La cybersecurity nel portafoglio dei nostri servizi segreti

Il consiglio dei ministri ha emanato un decreto importante per la sicurezza digitale in Italia. Nasce il Cvcn (Centro di valutazione e certificazione nazionale) per la certificazione di software e hardware che saranno usati dalle nostre forze dell'ordine. Il Dis (Dipartimento delle Informazioni per la Sicurezza) avrà sempre più voce in capitolo. Viene introdotta una clausola di salvaguardia, una sorta di golden power, per evitare ingerenze straniere non gradite. Ma secondo gli addetti ai lavori ci sarebbe ancora spazio per un arrivo dei cinesi di Huawei per la gestione della tecnologia 5G. Stanziati 10 milioni di euro da qui al 2024.A governo giallorosso appena insediato tra i primi provvedimenti del Conte bis c'è stato un decreto sulla cybersicurezza. Da una prima lettura, oltre a uno stanziamento di oltre 10 milioni di euro da qui al 2024, viene rafforzato il controllo da parte dei servizi segreti in materia, in particolare il Dis (Dipartimento delle Informazioni per la Sicurezza) di Gennaro Vecchione - (il provvedimento vede la regia di Roberto Baldoni vicedirettore generale sempre del Dis) -, mentre perde importanza l'Agid (Agenzia per l'Italia digitale). Allo stesso tempo, però, ci sono ancora alcune falle sulla politica industriale, tanto che tra gli addetti ai lavori non ci si sbilancia su quello che potrebbe succedere dopo le elezioni americane del prossimo anno. Se Donald Trump non dovesse vincere useremo la clausola di salvaguardia prevista o affideremo la tecnologia 5G ai cinesi? Insomma il decreto è solo un primo passo avanti, ma non c'è stato uno sbilanciamento vero e proprio, nello stile delle politica internazionale italiana dei due forni. Innanzitutto come mai tutta questa fretta? Il precedente governo gialloblu è stato caratterizzato dalle polemiche sulla politica internazionale, da un eccessiva vicinanza alla Cina, la partecipazione alla Bri (Belt and Road Iniative) della Cina fa ancora rumore, fino al presunto Russiagate dove sono stati coinvolti alcuni esponenti della Lega di Matteo Salvini. Il tweet con cui il presidente Usa Trump ha dato il suo endorsement a «Giuseppi» ha rilanciato ancora più teorie sul ruolo attuale dell'Italia nel panorama geopolitico mondiale. Il tema cyber è all'ordine del giorno. Le grandi aziende straniere, come la cinese Huawei, avranno in mano la tecnologia 5G di nuova generazione. La guerra degli americani al colosso cinese ha contrassegnato tutta l'estate. Ora spetta all'Italia trovare una sua posizione. Il decreto di urgenza, quindi, si interseca su questi aspetti di politica industriale e internazionale. Di quali aziende si avvarrà il nostro comparto sicurezza? La difesa, le forze di polizia e i servizi segreti? Non a caso nell'ordine del giorno di martedì 17 settembre veniva riportata «la straordinaria necessità ed urgenza» di un nuovo quadro normativo «anche in relazione a recenti attacchi alle reti di Paesi europei, di disporre, per le finalità di sicurezza nazionale, di un sistema di organi, procedure e misure, che consenta una efficace valutazione sotto il profilo tecnico della sicurezza degli apparati e dei prodotti» in particolare in vista della nuova tecnologia 5G. Il decreto prevede la creazione di un Centro di valutazione e certificazione nazionale (Cvcn), istituito presso il Ministero dello sviluppo economico, che, «sulla base di una valutazione del rischio, anche in relazione all'ambito di impiego e in un'ottica di gradualita, può, entro trenta giorni, imporre condizioni e test di hardware e software». Vi sarà un coordinamento anche con palazzo Chigi e ministero della Difesa. Vengono stanziate ingenti risorse economiche, con una spesa di 3.200.000 euro per l'anno 2019, 2.850.000 per ciascuno degli anni dal 2020 al 2023 e di euro 750.000 annui a decorrere dall'anno 2024. Il Dis, come detto viene potenziato, sia perché vanta una funzione primaria di coordinamento dei servizi segreti, sia perché è stato indicato come punto di controllo cyber italiano secondo la normativa europea in materia cibernetica. Da capire il ruolo del Cvcn. Secondo l'articolo 7 del decreto questo centro di valutazione si limita a verificare esclusivamente «l'assenza di vulnerabilità note» ossia la semplice attività che ogni cittadino svolge con il proprio computer di casa per installare gli aggiornamenti. C'era bisogno di un decreto? Se la ratio del decreto è prevenire lo spionaggio industriale forse ci sarebbe aspettati qualcosa di più. Anche perché chi fa spionaggio industriale non utilizza le vulnerabilità note ma utilizza strumenti più sofisticati, spesso basati sugli «zeroday» ( falle nella sicurezza del software) che difficilmente verrebbero rilevati dal Cvcn. Come già spiegato sul 5G è stata creata solo una clausola di salvaguardia ma è non stato fatto un discorso strutturato relativo alla ricerca nel settore che poteva essere realizzato costituendo una agenzia ad hoc come in Inghilterra o negli Stati Uniti. Sul 5G soprattutto non si sono affrontati due aspetti uno relativo alla salute, molti paesi europei hanno interrotto la sperimentazione e l'altro relativo alla gestione dei metadati. Del resto il vero business del 5G sarà l'enormi mole di informazioni generate dagli innumerevoli oggetti (tutta l'IoT ovvero l'internet delle cose) connessi alla reti, dati che verranno utilizzati per profilare gli utenti sia per vendere prodotti ma anche per lo spionaggio. L'Italia è ancora adesso l'unico paese europeo con la legge sulla «data retention» dei dati più restrittiva, ovvero di sei anni. Questo significa che i dati digitali dei nostri concittadini, dagli sms alle telefonate, sono conservati per un lungo periodo di tempo. Non solo. La proposta di certificazione della sicurezza informatica dei prodotti Ict poi mette in cantiere la possibilità che aziende cinesi si possano far certificare prodotti in altri paesi europei. Il problema che doveva uscire dalla porta, potrebbe insomma rientrare dalla finestra.