Per far sì che il sistema Paese si muova rapidamente verso una cyber security più matura è necessaria una sempre più stretta collaborazione tra aziende e istituzioni.

Un imperativo per la sicurezza nazionale di cui si è parlato durante i lavori del Cybersecurity360 Summit e sul quale ha focalizzato l’attenzione anche il Prefetto Bruno Frattasi, Direttore dell’Agenzia per la Cybersicurezza Nazionale, che nel suo intervento di apertura dell’evento ha messo in luce l’urgenza di questa sinergia tra pubblico e privato per fronteggiare un rischio cyber in costante evoluzione.

Come ci ricorda anche Gabriele Faggioli, Presidente del Clusit e AD di Partners4Innovation che, in apertura della tavola rotonda “Innovazione e intelligenza artificiale: verso un futuro sicuro” che ha seguito l’intervento del Direttore Frattasi, sottolinea come ormai ci troviamo in “una situazione molto delicata”.

In un’epoca in cui la digitalizzazione permea ogni aspetto della vita economica e sociale, la cyber security emerge dunque come una priorità ineludibile per la salvaguardia del tessuto produttivo e della stessa integrità nazionale.

Un panorama sempre più minaccioso

È la stessa ACN, nel suo rapporto annuale al Parlamento, a sottolineare quanto sia elevato il livello di rischio: nel 2023, gli attacchi informatici in Italia sono aumentati del 29% rispetto all’anno precedente, con 3.302 soggetti colpiti rispetto ai 1.150 del 2022. E parliamo, evidentemente, solo degli incidenti di sicurezza di cui si è avuta conferma.

“La minaccia cyber si abbatte e riguarda in maniera particolare il settore manifatturiero”, afferma il Direttore dell’ACN Bruno Frattasi, evidenziando come la resilienza cibernetica debba ormai essere considerata un obbligo inderogabile per la sopravvivenza stessa delle aziende.

Il settore manifatturiero, infatti, è il fulcro dell’economia italiana ed è costituito in gran parte da piccole e medie imprese (PMI), che devono dunque comprendere l’importanza di acquisire una sempre maggiore consapevolezza e conoscenza del rischio cyber a cui sono continuamente esposte.

La sensibilizzazione come chiave di volta

Il Direttore Frattasi sottolinea, inoltre, la necessità di “incrementare la postura cibernetica di sicurezza attraverso investimenti mirati”, ricordando come l’attività che l’ACN sta già portando avanti, sia in termini di spingere questo vasto mondo delle piccole e medie imprese a una maggiore consapevolezza del rischio cyber, sia volta a sostenerne lo sforzo di investimento, “sarà cruciale e sostenuta anche da una campagna di sensibilizzazione”.

Infatti, l’azione dell’Agenzia si orienta fortemente verso la sensibilizzazione delle PMI proprio attraverso un’attività capillare di incontri sul territorio che mirano a far comprendere l’importanza della cyber security e quanto la gravità del rischio cyber possa mettere a rischio la sopravvivenza stessa delle PMI nel mercato.

A tal proposito il Direttore Frattasi ha illustrato l’iniziativa “Cyber Index PMI” condotta in collaborazione con Confindustria, le Generali e l’Osservatorio del Politecnico di Milano che ha lo scopo di mappare il livello di consapevolezza e preparazione delle imprese di fronte alle minacce cyber.

Il Cyber Index PMI, precisa ancora il Direttore dell’ACN, è dunque utile a fare una “ricognizione dello stato, della situazione in atto, riguardo alla capacità delle nostre imprese di avere consapevolezza del rischio cyber, cioè di essere consapevoli che pende su questo settore, su questo ambito, una minaccia che può compromettere la loro stessa stabilità economica”.

Siamo, dunque, di fronte a uno scenario in rapida evoluzione anche per la sempre maggiore diffusione e il sempre più diffuso utilizzo dell’intelligenza artificiale. Come sottolineato da Gabriele Faggioli in apertura della sua tavola rotonda, “siamo nel pieno di una nuova rivoluzione che porterà a cambiamenti importanti nel mondo del lavori e in tanti altri aspetti della quotidianità. E sicuramente il mondo pubblico e privato faranno i conti con anni di grandi cambiamenti”.

Ed è lo stesso Faggioli a sottolineare come occorre porsi il problema delle tantissime pubbliche amministrazioni e aziende italiane che non hanno capacità di spesa, skill e possibilità di lavorare sui temi dell’intelligenza artificiale e dell’innovazione tecnologica e che, molto probabilmente, questa stessa rivoluzione tecnologica in qualche modo la subiranno, adottando nuove tecnologie senza avere una reale strategia digitale e senza avere contezza di quali potranno essere gli impatti e i costi.

Verso l’applicazione della Direttiva NIS 2

Il panorama che emerge dal Cyber Index PMI è variegato, ma quello che preoccupa di più è proprio la significativa quota di imprese ancora poco consapevoli della gravità del rischio.

In questo senso, puntualizza il Prefetto Frattasi, “ci sono tre diversi segmenti che si presentano ai nostri occhi. Un primo segmento delle imprese che hanno una piena consapevolezza del rischio e lo hanno anche affrontato con adeguati investimenti. C’è un secondo corpo centrale, che possiamo dire abbastanza significativo ma non quanto desidereremmo credo fosse, di imprese che hanno consapevolezza ma non hanno ancora effettuato quel passo che è decisivo verso una migliore postura cibernetica. E poi c’è, ahimè, il segmento più corposo, più significativo dal punto di vista dei numeri, che è quello delle imprese che, dai questionari che sono stati somministrati, non hanno dimostrato di avere sufficiente consapevolezza della gravità del rischio cyber e quindi dovrebbero essere spinte a prendere coscienza del pericolo in cui versano”.

