Italia
Le infrastrutture che assicurano lo svolgimento quotidiano delle nostre attività sono, negli ultimi anni, sempre più considerate degli obiettivi sensibili, perché vulnerabili, sia nei confronti di minacce antropiche come ad esempio gli attentati terroristici o il cyber crimine sia a seguito di eventi naturali di particolare violenza. Per questi motivi, tali infrastrutture sono considerate critiche per garantire il corretto funzionamento delle democrazie occidentali e, pertanto, devono essere protette in modo adeguato. Tale protezione deve soprattutto reggere all’eventuale e temuto effetto domino, che si potrebbe manifestare nella propagazione incontrollata degli effetti del malfunzionamento da una particolare infrastruttura critica ad altre, anche non appartenenti allo stesso settore.
Il decimo Seminario Bordoni, con il coordinamento tecnico organizzativo dell’Isimm, dal titolo “Protezione delle infrastrutture critiche: una strategia necessaria“, ha posto a confronto istituzioni e soggetti privati, evidenziando il bisogno urgente di una strategia e di un coordinamento nazionali per individuare e gestire le problematiche delle infrastrutture critiche nel Paese. L’apertura del convegno è stata riservata a R. James Caverly, Direttore della Divisione Infrastructure Partnerships (IPD) del Direttorato Infrastructure Protection and Preparedness del Dipartimento per la Homeland Security (DHS). L’IPD è responsabile, tra l’altro, della promozione e del mantenimento delle relazioni tra l’industria, i governi locali e le agenzie federali che si occupano a vario titolo della protezione delle Infrastrutture Critiche (IC) vitali per gli USA.
L’intervento di Caverly è stato anticipato dall’introduzione di Maurizio Dècina, Presidente della Fondazione Ugo Bordoni, che ha evidenziato la necessità di un maggiore impegno in termini di comunicazione e integrazione tra soggetti pubblici e privati deputati alla protezione delle infrastrutture: “… Bisogna rafforzare quello che già oggi è considerato un settore cruciale per la sicurezza nazionale, ovvero la gestione delle infrastrutture critiche in tutti settori più rilevanti per la società, l’economia e il benessere dei cittadini. Tali settori sono sempre più esposti a pericoli di diversa natura, dalle forze atmosferiche agli attacchi terroristici, con conseguenti impatti devastanti sui territori coinvolti. In Europa, l’emanazione della Direttiva comunitaria in tema di protezione delle infrastrutture critiche va sicuramente intesa come primo passo verso una maggiore condivisione dei rischi e delle risorse necessarie alla loro limitazione. L’idea di realizzare qui una homeland security europea sarà un tema cruciale che coinvolgerà tutti i Paesi membri dell’Unione a livello economico, politico e sociale, perché riguarderà più livelli di sicurezza: dall’informazione al trasporto, dall’alimentazione alla salute, fino alle risorse pubbliche come acqua, elettricità e loro distribuzione“. “Soprattutto- conclude Dècina- ci sarà da lavorare molto nel settore comunicazione e tecnologia, perché l’Information Technology è ormai una risorsa imprescindibile della nostra società, del nostro Sistema Paese, da considerarsi un’infrastruttura critica anch’essa. The Internet of things, come spesso vengono definite la rete e le sue interdipendenze, è ormai un elemento fondante per ogni strategia atta a tutelare il sistema delle infrastrutture critiche a livello nazionale ed internazionale“.
Il 5 giugno 2008 il Consiglio dei Ministri Europei di Giustizia e Affari Interni ha approvato la Direttiva Europea sull’identificazione e designazione delle Infrastrutture Critiche (IC) Europee. Tale Direttiva, che entrerà in vigore nell’autunno del 2008, individua la strategia per migliorare la protezione delle infrastrutture critiche di rilevanza europea, richiedendo ad ogni Stato Membro la realizzazione di un insieme di adempimenti ‘minimi‘, tra i quali si segnalano, in particolare, l’istituzione di un punto di contatto nazionale per le strategie sulle IC, l’individuazione di IC nazionali che, in caso di problemi e/o interruzioni del servizio, potrebbero indurre rilevanti effetti transnazionali, l’attuazione a livello governativo di attività di controllo generale su tali IC transnazionali.
