L’Italia ha programmato entro la fine di questo anno, la definizione del bando di gara per l’appalto alle imprese partecipanti, dell’ambizioso progetto che vede la costruzione del nuovo Cloud Nazionale. Un sistema di conservazione dei dati italiani (cittadini e PA) che diventano sovrani, perché centralizzati tutti sotto un’infrastruttura unica e gestita direttamente dallo Stato (in collaborazione con il partner commerciale che si aggiudicherà la gara).
Ma l’attuale stato dell’arte della sicurezza del nostro Paese, è pronto a ricevere una sfida di questo tipo? Secondo Vittorio Colao, Ministro per l’innovazione tecnologica e la transizione digitale, non proprio.
E’ infatti lo stesso ministro a dichiarare, nel suo intervento al Festival dell’Economia di Trento (giugno 2021) che “abbiamo il 93-95% dei server della Pubblica amministrazione che non è in condizioni di sicurezza. Non possiamo andare avanti così, servono cloud più sicuri”. Secondo i piani dell’Italia infatti questa trasformazione con il Cloud Nazionale, servirà proprio a migliorare questo gap.
Rimane invece abbastanza sconcertante quanto questa affermazione sia grave e abbia stimolato pochissime riflessioni nel mainstream. Significa pensare che le nostre quotidiane attività (salute, istruzione, economia), più rilevanti e sensibili per uno Stato, siano in mano a sistemi obsoleti e non in grado di supportare i necessari aggiornamenti tecnici previsti da chi li ha progettati, attirando l’attenzione del mondo criminale informatico, sempre in costante allerta alla ricerca di vulnerabilità di questo tipo, nelle infrastrutture critiche.
I partner italiani, che sono in gioco in questa complicata partita a porte aperte, per il momento sono tre: quartetto Tim-Cdp-Sogei-Leonardo, l’accoppiata Almaviva-Aruba, e l’ultimissima recente candidatura capitanata da Engineering.
Il numero crescente, giorno dopo giorno, di attacchi informatici alle nostre istituzioni, non può che essere preoccupante: ospedale San Raffaele (Milano), supply chain Regione Lazio, ASL Roma 3, Comune di Perugia. E le dichiarazioni del Ministro, dalle quali si evince che tutta l’Europa versa nella stessa situazione e che non siamo un caso isolato, devono solo preoccupare ancora di più, non di certo giustificare.
Alcune dichiarazioni di rilievo
Roberto Baldoni, attualmente a capo dell’Agenzia nazionale per la cybersecurity a settembre 2021 ha dichiarato al Corriere che “Siamo ogni giorno a un livello 8 [scala da 0 a 10]. Immagini tante campagne che all’inizio sono piccole azioni offensive, studiano il perimetro per capire se ci sono debolezze e quindi se le società e le P.A. possono essere attaccate. A quel punto si parte con un’azione mirata e si porta avanti l’attacco specifico. Queste campagne per capire i punti di debolezza sono continue, costanti: circa 50-60 milioni di attacchi al giorno a livello mondiale. Bisogna sapere però che la prima vulnerabilità nella cybersecurity è la debolezza umana. E con una cultura della sicurezza si potrà stare più tranquilli”.
Luciano Carta, attuale presidente di Leonardo, in occasione del convegno Giovani Imprenditori di Confindustria, in una conversazione con Baldoni ha riferito espressamente:
“Una volta ci trovavamo di fronte a nemici precisi. Oggi la complessità di un mondo sempre più digitalizzato, connesso e automatizzato ci ha invece spinto a difenderci da attacchi compiuti da ignoti”.
Le conclusioni
Impossibile dargli torto, dunque, se già il Cloud Nazionale ha le sue debolezze infrastrutturali per definizione, e vista l’attuale stato in cui versa la PA italiana (completamente obsoleta dal punto di vista tecnologico), il processo di digitalizzazione in atto con questo progetto, forse dovrebbe seguire a una educazione digitale un po’ a tutti i livelli, partendo dalle scuole, fino ad arrivare agli apici manageriali delle nostre Pubbliche Amministrazioni. Con un progetto di tale portata e sensibilità critica per il nostro Paese, qualsiasi errore (soprattutto umano), all’interno della catena di produzione, può essere fatale ed esporre cittadini e imprese a rischi oggi incalcolabili. Perché Baldoni, precedentemente vicedirettore del DIS (Dipartimento delle informazioni per la sicurezza) non ha negli anni precedenti (insieme allo staff manageriale) individuato queste criticità, di modo da costruire un asse negli anni, capace di iniziare a colmare certi gap che oggi sono diventati apparentemente insormontabili? Se la PA oggi è considerata al 90% insicura, significa che già anni addietro aveva infrastrutture obsolete, con percentuali minori e più facilmente rimediabili. Perché ci troviamo oggi a dover colmare un gap degli ultimi 10 anni, in parallelo con la costruzione di questa infrastruttura che sarà la più sensibile, la più critica e la più delicata per tutti i dati del paese Italia?