Per ridurre e mitigare gli attacchi informatici agli asset critici e strategici del Paese non sarà risolutivo fortificarli con il Polo Strategico Nazionale (PSN), ma è necessario pensare, ora, a una soluzione per evitare un potenziale ‘cavallo di Troia’, che può essere rappresentato, senza volerlo, dalle tante PMI che lavorano per le infrastrutture critiche dell’Italia, per esempio nei settori: energetico, bancario e finanziario, sanitario, delle telecomunicazioni, dei trasporti, delle infrastrutture digitali.
Per risolvere il problema dell’anello debole non protetto all’interno nella filiera della cybersecurity, Stefano Mele, partner presso Gianni&Origoni, responsabile del dipartimento di cybersecurity law e co-responsabile del dipartimento privacy, ha lanciato, nel corso della 4^ edizione di 5G Italy, l’idea di estendere il PSN proprio alle PMI che lavorano per gli asset nazionali pregiati.
L’intervista a Stefano Mele sul cloud nazionale anche per le PMI
Key4biz. Perché ha lanciato questa proposta?
Stefano Mele. Le PMI rappresentano per l’Unione europea e ancor più per l’Italia una risorsa di inestimabile valore. I dati ufficiali del 2020 evidenziano come all’interno dei confini europei operino poco più di 21 milioni di micro, piccole e medie imprese, le quali producono il 53% della ricchezza e rappresentano ben il 99,8% delle società non finanziarie presenti nell’UE a 27 Stati. Inoltre, il 93% del numero complessivo delle PMI è formato in realtà da micro-PMI, ovvero indicativamente da quelle imprese che occupano meno di 10 persone e realizzano un fatturato annuo o un totale di bilancio annuo non superiore a 2 milioni di euro.
In Italia il dato è ancora più interessante. Con oltre 3 milioni e mezzo di PMI operanti nel 2020 (la quasi totalità delle quali classificabili come micro-PMI), questo settore produce il 64,3% della ricchezza del nostro Paese, attestandosi su una percentuale del 99,9% delle società non finanziarie presenti all’interno dei nostri confini.
Key4biz. Quindi?
Stefano Mele. Anche solo dalla semplice lettura di questi dati, quindi, si può ben comprendere quanto fondamentale sia oggigiorno il tema della cybersecurity per la stabilità e la crescita di questo settore. Questo è vero, a maggior ragione, se riflettiamo anche su quanto siano sempre più rilevanti le PMI per le attività e il business dei grandi gruppi industriali, compresi quelli che prestano un servizio essenziale per gli interessi dello Stato (come, ad esempio, coloro che operano nei settori energetico, bancario e finanziario, sanitario, delle telecomunicazioni, dei trasporti, delle infrastrutture digitali, ecc.).
Nonostante ciò – e sono queste le ‘dolenti note’ –, nel corso degli ultimi dieci anni, la quasi totalità delle PMI non hanno investito nel settore della cybersecurity le risorse economiche utili a far fronte alla trasformazione digitale della società e al maggior livello di responsabilità richiesto. Questa situazione ha provocato oggi l’assenza nelle PMI di processi interni per la sicurezza realmente coerenti ed efficienti, la mancanza di professionisti specializzati all’interno delle loro strutture e, in sostanza, la carenza di quella giusta sensibilità e cultura nel settore della sicurezza cibernetica indispensabili per affrontare tutte le sfide odierne.
Il risultato è che, da alcuni anni, le statistiche fotografano un panorama davvero preoccupante, in cui le PMI sono colpite da attacchi cibernetici di ogni genere – dallo spionaggio industriale e statale, fino agli attacchi ransomware – senza che se ne parli o che si cerchi di trovare delle soluzioni al problema realmente realizzabili, adeguate e soprattutto efficaci su ampia scala. Tutto ciò, ancora una volta, nonostante la rilevanza delle PMI sia sul piano economico, che nell’ecosistema di protezione dalle minacce cibernetiche degli asset nazionali “pregiati”.
Key4biz. Quale soluzione suggerisce per provare a risolvere questo problema?
Stefano Mele. Il governo, di recente, ha finalmente avvertito l’esigenza di affrontare in maniera seria un altro tema importantissimo: quello della sicurezza delle informazioni, delle reti, dei servizi e dei sistemi informatici della pubblica amministrazione italiana. Lo ha fatto, anzitutto, ponendo le basi di questo (inevitabilmente lungo) processo, ovvero elaborando e pubblicando la “Strategia Cloud Italia”.