Ma come arrivare a tale coordinamento tra soggetti pubblici e privati? In che modo la direttiva verrà recepita in ogni singolo stato? Dalla sua esperienza nell’Homeland Security degli Stati Uniti, James Caverly mostra come nel suo Paese, storicamente poco incline a mescolare il piano pubblico con quello privato, una strada si sia trovata: “… Le infrastrutture si possono distinguere su un territorio in pubbliche e private, la loro protezione quindi sarà competenze dei due enti, così come la loro gestione. Questo comporta un doppio livello di comunicazione e di sicurezza. La percezione del rischio è oggi così elevata che si è compreso quanto sia importante, per raggiungere un livello di sicurezza accettabile, sviluppare dei canali di comunicazione efficienti. Anche la comunicazione è una risorsa e in quanto tale va gestita e ottimizzata. Il Piano di protezione delle infrastrutture nazionali (NIPP) si pone proprio come obiettivo primario la condivisione massima delle informazioni detenute dai diversi soggetti sul territorio, tesa a creare quella partnership permanente funzionale alla difesa del territorio e delle risorse individuate. Quattordici sono le agenzie federali americane che si sono integrate nel NIPP per gestire le informazioni di diverso livello, relative a rischi e vulnerabilità del sistema. In questo modo si è riusciti in breve tempo (tre anni) a rendere operativa una struttura come il DHS e a generare quegli standard di sicurezza che meglio permettono di gestire una crisi. Tra le risorse utilizzate c’è anche l’Information Technology, perché è ovvio che la Società dell’informazione sia pervasiva in ogni settore da noi analizzato. Per quanto riguarda i costi, poi, questi saranno ripartiti tra i soggetti proprietari delle strutture e lo stato si prenderà carico solo di quelli relativi alle infrastrutture di sua proprietà“.
“Nostro obiettivo principale– continua Caverly- rimane la sicurezza fisica delle infrastrutture, con piani di intervento rapidi in grado di rimettere in funzione elementi danneggiati e permettere alla gente di tornare quanto prima ad un regime di normale quotidianità. I rischi vanno gestiti per ridurre il loro impatto sulle Infrastrutture Critiche. Queste sono di due categorie: Critical Infrastructures e Key resources. Le prime riguardano gli impianti in genere, dal petrolifero al chimico, mentre le seconde sono relative alla distribuzione delle risorse, al funzionamento del sistema di alimentazione della struttura nazionale. Queste ultime, in special modo, sono fondamentali per la vita quotidiana, per la salute pubblica, l’alimentazione, il riscaldamento e molto altro, fino al nucleare per uso civile“. “Diciotto sono i livelli di IC individuati– conclude Caverly- all’indomani dell’11 settembre e in costante ridefinizione, perché sempre nuovi possono essere i rischi a cui siamo esposti. Ovviamente, un’altra nostra preoccupazione è cercare di mantenere gli interventi sul territorio sempre di basso profilo, senza appesantire il cittadino o tenerlo in tensione inutilmente. Tre sono i miliardi di dollari che sono stati destinati alla difesa delle IC individuate e il DHS è preposto alla loro gestione. La gestione del rischio è un lavoro difficile e costoso, perché il terrorista deve solo scegliere un obiettivo, mentre noi dobbiamo difenderli tutti allo stesso modo, al massimo delle nostre forze. Il rischio va pensato, previsto e gestito in tutti i suoi aspetti, ovviamente, sempre condividendone i pesi tra tutti i soggetti in campo. Solo così sarà possibile mettere in piedi una macchina efficiente e puntuale di fronte ad ogni evento catastrofico“.
