L’uso sempre più pervasivo delle tecnologie informatiche di base e delle infrastrutture di comunicazione, il 5G, il cloud e l’edge computing, l'intelligenza artificiale e il calcolo quantistico, introducono vulnerabilità e comportano rischi per la sicurezza informatica che possono, a vario titolo e in varie forme, impattare anche la sicurezza nazionale, il progresso economico e i valori sociali di un Paese. L’Italia non solo non può permettersi di rinunciare al progresso digitale evitando di utilizzare tali tecnologie a causa delle potenziali minacce introdotte, ma è anzi chiamata a usarle e gestirle al meglio, nella piena consapevolezza dei rischi e per poterne godere i benefici. Allo stesso tempo è importante sottolineare come la sicurezza informatica non sia più una questione puramente tecnica, essendosi essa estesa al regno geopolitico. 

In questo contesto, in Italia si è recentemente sviluppato il dibattito sulla creazione dell’Istituto italiano di cybersecurity (Iic). Nessuno sembra mettere in discussione la necessità di istituire un Istituto nazionale che si occupi di sicurezza informatica, ma ognuno sembra avere in mente ruoli, funzioni e governance diverse. Tuttavia, tutti sembrano riconoscere che l’Istituto debba avere due scopi principali: 
a)    “promuovere e sostenere l’accrescimento delle competenze e delle capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica”;
b)    “favorire lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni in una cornice di sicurezza e il conseguimento dell’autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica, a tutela dell’interesse della sicurezza nazionale nel settore”. 

Per perseguire questi scopi è necessario avere la possibilità di mettere in relazione, in uno stesso contesto fisico, il mondo della ricerca accademica, quello dello sviluppo industriale e quello degli stakeholder pubblici. L’ampia condivisione e uno spirito precompetitivo renderà possibile valutare e validare le innovazioni internazionali nel settore, definire nuove metodologie e tecnologie, che il mondo accademico potrà utilizzare per pubblicazioni, insegnamento e la creazione di spin-off, le aziende per sviluppare nuovi prodotti e il comparto governativo e di forze di law enforcement per accedere alle ultime tecnologie e beneficiare di un’osmotica collaborazione e interazione con un ambiente di ricerca innovativo e all’avanguardia.

Un Istituto italiano di cybersecurity amplificherebbe e potenzierebbe il lavoro dei singoli operatori della cybersecurity, rafforzando il Paese su un piano ormai diventato centrale e strategico per la nostra industria, per la sicurezza degli stessi cittadini e, in ultima istanza, per la salvaguardia degli interessi dell’intero Sistema-Paese. 

A livello europeo e internazionale sono presenti diverse tipologie di collaborazioni tra attori pubblici e privati (anche sotto forma di partenariati pubblico-privato) sviluppate al fine di garantire una migliore cooperazione attraverso un concetto di sicurezza compartecipata. E sono varie le organizzazioni che, seppur differenti per forma giuridica e organizzazione, sono simili all’Iic negli obiettivi che si prefigurano di perseguire. Tra gli esempi più significativi relativi a vari Paesi europei, alcuni dei quali sono molto vicini per centralità e dimensioni al caso italiano, vogliamo qui ricordare: 
•    in Francia è stato lanciato il progetto Campus Cyber  che vede direttamente coinvolta l’agenzia nazionale di sicurezza (Anssi), ponendosi come ecosistema di riferimento per lo sviluppo di capacità nazionali di cybersecurity e riunendo i principali attori nazionali e internazionali del settore;
•    in Germania, il governo ha annunciato la creazione di un’agenzia federale dedicata alla lotta contro le minacce informatiche che minano la sicurezza del Paese . L’organizzazione riceverà 350 milioni di euro di finanziamenti fino al 2023 e avrà sede nella città orientale di Halle;
•    in Inghilterra, dal 2018 è attivo il programma Lorca (London office for rapid cyberse-curity advancement) con un budget di 13,5 milioni di sterline l’anno per sostenere lo sviluppo di oltre 72 aziende nel settore della cybersecurity;
•    in Olanda è stato istituito un centro nazionale (Ncsc) come braccio operativo del ministero degli Interni e perno dell’ecosistema nazionale di cybersecurity;
•    in Europa è stato appena deciso di localizzare in Romania il centro di competenza europeo per la sicurezza informatica, che si collegherà con una rete di centri di coordinamento nazionali e che gestirà i fondi europei dedicati alla ricerca sulla sicurezza informatica nell'ambito dei due programmi Digital Europe e Horizon Europe del programma quadro 2021-2027. 

Per quanto riguarda la governance interna dei centri presi in considerazione, il modello tedesco si è concentrato sulla responsabilità politica, in capo al ministero della Difesa, con un modello di governance agile, che prevede un amministratore delegato (sebbene, come visto, di provenienza “pubblica”) e un direttore commerciale, mettendo in evidenza anche il carattere di potenziale economico dell’agenzia.

In questa prospettiva, il modello inglese del Lorca punta su una governance delegata a una struttura privata, pur mantenendo salda e continuativa la collaborazione con il Ncsc, garantendo sia lo sviluppo di tecnologie rilevanti per la sicurezza nazionale sia l’eventuale accompagnamento nei mercati internazionali. Il modello francese del Cyber Campus si è dotato di una governance mista attraverso la creazione di una Sas, con capitale pubblico (49%) e privato (51%). L’analisi delle diverse scelte suggerisce anche come sia opportuno inserire strumenti di bilanciamento che possano stabilire, in qualche misura, controllo e responsabilità politica su tali iniziative. 

Alla luce di queste considerazioni riteniamo che la creazione di un Istituto che si occupi di sicurezza informatica in modo osmotico sia assolutamente improcrastinabile. Ci auguriamo che il nuovo esecutivo voglia e sappia proporre al più presto una soluzione in grado di mantenere la responsabilità e la direzione strategica (e politica) per la sicurezza nazionale nelle mani dell’attore pubblico. Tale Istituto dovrà essere anche punto di riferimento di una rete di centri di competenza distribuiti sul territorio (quale ad esempio il C3T – Centro di compe-tenza di cybersecurity toscano) e del nuovo centro europeo di competenza industriale, tecnologica e di ricerca sulla cybersecurity. 

Rocco De Nicola (Centro competenza toscano cybersecurity - C3T e Scuola Imt Lucca) , Luigi Martino (Centro competenza toscano cybersecurity - C3T e Università di Firenze) e Paolo Prinetto (Laboratorio nazionale di cybersecurity del Cini e Politecnico di Torino)