Nella giornata del 25 novembre, Bruno Frattasi, Direttore dell’Agenzia per la Cybersicurezza nazionale, ha dialogato con Antonello Barone, Ideatore Festival del Sarà, durante il panel “La sicurezza del Paese: ruolo e regolamentazione degli assets fondamentali”, nel corso degli Stati Generali della Ripartenza organizzati a Bologna dall’Osservatorio economico e sociale Riparte l’Italia.

Antonello Barone domanda al Direttore dell’Agenzia per la Cybersicurezza nazionale quale strategia stia mettendo in campo lo Stato sul tema della sicurezza cibernetica in un periodo di conflitti e di tensioni internazionali e Bruno Frattasi risponde: “Buongiorno a tutti e grazie dell’invito. Come ha detto il nostro moderatore, io sono a capo di un organismo abbastanza nuovo, che si chiama l’Agenzia per la Cybersicurezza Nazionale, ed è stato costituito appena due anni fa. È vero, la cybersicurezza è il tema centrale dell’organismo di cui sono direttore generale. Ma va subito chiarito che la Cybersicurezza di cui si occupa il mio organismo è sostanzialmente la cybersicurezza intesa come resilienza del Paese, cioè come capacità del Paese, la prima delle necessità di cui occorre tener conto nel momento in cui si parla di cybersicurezza, di mettere in un adeguato stato di protezione la superficie digitale del paese. Ora, questo è un compito abbastanza complesso ed arduo, perché non ha sostanzialmente una perimetrazione esatta, dei confini precisi, perché riguarda il cittadino ma riguarda anche il mondo delle imprese, la pubblica amministrazione, le organizzazioni governative, la pubblica amministrazione locale, gli organismi istituzionali, cioè tutta la superficie digitale del paese, in poche parole”.

“È anche un tema su cui incide in qualche modo la transizione digitale, – prosegue Bruno Frattasi – che ha avuto un’accelerazione fortissima, come sappiamo. La trasformazione e la transizione digitale del paese, dell’Italia, dell’Europa, si potrebbe dire del mondo, ha avuto un moto accelerativo impetuoso che ha trovato nella pandemia anche un suo fattore straordinario. Perché la pandemia, come sappiamo, ci ha messo nelle condizioni di dover, come si dice con questo neologismo abbastanza brutto, remotizzare tutti i rapporti interpersonali, quelli di lavoro, quelli di amicizia, quelli di conoscenza. Anche questo stesso dibattito non si sarebbe potuto fare se non da remoto, se non utilizzando strumenti digitali. E nella pandemia abbiamo conosciuto, con un’evidenza drammatica, anche per il contesto che vivevamo dal punto di vista sanitario, l’importanza e la straordinaria necessità di avere una superficie digitale, cioè un ecosistema digitale, come anche viene denominato, che ci consentisse di poter avere rapporti e transazioni in tutta sicurezza”.

E poi aggiunge Bruno Frattasi: “Lei mi ha fatto una domanda a cui rispondo subito. La strategia è quella nazionale, cioè quella approvata nel 2022, che traguarda il 2026. Quindi abbiamo una sovrapposizione sostanziale e, si potrebbe dire anche formale, tra la strategia nazionale e il piano nazionale di ripresa e resilienza. D’altra parte c’è questa parola, resilienza, che ritorna nella strategia nazionale e nel piano nazionale di ripresa e resilienza, appunto. La resilienza. E quindi forse qualche parola dobbiamo spenderla su questo concetto straordinario e fondamentale, anche abusato. Io non sono un fisico, non sono un matematico, non sono un ingegnere informatico, sono un giurista, ma ho imparato subito che la resilienza è una parola che ha una provenienza ed estrazione dal mondo della fisica. Ed esattamente significa la capacità di un organismo che subisce una pressione, una molla di una sedia per esempio, di riprendere la sua forma originaria allorché quella pressione è cessata ed è venuta meno. E quindi di riprendere quella postura che nel nostro caso è una postura cibernetica, cioè una postura di sicurezza informatica, che è, diciamo, antecedente al momento di crisi, di shock, che ha subìto quella superficie attraverso quella pressione che viene esercitata”.