L’interveto di Caverly ci segnala un passaggio importante nella strategia di difesa delle Infrastrutture Critiche, ovvero la transizione dal concetto di importanza delle IC a quello di protezione delle stesse. Un salto concettuale fondamentale che la stessa Europa sembra stia per affrontare proprio grazie al pacchetto normativo della Direttiva in esame. Questa, al momento, si limita a considerare come critiche le infrastrutture appartenenti ai settori dell’energia, dall’elettricità al petrolio, al gas, e dei trasporti su strada, ferroviari, aerei, fluviali e marittimi. Prevedendo, però, una prossima inclusione almeno dell‘ICT (Information and Communication Technology), universalmente riconosciuto come uno dei settori più vulnerabili.
In base a tale Direttiva è possibile che altri Stati Membri indichino determinate IC italiane come transnazionali e, in modo reciproco, è possibile che l’Italia abbia interesse ad indicare altre IC estere come potenzialmente pericolose per il nostro Paese. Nell’uno e nell’altro caso, l’Unione Europea assegna un ruolo decisivo di tutela e di coordinamento ai governi nazionali che dovranno attuare al proprio interno, quindi, opportune strategie di protezione delle infrastrutture critiche nazionali, anche non appartenenti ai settori individuati dalla Direttiva. È qui che entra in gioco il concetto di partnership che il DHS americano è riuscito a realizzare in così breve tempo, un livello di condivisione di informazioni basilare per la sicurezza nazionale e transnazionale.
Dopo il Direttore dell’IPD, è il turno del Responsabile procedure Critiche della FUB, Daniele Perucchini, con un’analisi approfondita dei limiti e dei vantaggi della Direttiva europea: “… Il testo in esame sarà operativo entro la fine dell’autunno 2008, quindi, ragionevolmente in tempi brevi. Ci sono voluti quattro anni per redigere questa Direttiva a livello comunitario, un tempo relativamente lungo, ma quando parliamo di Comunità Europea ci riferiamo a 27 Stati Membri, ognuno con le sue prerogative, i suoi problemi, le sue esigenze, anche riguardo alle infrastrutture da individuare come critiche rispetto ad altre. Questo ha generato dei vincoli, come: autonomia indiscussa dei singoli Stati, riservatezza delle criticità individuate, un ruolo minimale della Commissione, la salvaguardia delle azioni già intraprese e, soprattutto, un approccio nel tempo, cioè step-by-step“. “Da questo stato di cose ne escono solo due livelli individuati come IC: l’energia e il trasporto, a cui si aggiungerà in ottica step-by-step, l’ICT. Il concetto di infrastruttura utilizzato è lo stesso del DHS, con un particolare accento sull’aspetto fisico della sicurezza, quindi della popolazione, della vita della gente. Un’efficace individuazione e attuazione di tali strategie implica, preliminarmente, la conoscenza delle vulnerabilità di ogni singolo settore, l’individuazione delle contromisure per eventuali malfunzionamenti delle infrastrutture critiche di interesse e la corretta attuazione di tali contromisure settoriali. Questi aspetti sono già affrontati in modo adeguato dalla maggioranza delle infrastrutture nazionali, in quanto sottoprodotto delle attività di normale protezione del loro core business. La definizione di Infrastruttura Critica deriva dall’adozione dei cosiddetti Cross-cutting-criteria, cioè deve presentare pericolosità a livello economico, politico, psicologico, sociale e ambientale. Solo così si può determinare quale infrastruttura, per l’Unione Europea, possa essere considerata critica invece di un’altra. In più, per essere tale, deve riguardare almeno due Paesi confinanti“.