Come si legge nel documento, questa strategia ha tra i suoi principali obiettivi quello di creare il Polo Strategico Nazionale (PSN), ovvero un’infrastruttura nazionale deputata ad erogare i servizi cloud per la pubblica amministrazione italiana, assicurando le più alte garanzie in termini di affidabilità, resilienza e indipendenza tecnologica.
La mia idea è che questa infrastruttura debba diventare quanto prima anche il “Cloud Nazionale per le PMI”: uno “spazio virtuale distribuito”, accessibile attraverso il pagamento di un contributo economico differente rispetto al livello di servizio richiesto, dove questo genere di imprese possano usufruire di default di un livello alto di sicurezza per i loro dati, i loro servizi e le loro infrastrutture tecnologiche.
Infatti, se nel settore della cybersecurity il problema principale finora riscontrato per le PMI – così come per le pubbliche amministrazioni – è quello di un’incapacità nel riuscire a sostenere gli investimenti economici utili a mitigare quanto più possibile i rischi di attacchi cyber sempre più complessi e invasivi, l’unica soluzione efficiente e davvero scalabile appare essere, allora, quella di creare un “ambiente esterno” in cui sia il governo a garantire quelle caratteristiche di affidabilità, resilienza e indipendenza tecnologica oramai imprescindibili.
La creazione di un “Cloud Nazionale per le PMI” appare quanto mai utile e, anzi, assolutamente urgente soprattutto per quelle PMI che già oggi supportano – in qualità di ‘terze parti’ – i grandi gruppi industriali soggetti ai numerosi obblighi normativi in materia di cybersecurity a livello europeo (es., Direttiva NIS) e nazionale (es., Perimetro di Sicurezza Nazionale Cibernetica), ovvero per quelle PMI che presto saranno incluse nell’orbita degli adempimenti della c.d. “Direttiva NIS 2”. Pertanto, il progetto pilota potrebbe partire e riguardare proprio questo sottoinsieme di PMI, per poi estendersi a tutto il settore, una volta verificatane la bontà.
Del resto, non è certamente un caso che la nuova strategia in materia di cybersecuritydell’Unione europea (“The EU’s Cybersecurity Strategy for the Digital Decade”) si focalizzi anche sulla sicurezza delle PMI, prevedendo nel quadro dei finanziamenti pluriennali 2021-2027 del Digital Europe Programme e di Horizon Europe ben 2 miliardi di euro proprio per il loro sostegno nel settore della sicurezza cibernetica, a cui si andranno ovviamente ad aggiungere gli investimenti degli Stati membri e dell’industria.
Key4biz. A chi spetterebbe la responsabilità di questo progetto?
Stefano Mele. Il governo dovrebbe affidare questo progetto alla neonata Agenzia per la Cybersicurezza Nazionale (ACN).
Nella sua veste di Autorità nazionale per la cybersicurezza, infatti, è a questa agenzia che spetta il compito di promuove la realizzazione di azioni comuni dirette ad assicurare la sicurezza e la resilienza cibernetica per lo sviluppo della digitalizzazione del Paese, del sistema produttivo e delle pubbliche amministrazioni.
Peraltro, sempre all’Agenzia per la Cybersicurezza Nazionale (ACN) è affidato il compito di partecipare e supportare – come Centro nazionale di coordinamento – le attività del “Centro Europeo di Competenza per la Cibersicurezza nell’ambito Industriale, Tecnologico e della Ricerca”, che ha, tra i suoi numerosi compiti, proprio quello di sostenere le PMI nel settore della cybersecurity e promuovere ogni azione utile per contribuire a colmare il loro divario di competenze.
Key4biz. Infine, qual è il suo auspicio?
Stefano Mele. Il mio auspicio è che il governo Draghi e la politica tutta comprendano quanto prima il ruolo centrale della digitalizzazione e della cybersecurity nella “vita” di tutte le PMI italiane.
In tal senso, la creazione di un “Cloud Nazionale per le PMI” aiuterebbe in maniera tangibile questo settore non solo nella sua crescita, ma anche nel processo di supporto alle attività e al business dei grandi gruppi industriali e delle principali pubbliche amministrazioni.
Ciò, peraltro, permetterebbe anche di centrare fin da subito uno dei più importanti obiettivi strategici nel settore della cybersecurity pianificati dall’Unione europea nella sua nuova strategia.