“Ecco, la resilienza quindi si articola in due momenti straordinariamente importanti. – spiega Bruno Frattasi – Il primo è mettere in protezione una superficie digitale, metterla adeguatamente in protezione, cioè fare in modo che ci sia una difesa informatica adeguata. Oggi sappiamo che molti dei nostri siti istituzionali, proprio per quelle ragioni che lei indicava, cioè per il fatto che la sicurezza informatica risenta anche della situazione internazionale che stiamo vivendo, esistono dei gruppi di hacker che si mettono in azione con una singolare forma di autochiamata a raccolta per i cosiddetti zombie informatici che stanno in una situazione di quiete e poi ad un certo punto avviene una chiamata sui canali social che li raduna e fa in modo che si mettano all’attacco tutti nello stesso momento di un sito informatico istituzionale, i cosiddetti attacchi Ddos, che è un acronimo  che vuol dire fare in modo che un certo sito istituzionale venga sommerso da una tale richiesta di contatti da portarlo in down e quindi non riesca più ad erogare normalmente i propri servizi. Ecco, molti di questi nostri siti istituzionali hanno subito un danno e un rallentamento, addirittura un crollo, per diverse ore della giornata con un disagio per gli utenti”.

“Accade spesso il fatto di riuscire ad evitare l’attacco – sottolinea Bruno Frattasi – perché noi abbiamo il monitoraggio anche dei canali social in cui è presente, diciamo, una sorta di bollettino di guerra, che viene pubblicato periodicamente, in cui sono indicati esattamente i siti ed i relativi target che secondo le intenzioni di questi gruppi di hacker dovranno essere attaccati. Noi ne conosciamo uno in particolare, l’abbiamo conosciuto anche sui giornali, che sostiene la causa di Putin nel conflitto tra Russia e Ucraina e che naturalmente colpisce i paesi occidentali come il nostro che si sono apertamente dichiarati a favore dell’Ucraina. Ecco naturalmente questo accade perché grazie al nostro servizio operazioni, che è un’articolazione dell’Agenzia per la Cybersicurezza nazionale che al suo interno ospita il Computer Security Response Team, cioè una task force, un gruppo di operatori informatici che monitorano i canali, monitorano la superficie web e naturalmente sono in grado di poter intercettare possibili ed eventuali attacchi. Quando è possibile farlo, ed è abbastanza frequente questo, siamo di conseguenza in grado anche di allertare i soggetti che sono stati indicati in quella lista di attacco per fare in modo che possano difendersi proprio perché li avvisiamo che sta per arrivare questo attacco Ddos”.

Antonello Barone domanda al Direttore dell’Agenzia per la Cybersicurezza nazionale se la sua entità operativa abbia anche un ruolo di sensibilizzazione nei confronti della pubblica amministrazione e quindi dei dirigenti che operano nello Stato e Bruno Frattasi replica: “La mia amministrazione, la mia agenzia fa molto di più rispetto al tema che lei pone, perché intanto non ha soltanto un compito di sensibilizzazione, cioè di stimolare un’attenzione, ma ha anche un compito di produrre e mettere a disposizione di tutte le amministrazioni dello Stato, cioè quelle governative centrali ma non è soltanto di questo l’ambito in cui opera la mia agenzia. In realtà lo facciamo anche con altri gli organi istituzionali, con la Corte Costituzionale, con la Camera dei Deputati, eccetera, i cosiddetti assessment, che sono delle verifiche che vengono fatte sui sistemi informativi e sulla rete di un soggetto pubblico per verificare quali siano i nodi di questa rete e di questi sistemi che sono più deboli, più attaccabili, più vulnerabili. L’assessment è sostanzialmente una ricognizione dei punti di vulnerabilità di questa superficie digitale. Questo perché, come accennava lei nella sua domanda, la possibilità di irrobustire la postura cibernetica di un qualunque organismo pubblico passa attraverso una ricognizione della vulnerabilità. È un po’ ciò che capita per la salute di una persona, dove una prescrizione medica non può prescindere dalla diagnosi riguardo ai punti di vulnerabilità di una persona. E più o meno possono essere trasposti questi stessi principi concettuali anche all’informazione. Ovviamente abbiamo anche le medicine, che sono innanzitutto i soldi, ossia gli investimenti. Una sicurezza informatica non può passare se non attraverso investimenti pubblici e anche investimenti privati. E, come dicevo prima, il Piano Nazionale di Ripresa e Resilienza ha messo a disposizione per la sicurezza digitale sulla missione 1 più di 600 milioni di euro di cui una parte, un terzo circa, è già stata allocata. Ed una parte ancora sostanziosa di questo terzo è stata destinata proprio al check a cui facevo prima riferimento, quindi alla verifica dello stato di salute del perimetro della sicurezza cibernetica italiana. Perché questa attività in qualche modo si ricollega al titolo del nostro panel che fa riferimento alla regolamentazione. La regolamentazione è qualcosa in cui gli italiani e gli europei sono campioni assoluti”.