Il problema, oltre che strategico, è anche politico e tecnico. Come attuare la Direttiva a livello nazionale? In che modo è possibile recepirla? Presa così com’è la normativa è sterile, debole e necessita di piani di integrazione forti. D’altronde, parlare di coordinamento su 27 Paesi sovrani e autonomi non è cosa semplice e sicuramente è un terreno molto diverso da quello in cui si muove Caverly. Ora il problema passa ai singoli Paesi, dove a livello di coordinamento nazionale occorre ancora individuare e attuare il modello di riferimento che consenta da una parte di realizzare una politica generale di protezione delle infrastrutture critiche e dall’altra di massimizzare gli effetti positivi degli investimenti effettuati sulle singole infrastrutture critiche nazionali. “La Fondazione Ugo Bordoni– conclude Perucchini- con il suo supporto tecnico alle istituzioni nazionali, assieme ad altri centri di eccellenza, risulterà sicuramente utile nel campo della ricerca di quelle interdipendenze critiche tra le infrastrutture da evidenziare come pericolose in relazione a un possibile effetto domino in caso di disastro. Un supporto anche nell’information sharing tra i livelli delle IC e delle istituzioni, nonché al tavolo delle decisioni strategiche che verrà istituito da qui a breve tempo“.
Durante la tavola rotonda pomeridiana, invece, è stato affrontato lo stesso problema dal punto di vista strettamente nazionale, coinvolgendo esperti provenienti da vari settori, ivi compreso quello accademico che avrà un ruolo fondamentale nel promuovere la ricerca sul tema della protezione delle infrastrutture critiche. In questo contesto generale, la FUB, nelle parole di introduzione pronunciate da Mario Frullone, Direttore ricerche della Fondazione, si vuole proporre sia come soggetto in grado di svolgere in proprio attività di ricerca, sia come uno degli elementi catalizzatori dei vari interessi pubblici e privati coinvolti, ricoprendo anche in questo campo un ruolo già utilmente svolto nel recente passato per altre attività di rilevanza nazionale. “…Ciò che va evidenziato nell’esperienza del DHS è l’aver colto a livello di Crisis Managemen il passaggio importantissimo dalla dimensione del pericolo in un’ottica spiccatamente soggettiva a una più collettiva, cioè di oggettivizzazione del rischio e degli interventi necessari. Un approccio obiettivo e metodologicamente scientifico, da cui individuare quegli indicatori più idonei al monitoraggio del territorio scelto“.
Moderatrice della tavola pomeridiana è stata l’ingegner Luisa Franchina, Direttore generale Nucleo Operativo della Protezione Civile, che ha fissato i punti della discussione sulla ricezione italiana della Direttiva europea, il time-line prefissato e le strategie di individuazione delle Infrastrutture Critiche: “… Possiamo considerare la Direttiva europea come in fase di arrivo, cioè operativa. Questa sarà accompagnata da un manuale d’uso. Obiettivo dell’operazione è creare una mappa delle IC europee e un determinato livello standard di protezione. Due i passaggi da evidenziare: redigere la Direttiva italiana entro due anni ed individuare le IC transfrontaliere. Come visto in mattinata, tali IC sono da considerarsi necessarie all’erogazione di servizi indispensabili per il cittadino, alla sua vita quotidiana e alla sua sicurezza fisica. Cosa è necessario e urgente nei nostri piani di sicurezza nazionali? Cosa bisogna fare per rendere effettiva la Direttiva in Italia? quali strategie saranno più idonee?“.
Alle domande del moderatore viene chiamato a rispondere per primo Richard Mangogna, Chief Information Officer del DHS americano: “… Ciò che dalla nostra esperienza possiamo considerare utile anche al prossimo, sono i nostri errori. Dopo l’11 settembre e le sue vittime, ciò che è emerso è stata una nostra incapacità a gestire le emergenze, sia da un punto di vista logistico che strategico. Non avevamo personale specifico sul posto, non siamo riusciti a risolvere problemi tecnici relativi al bisogno di mezzi specializzati all’intervento richiesto, non siamo riusciti a far lavorare i soggetti in campo mettendoli in comunicazione tra loro. Oggi abbiamo capito dove avevamo sbagliato e gli errori si sono trasformati in conoscenza, in risorse nuove per il Paese. Abbiamo unificato i centri di gestione dell’emergenza, di comando e di comunicazione, abbiamo un coordinamento tra più livelli di intervento, siamo pronti ad ogni evenienza“.