E questa presa di coscienza dovrà avvenire quanto prima, soprattutto se queste imprese appartengono a filiere critiche e la cui attività è dunque scadenzata dall’adeguamento alla NIS 2, la Direttiva europea per la sicurezza delle reti e delle informazioni che, lo ricordiamo, diventerà pienamente operativa il prossimo 17 ottobre 2024.

Un riferimento temporale piuttosto ristretto e le imprese che dovessero continuare a mantenere una errata postura cibernetica rischiano, per l’appunto, di essere estromesse dal mercato.

Un mercato, tra l’altro, sempre più esternalizzato, come ricorda anche Gabriele Faggioli, Presidente del Clusit e AD di partners4Innovation, in apertura della tavola rotonda su innovazione e intelligenza artificiale che ha moderato durante i lavori del Cybersecurity360 Summit: “ne ha parlato anche il Direttore Frattasi, ma è evidente che i fornitori sono diventati strategici. Ma fino a pochi anni fa si parlava dei fornitori come di coloro che potevano aiutare le aziende a supportare la loro strategia digitale. Ma oggi, è ancora così? In un mondo che oltre a esternalizzare molto, va moltissimo verso il cloud, con fornitori che stanno abbandonando l’on premise, la domanda è: saranno ancora le imprese e la pubblica amministrazione a guidare la strategia digitale o saranno i fornitori che, di fatto, la guideranno per conto degli altri?”.

Una domanda a cui ha provato a dare risposta Vittorio Calaprice, Artificial Intelligence, Cybersecurity, Political Affairs and Institutional relations, rappresentanza in Italia della Commissione europea, che fa il pinto della situazione confermando che “siamo in un momento di passaggio cruciale non soltanto istituzionale, in un momento in cui questi temi sono al centro della loro evoluzione”.

A tal proposito, Calaprice ricorda come già nel 2020 la Commissione europea aveva, con preveggenza, lanciato o, in qualche modo, fatto un upgrade della Strategia europea per la cybersecurity che è poi diventata la Strategia europea per l’intelligenza artificiale.

Come ha sottolineato il Dott. Calaprice, “la Commissione europea ha messo in campo i suoi tre più importanti strumenti che ha a disposizione per realizzare questo ecosistema normativo che ha l’obiettivo di costruire un mercato digitale europeo, che poi è l’obiettivo fondamentale della Commissione europea: il coordinamento delle politiche nazionali in quanto abbiamo 27 strategie nazionali sulla cyber security e 27 strategie nazionali sull’intelligenza artificiale; l’apparato normativo, ossia creare le condizioni per cui ci sia chiarezza di norme da parte delle imprese e dei cittadini; infine, i finanziamenti: abbiamo messo in campo una serie di supporti e programmi ad hoc per rafforzare il sistema della sicurezza cibernetica e una serie di norme per la sicurezza cinetica, con una logica che metta infrastrutture fisiche e infrastrutture logiche in sicurezza”.

“Quando si parla di cyber security”, ha ricordato ancora il Rappresentante per l’Italia della Commissione, “si parla di politiche industriali, di costruire le condizioni per cui le aziende, le imprese europee possano svilupparsi”.

L’importanza della cooperazione pubblico-privato

Dunque, nell’attuale contesto di rischio cyber sempre più elevato oltre che subdolo, nascosto e minaccioso, il nodo cruciale di tutto il discorso è la collaborazione tra il tessuto imprenditoriale e le istituzioni.

“La cooperazione si fa in due, altrimenti non è cooperazione”, sottolinea ancora Bruno Frattasi, Direttore dell’ACN, evidenziando il bisogno di un’azione congiunta per accrescere la postura di sicurezza cibernetica.

L’accesso a fondi europei non vincolati alle regole sugli aiuti di stato rappresenta un’opportunità imperdibile per le PMI, ancora troppo poco sfruttata.

A tal proposito, secondo il Direttore Frattasi, bisognerebbe “portare le imprese italiane a capire di poter accedere finalmente non solo alle forme di sostegno e di aiuto che potranno venire a livello nazionale, nei limiti in cui gli spazi economici lo consentiranno, ma anche alle risorse europee a cui noi contribuiamo, quindi sanando anche quel gap, che esiste ormai da tempo e riguarda il nostro Paese, per cui siamo uno dei principali contributori del bilancio europeo ma anche uno dei Paesi che approfitta di meno, se posso usare questo termine, di quelle stesse risorse perché non ha consapevolezza e non ha gli strumenti per poterci arrivare”.

Conclusioni

Sembra un po’ il cane che si morde la coda, purtroppo, ma occorre impegnarsi tutti per riuscire a spezzare questo cerchio negativo, anche grazie al ruolo e all’aiuto di istituzioni come l’Agenzia per la Cybersicurezza Nazionale.

In questo senso, l’intervista al Direttore dell’Agenzia per la Cybersicurezza Nazionale ha offerto una radiografia dettagliata e preoccupante della situazione attuale, ma anche delle vie d’uscita attraverso una collaborazione strategica tra aziende e istituzioni.

La crescita della consapevolezza sui rischi e l’adozione di misure di protezione avanzate diventano, così, non solo una necessità per la sopravvivenza delle imprese ma un dovere verso la sicurezza collettiva.

La strada è tracciata: resta ora da percorrerla con determinazione e unità d’intenti.