Così viene definito il decreto-legge che introduce l'istituzione dell'Agenzia per la cybersicurezza nazionale dal generale Umberto Repetto in un'audizione alla camera.
Nel 1962 una commedia di Silvano Ambrogi produceva un neologismo ancora in uso: Il burosauro. Ovvero uno dei dinosauri della pubblica amministrazione che sopravvivono, agiscono, parlano e scrivono in modo complicato e autoreferenziale, ostacolando lo scambio trasparente tra Stato e cittadino. È così che definisce il decreto-legge che introduce disposizioni urgenti in materia di cybersicurezza, la definizione dell'architettura nazionale di cybersicurezza e l'istituzione dell'Agenzia per la cybersicurezza nazionale (ACN) Umberto Rapetto, già generale della Guardia di Finanza, nella sua audizione alla Camera. L'esperto, che ha cominciato ad occuparsi di computer crime nel '87 e di cyberdefence nel '95 ha dichiarato: “La norma, forse per ridotta conoscenza dello scenario, è stata redatta senza tener conto del vero obiettivo da perseguire. La creazione di un burosauro è destinata a produrre conflitti tra le articolazioni già esistenti che non riesce necessariamente ad armonizzare, innesca ingessate dinamiche amministrative, genera un pericoloso senso di falsa sicurezza. Questo approccio all'emergenza cibernetica confligge con il buon senso e dimentica le esperienze straniere dove i Governi hanno preferito un ristretto manipolo di veri conoscitori della materia per assumere rapidamente le decisioni e muovere le pedine già operative per affrontare attacchi digitali, gestire la controffensiva, ripristinare la situazione quo ante e, nei periodi di apparente quiete, coordinare tutte le iniziative per innalzare il livello di preparazione e la capacità reattiva di chi gestisce le infrastrutture critiche e delle organizzazioni pubbliche e private che erogano servizi essenziali”.
Prosegue Repetto: “Se è vero che il 95% dei sistemi informatici non è sicuro, come dice il ministro Colao, è giusto tenere fuori da questa partita chi nella Pa o alla presidenza del Consiglio per anni ha avuto, e continua ad avere, responsabilità in area cyber, perché probabilmente non ha le debite competenze tecniche ed organizzative, oppure non ha saputo fare il proprio mestiere. Ma non vorrete farmi credere che siete convinti che nell'industria, nelle banche o nelle imprese la situazione sia migliore? Pensate alle umiliazioni subite da Leonardo, Enel, Inps, Vodafone e Tim, Unicredit, Saipem, Cineca, Snai, Geox, Luxottica, Campari, Ania, l'Università di Tor Vergata, l'Ospedale San Raffaele e alle altre mille realtà cui, in certi contesti, andrebbe tolta la parola”. Situazioni di difficoltà vanno risolte con “strutture snelle, rapide ad intervenire, chirurgiche nell'agire. Servono team affiatati, di poche persone con doti professionali straordinarie e capaci di giocare senza protagonismi. L'assetto ipotizzato prevede il coinvolgimento di troppi soggetti la cui inclusione deve essere solo esecutiva. Il Nucleo per la cyber sicurezza, ad esempio, evoca teste di cuoio e Swat pronti a piombare in campo, a duellare contro il nemico di turno, a risolvere il problema. Invece si traduce in un conclave di rappresentanti ministeriali, che si riunisce periodicamente, con la lentezza delle convocazioni e l'incertezza delle rispettive agende”.
Ha rincarato la dose il ministro della Pa, Renato Brunetta, in un'audizione al Senato sulle nuove assunzioni: “Tutte le autorità nel nostro Paese hanno statuti diversi, regole diverse, stipendi diversi e professioni totalmente diverse. Anche lì ci sono figli e figliastri. È una situazione assolutamente insopportabile. Parlo delle Autorità che sono le ultimi strutture esistenti, compresa l'ultima della cyber security che avrà un'altra tipologia di dotazioni e di regole”.