Gianna Detoni, Vice Presidente JP Morgan Chase, si occupa invece di Crisis Management International e intervenendo nella tavola di discussione accenna alla sua esperienza nella banca JP Morgan di Milano: “… Il concetto di Crisi di Zona è molto importante nelle strategie di gestione degli eventi catastrofici, sia a livello nazionale che internazionale. Nelle varie fasi della modellazione, da quella ‘al chiuso’ a quella sul campo, ciò che è emerso in modo chiaro è la necessità di coinvolgere tutti i soggetti in campo. L’eccellenza nella gestione della crisi è un parametro misurabile solo attraverso la creazione di un Comitato di Crisi di Zona, in cui far convergere enti pubblici e privati. Molto importante è un coordinamento di base tra i soggetti interessati alla gestione del rischio e le istituzioni preposte ad intervenire in caso di emergenza. A Milano ci sono delle IC estremamente importanti, dalla Borsa valori alla Consob, di certo strutture che coinvolgono realtà transfrontaliere, quindi rientranti nel pieno dei parametri indicati dalla Direttiva“.
La Crisi di Zona, così, risulta essere una strategia funzionale alla copertura integrale delle eventuali emergenze territoriali e municipali, come nel caso della banca JP Morgan. Anche la Santa Sede è stata invitata a prendere parte a questa discussione, con il suo Responsabile Ufficio Internet dello Stato del Vaticano, Stefano Pasquini: “…Parlando di Crisis Management a livello nazionale, possiamo considerare lo Stato del Vaticano come stato incluso in quello italiano, quindi coordinato con le istituzioni governative preposte all’intervento in caso di emergenza. Pensiamo a quegli eventi che vendono centinaia di migliaia di persone convergere in un luogo, come nel caso di funerali di stato o cerimonie religiose di rilievo. La collaborazione e il coordinamento delle forze in campo è fondamentale per il regolare svolgimento di tali imponenti manifestazioni. Ciò che per noi è auspicabile, semmai, è un allargamento di questi rapporti di collaborazione a tutta Europa, perché le IC da noi individuate sono di alto valore morale, etico, architettonico e storico, riguardanti l’intera Comunità Europea e non solo. Allo Stato del Vaticano e quindi alla Santa Sede guardano 1 miliardo e 200mila persone in tutto il mondo”.
Parlando di partnership, Damiano Toselli di Telecom Italia evidenzia quanto questo termine significhi sempre più collaborazione tra i soggetti in campo e coordinamento strategico: “… Finalizzato alla determinazione di standard uguali per tutti, tesi ad eliminare a priori la nascita di quell’anello debole che poi, alla fine, concorre sempre la caduta dei sistemi sotto attacco“.
Sempre in tema di partnership e di maggior coinvolgimento delle istituzioni, interviene Umberto Saccone dell’ENI: “…In Italia l’ENI ancora non è riuscita a creare le condizioni valide per la nascita di un tavolo di incontro con le istituzioni nazionali. In caso di crisi, ad oggi, non ci sono piani nazionali d’intervento in cui il nostro ente sia coinvolto. Il pubblico deve mettere in condizione il privato a strutturarsi e a reperire gli strumenti utili alla creazione di strategie di gestione del rischio“.
Per la sicurezza sulle strade e autostrade del Paese parlano Tommaso Tattesi responsabile Sicurezza Corporate e Paolo Berti responsabile traffico, di Autostrade per l’Italia. Il primo evidenzia come la gestione delle infrastrutture critiche della rete stradale italiana è una questione di emergenza quotidiana ormai da anni: “…La sicurezza sulle strade nazionali è per noi una routine quotidiana, con problemi spesso gravi e situazioni di crisi che abbiamo affrontato con piani specifici e sempre più affinati. La nostra rete di sicurezza è ormai estesa per tutto il sistema autostradale e stradale da noi gestito“. Per il secondo, invece, è fondamentale trovare degli standard di best practice: “… Perché per gestire più di 40.000 chilometri di rete stradale c’è bisogno di per sé di un piano strategico multilivello più che collaudato. Semmai, ciò che urge è uno studio sulle possibili best practice da standardizzare e rendere condivisibili da tutti gli operatori sul campo, comprese le istituzioni”.
