Lo sviluppo e la crescente pervasività di internet e di nuove o emergenti tecnologie dell’informazione e della comunicazione – ad esempio 5G o 6G, intelligenza artificiale – stanno trasformando profondamente la società contemporanea. Stanno accelerando esponenzialmente la digitalizzazione di processi e contenuti, favorendo l’interconnessione tra gli individui e l’ambiente in cui questi vivono, nonché ampliando significativamente i confini del cosiddetto cyberspazio, nel cui ambito si svolgono, oramai, diverse attività essenziali per il regolare svolgimento della vita individuale e collettiva.

Se, da un lato, quanto descritto contribuisce a generare notevoli opportunità e benefici in termini di potenziale crescita economica, sociale, politica e culturale della collettività, dall’altro la espone a nuove vulnerabilità e rischi. Spesso, infatti, i dispositivi tecnologici, le reti e i sistemi informativi, impiegati anche in settori critici per la società e l’economia, vengono concepiti e realizzati privilegiando gli aspetti di facilità d’uso e convenienza, ma trascurando le rilevanti implicazioni di cybersicurezza. A ciò si aggiunge la scarsa consapevolezza dei rischi di natura cibernetica da parte degli utenti di tali dispositivi e sistemi, che li espone alla minaccia di azioni malevole, perpetrate da soggetti di natura sia statuale sia non-statuale, per perseguire scopi illeciti. Una minaccia sempre più diffusa, diversificata e sofisticata, per far fronte alla quale occorre disporre di opportuni strumenti – normativi, di policy e tecnologici – e capacità – istituzioni, risorse e competenze – da impiegare tanto a scopo preventivo quanto di risposta.

Si tratta di un insieme articolato di capabilities che, a livello nazionale, l’Italia ha da tempo acquisito e sta progressivamente aggiornando e rafforzando, soprattutto, attraverso progressive riforme sistemiche di quello che ormai rappresenta l’ecosistema nazionale di sicurezza cibernetica, il quale – sul piano soggettivo – coinvolge istituzioni, enti privati e la società civile nel suo complesso. Spicca, in tal senso, la recente riforma dell’architettura nazionale cyber attuata attraverso l’adozione del decreto legge n. 82/2021 convertito con legge n. 109 del 4 agosto 2021.

La legge di riforma ha razionalizzato le competenze in materia di cybersicurezza attribuite ai diversi attori istituzionali facenti parte dell’ecosistema cyber, anche al fine di assicurare l’unicità istituzionale di indirizzo e di azione. Ha valorizzato ulteriormente gli aspetti di sicurezza e resilienza cibernetiche, creando un quarto pilastro a completamento di quelli esistenti di cyber-intelligence (di competenza degli organismi di informazione per la sicurezza), cyber-defence (di spettanza del ministero della Difesa) e cyber-investigation (di competenza delle forze di polizia e, in particolare, della polizia postale e delle comunicazioni).

In tale contesto, tenendo anche in considerazione l’esperienza maturata da altri Paesi, il legislatore ha deciso assegnare a uno specifico attore istituzionale, l’Agenzia per la cybersicurezza nazionale (Acn), il ruolo di Autorità nazionale per la cybersicurezza, deputata alla tutela della sicurezza e della resilienza nello spazio cibernetico, anche ai fini della tutela della sicurezza nazionale in detto ambito. In tale ruolo, l’Agenzia assicura il coordinamento istituzionale nel settore e svolge una serie determinata di funzioni a livello strategico, operativo e tecnico, tanto sul piano interno quanto su quello internazionale.

Riassumendone le principali, l’Agenzia:

  • - è autorità nazionale di certificazione della cybersicurezza, autorità nazionale competente e punto di contatto unico nell’ambito del quadro normativo e di cooperazione previsto dalla direttiva Ue 2016/1148 (cosiddetta direttiva Nis), nonché autorità competente per gli aspetti di sicurezza e integrità delle comunicazioni elettroniche, a cui sono attribuiti poteri regolamentari, ispettivi, di vigilanza, e sanzionatori;
  • - offre supporto al presidente del Consiglio dei ministri per l’esercizio delle competenze ad esso attribuite in materia di cybersicurezza, ad esempio, predisponendo la strategia nazionale di cybersicurezza ovvero coadiuvandolo nel coordinare l’attuazione della normativa del perimetro di sicurezza nazionale cibernetica (Psnc);
  • - integra il Nucleo per la cybersicurezza, a supporto del presidente del Consiglio dei ministri nella materia della cybersicurezza, per gli aspetti relativi alla prevenzione e preparazione ad eventuali situazioni di crisi e per l’attivazione delle procedure di allertamento;
  • - è responsabile per il cosiddetto scrutinio tecnologico, che esercita per il tramite del Centro di valutazione e certificazione nazionale, presso di essa costituito;
  • - integra il Computer security incident response team (Csirt) Italia, attraverso il quale svolge attività di prevenzione, monitoraggio, rilevamenti, analisi e risposta per prevenire e gestire gli incidenti di sicurezza informatica e gli attacchi informatici;
  • - coordina, in raccordo con il ministero degli Esteri, la cooperazione internazionale nella materia della cybersicurezza, cura i rapporti con i competenti organismi, istituzioni ed enti e segue nelle competenti sedi istituzionali le tematiche di cybersicurezza (es. Ue, Nato, Osce);
  • - nel perseguire l’autonomia strategica nazionale ed europea, supporta lo sviluppo di capacità industriali, tecnologiche e scientifiche nel campo della cybersicurezza. In tale ambito di competenza, si inseriscono le attività finalizzate all’attuazione del Piano nazionale di ripresa e resilienza (Pnrr), che prevede apposite progettualità nel settore della cybersicurezza, nonché le attività svolte quale Centro nazionale di coordinamento, che si relazionerà con il Centro europeo di competenza per la cybersicurezza nell’ambito industriale, tecnologico e della ricerca.
  • - contribuisce allo sviluppo della cultura nazionale di sicurezza cibernetica e alla promozione della formazione, crescita e qualificazione delle risorse umane nel settore.

A completamento di quanto descritto e al fine di evidenziare la volontà del legislatore nazionale di dare piena efficacia a quanto previsto dalla riforma, giova ricordare che all’Agenzia sono riconosciute e verranno progressivamente assegnate risorse – umane, strumentali e finanziarie – necessarie a garantire l’effettivo espletamento delle funzioni di cui sopra. Ciò ad indicare che, per il nostro Paese, la cybersicurezza nazionale è un obiettivo il cui perseguimento richiede azioni concrete.

Nunzia Ciardi, vice direttore generale dell’Agenzia per la cyber sicurezza nazionale