“Come qualche giorno fa, – continua Bruno Frattasi – ricordava il Presidente Emerito della Camera dei Deputati Luciano Violante in una conferenza pubblica, l’Europa è un gigante dal punto di vista regolatorio e un nano dal punto di vista tecnologico rispetto agli altri big del mondo. Quindi siamo un gigante dal punto di vista regolatorio insieme a tanti altri paesi europei ma l’Italia, da questo punto di vista, è ancora più avanti. Perché L’Italia, dopo la direttiva NIS 1, che fu la prima direttiva a regolare il mondo del digitale, soprattutto con riguardo alla sfera pubblica, emanò la legge sulla superficie cibernetica, colmando i vuoti di quella direttiva, cioè integrando le lacune della regolamentazione europea, stabilendo esattamente quali fossero i soggetti pubblici essenziali e critici per il nostro Paese che dovessero seguire immediatamente gli obblighi che venivano regolamentati dall’Europa. Obblighi di notifica di incidenti, obblighi di raggiungere un livello di sicurezza cibernetica più elevato di quanto non abbiano l’obbligo di fare le altre nazioni. C’è una differenza tra un’amministrazione locale e un’amministrazione di governo che gestisce beni e funzioni di straordinaria rilevanza per la continuità della vita economica, sociale, civile, politica di un Paese e torniamo al concetto di resilienza di cui si diceva prima, quindi ci sarà pure una differenza, con tutto il rispetto, tra un comune, anche una città metropolitana e un’amministrazione come quella dell’amico Carmine Masiello, il Ministero della Difesa, o come quella a cui sono appartenuto fino a ieri, cioè il Ministero dell’Interno”.

Antonello Barone chiede al Direttore dell’Agenzia per la Cybersicurezza nazionale in quale modo uno Stato, ai fini della sicurezza, possa gestire un’innovazione così sbalorditiva come l’intelligenza artificiale e Bruno Frattasi risponde: “Allora, intanto uno Stato da solo può fare, ma non può fare tutto e può fare molto poco se rimane solo. Perché, come è stato più volte sottolineato, il tema dell’intelligenza artificiale richiama la necessità di un governo globale. Certo, sono parole, bisogna poi cercare di capire come arrivare a un governo globale dell’intelligenza artificiale, cioè a criteri e principi condivisi di sviluppo degli strumenti di intelligenza artificiale, condivisi il più largamente possibile su scala mondiale. All’inizio di questo mese c’è stato a Londra un summit importantissimo sull’intelligenza artificiale, dove è stato sottoscritto da una trentina di Paesi, forse anche di più, un documento di principio sulle linee guida che dovrà seguire lo sviluppo dell’intelligenza artificiale”.

“Quello che è importante sottolineare – chiosa Bruno Frattasi – è che non era soltanto il mondo occidentale che si riconosceva in questi principi, ossia i paesi del G7, ma lo hanno firmato anche altri Paesi che non sono in questo blocco come ad esempio il Brasile, l’India, la Cina, quindi un attore statuale che non è esattamente like-minded, come si dice, con i Paesi del blocco occidentale. Ora, dal punto di vista nostro, dell’Agenzia per la Cyber Sicurezza Nazionale, non posso che dire che l’intelligenza artificiale è anche una risorsa per la difesa informatica. Non è soltanto un attore ostile ma può anche essere un attore proattivo nella risposta che deve dare un sistema adeguato di difesa cibernetica”.

“Noi ne stiamo parlando in Agenzia, – conclude Bruno Frattasi – ma non soltanto, parlando teoricamente, concettualmente, ma anche praticamente. Abbiamo le risorse del PNR che potremmo utilizzare e stiamo utilizzando, con un progetto che incuba circa 20 milioni di euro, per creare una grande infrastruttura denominata Hypersock, che vuol dire sostanzialmente una struttura informatica che, grazie agli strumenti di intelligenza artificiale e all’uso di computer di grandissima potenza, sarà in grado di estrarre dai big data, cioè i volumi di dati straordinari, tutte le informazioni necessarie a capire per tempo la minaccia informatica, analizzarla più profondamente ed analiticamente, valutarla, e poter quindi orientare ed indirizzare gli strumenti di difesa ancora prima che l’attacco possibilmente si produca. Ecco, anticipare l’attacco. Questo forse l’intelligenza artificiale potrà consentirci di farlo, e spero anche rapidamente”.