Il punto di vista delle accademie e dei centri di ricerca viene portato da Roberto Napoli, professore del Politecnico di Torino: “… Quando si pianifica una possibile strategia di interventi, sono molti i fattori da considerare e tra questi vi sono le vulnerabilità specifiche, tra cui quelle scientifiche, quelle strutturali, quelle energetiche e quelle organizzative. Queste ultime, rispetto alle altre, hanno un peso specifico importante, perché rappresentano il fattore ‘umano’. Mentre le altre vulnerabilità possono essere gestite e ridotte nel tempo con interventi accorti, quella umana è gestibile solo con la formazione culturale. Con un coordinamento verticale, parallelo ad uno orizzontale, serve un vertice autorevole a guida di un tavolo gestionale e di incontro“.
Riassumendo, gli elementi base di un buon tavolo di coordinamento tra enti pubblici e privati sono: un’organizzazione efficiente, una partnership solida e un sistema di monitoraggio capillare. Per il mondo della ricerca porta il suo contributo ancora Daniele Perucchini della FUB: “… Le grandi infrastrutture nazionali hanno sempre avuto al loro interno dei centri di ricerca molto efficenti, in grado di sviluppare e diffondere core business e comunicazione. Poi, con le procedure di outsourcing, hanno cominciato ad esternare i propri servizi e questo alla fine ha creato interdipendenza e quindi vulnerabilità. Le infrastrutture hanno cioè tenuto il passo, ma senza creare coordinamento strategico con gli enti pubblici, con lo Stato. La stessa situazione è rintracciabile a livello internazionale ed europeo. La FUB , in questo quadro, cerca di organizzare le informazioni in possesso dei diversi enti, permettere lo scambio dei dati tra enti pubblici e privati e organizzare una strategia di coordinamento“.
A chiusura di giornata, l’ingegner Franchina ritorna sui temi centrali del percorso di determinazione delle IC a livello europeo, quindi il coordinamento dei soggetti pubblici e privati e la vulnerabilità dovuta dall’eccessiva interdipendenza. Nuovo elemento di cui prendere atto è la neonata Commissione interministeriale alle dipendenze del Ministero degli Interni che avrà il compito non facile di redigere una Direttiva ‘italiana’ dedita all’individuazione delle IC sul nostro territorio. Piani di intervento sono suggeriti anche dalla tavola del convegno, con un occhio attento su: l’individuazione di testi standard a cui devono essere sottoposti tutti i soggetti coinvolti nei piani di crisis management, un disegno di legge che renda autorevole la Commissione, una funzione di collettore delle criticità, con forte dipendenza dalla Presidenza del consiglio dei ministri e la funzione di coordinamento tra i vari organismi direttivi.
In conclusione, Luisa Franchina, prima di salutare tutti i partecipanti al seminario Bordoni, aggiunge: ” … Per la difesa e protezione delle infrastrutture critiche sono necessarie delle azioni da parte governativa e da parte aziendale, ma soprattutto da parte dei singoli attori che agiscono all’interno di una cultura orientata alla sicurezza, con una visione ampia sui sistemi oltre che sulle componenti. parliamo di progettisti, consulenti, responsabili IT e della sicurezza aziendale, ma anche esponenti del mondo accademico e della ricerca, questi sono gli esperti da cui dipendono il funzionamento e la protezione di molte infrastrutture strategiche. Da loro dipendono, infatti, lo sviluppo di nuovi approcci e metodologie per ridurre le vulnerabilità e fronteggiare le nuove minacce, a cui questi complessi sistemi, sempre più indispensabili per il nostro vivere quotidiano sono soggetti“.