrazione non affidabili e la prospettiva di 1 trilione di dispositivi digitali attivi sul pianeta entro il 2030. Siamo già immersi nell'intelligenza artificiale e nella dimensione digitale delle cose. Ecco perché dico che dobbiamo correre. E la nascita dell'Agenzia è l'inizio di questa corsa”.

Perché questo ritardo? “Ci si è impantanati in un dibattito decennale che immaginava la cybersicurezza inserita all'interno del perimetro della nostra Intelligence. Il che, per certi aspetti, era anche comprensibile. Il ragionamento, per molto tempo, è stato quello di immaginare che il contesto delle agenzie di Intelligence avrebbe consentito capacità e tempi di sviluppo di un'Agenzia civile per la cybersicurezza più rapidi”. Quella scelta “ha fatto sì che, per anni, mentre l'Europa ci chiedeva un interlocutore certo, definito e unitario sui temi della cybersicurezza, noi abbiamo avuto 23 soggetti competenti che interloquivano su quella materia. E che mentre Paesi come Francia e Germania si dotavano di agenzie con non meno di 1.000 addetti, noi non siamo andati al di là di 50 validi operatori al Dis e la promessa assunzione di 70 ingegneri informatici al Mise, mai arrivati”.

Appena la scorsa settimana il presidente americano Joe Biden, ha approvato un memorandum per rafforzare la cybersicurezza delle infrastrutture chiave di alcuni dipartimenti e uffici federali, a fronte dei timori legati alla vulnerabilità dimostrata dai servizi informatici nei recenti attacchi. In un comunicato, la Casa Bianca sottolinea la responsabilità del governo federale e degli enti pubblici nella protezione di infrastrutture considerate della massima importanza, un compito che spetta anche ai proprietari e agli operatori privati di questi sistemi: “Le minacce alla sicurezza informatica nei confronti dei sistemi che controllano e gestiscono le infrastrutture chiave, dalle quali tutti dipendiamo, sono tra i problemi più importanti che affronta la nostra nazione”. In questo senso, anche l'Italia intende fare una scelta chiara che, come evidenzia Gabrielli”vede quella che abbiamo battezzato resilienza cybernetica - e dunque le strutture, le professionalità, la formazione necessarie a dotare il Paese di un'autonomia tecnologica che le consenta di raggiungere livelli di produzione hardware e software che ci rendano competitivi nello scenario internazionale - in capo a un soggetto pubblico, l'Agenzia per la cybersicurezza nazionale. Che si muoverà sotto la guida della Presidenza del Consiglio, che dialogherà con tutte le pubbliche amministrazioni e i soggetti privati destinati a dotarsi di strumenti di sicurezza cybernetica. Contestualmente, abbiamo invece lasciato alle forze di Polizia le indagini sui crimini cyber, alla Difesa quello degli attacchi alle nostre infrastrutture militari e all'Intelligence, Dis, Aise e Aisi, quello della raccolta delle informazioni. Se la dovessi dire con una parola, l'Agenzia per la cybersicurezza nazionale è uno strumento di safety che si aggancerà e completerà gli altri strumenti di security di cui disponiamo: forze di polizia, difesa, Intelligence. Un modello misto che poggia su quattro pilastri”.