Finalmente l'Italia ha la sua Agenzia per la Cybersicurezza Nazionale Approvato il decreto legge che istituisce la nuova agenzia. L'Acn avrà il compito di coordinare il lavoro di associazioni e soggetti pubblici e privati, promuovendo azioni comuni. Pubblicato il 06 agosto 2021

A qualche giorno dal disastroso attacco hacker ai sistemi informativi della Regione Lazio, c'è almeno una buona notizia: l’Italia ha finalmente la sua Agenzia per la Cybersicurezza Nazionale (Acn), già operativa. Dopo la votazione del Senato è stato approvato ( con 204 sì, tre no e 23 astenuti) il decreto-legge 14 giugno 2021, n. 82, con il quale il governo di Mario Draghi istituisce la nuova entità, cui spettano compiti di coordinamento e sintesi delle molte associazioni presenti sul territorio. Un passo necessario, anche se tardivo, dopo anni di crescita impetuosa del numero dei cyberattacchi e della loro gravità. Oltre a virus, malware e spyware diretti verso utenti comuni e alle aziende, colpiti nel furto di dati e di denaro, le minacce informatiche finalizzate al cyberspionaggio o al blocco dei sistemi tramite ransomware possono danneggiare pesantemente la società, la politica e l’economia. Tant’è che oltreoceano Joe Biden ha fatto del rafforzamento della cybersicurezza un pilastro del proprio programma di governo. Il tempo per agire non è molto, considerando che la società di analisti Gartner prevede che entro pochi anni potranno verificarsi attacchi capaci di produrre conseguenze letali per gli esseri umani.

Siamo sicuramente in ritardo rispetto ai nostri vicini di casa: la Francia ha un’agenzia nazionale per la sicurezza informatica fin dal 2009, la Germania addirittura dal 1991. Il Pnrr, il Piano Nazionale di Ripresa e Resilienza, ha dato una spinta nella direzione giusta, stanziando per il rafforzamento della sicurezza informatica un budget di 620 milioni di euro. E il ministro per l'innovazione tecnologica e la transizione digitale Vittorio Colao (che sarà ospite a ottobre del Digital Italy Summit di The Innovation Group) è consapevole delle priorità: a giugno aveva dichiarato che nel nostro Paese “abbiamo il 93-95% dei server della Pubblica Amministrazione non in condizioni di sicurezza”. Il caso dell’attacco ransomware alla Regione Lazio ha mostrato anche l’importanza di tappare le falle di sicurezza legate allo smart working, dato che l’intrusione è partita proprio dal computer di un dipendente in telelavoro.

La nuova Agenzia per la Cybersicurezza Nazionale avrà il compito di coordinare l’azione dei vari soggetti pubblici che svolgono compiti di sicurezza informatica, e di promuovere la realizzazione di “azioni comuni dirette ad assicurare la sicurezza e resilienza cibernetiche per lo sviluppo della digitalizzazione del paese, del sistema produttivo e delle PA, nonché per il conseguimento dell'autonomia, nazionale ed europea, riguardo a prodotti e processi informatici di rilevanza strategica a tutela degli interessi nazionali nel settore”, si legge nel decreto legge di giugno. Riunirà, quindi, gli esperti di sicurezza di altre agenzie. Riferisce Repubblica che fin da subito si trasferiranno in Acn una sessantina di dipendenti del Dis (Dipartimento per le informazioni di sicurezza ) e di Aisi (Agenzia di sicurezza interna). Al vertice di Acn ci sarà il Presidente del Consiglio, cui spettano “in via esclusiva l’alta direzione e la responsabilità generale delle politiche di cybersicurezza”, nonché l’adozione della strategia nazionale di cybersicurezza, la nomina e revoca del direttore generale e del vice direttore generale dell’agenzia (previo avviso al Copasir e alle Commissioni parlamentari competenti).

Grazie agli emendamenti apportati alla prima versione del decreto, l’Acn prevederà al suo interno, tra i membri del comitato tecnico-scientifico, rappresentati delle associazioni attive nel settore della cybersicurezza. Inoltre l’agenzia dovrà promuovere iniziative di partenariato pubblico privato a supporto del Csirt (Computer Security Incident Response Team) italiano. "Siamo soddisfatti solo in parte”, ha commentato Andrea Chittaro, presidente di Aipsa, Associazione Italiana Professionisti Security Aziendale . “Anche questa volta è mancato il coraggio di istituzionalizzare ruolo e funzioni di chi, sul campo, svolge un ruolo fondamentale per i fini complessivi della sicurezza nazionale. Quei Cso, Ciso, security manager, declinati in ogni loro competenza, inclusa quella cyber, che dalla prima linea delle aziende strategiche del Paese si fanno carico del lavoro più importante e, paradossalmente, meno riconosciuto".