Nasce l’agenzia per la cybersicurezza Mappe del potere

Un nuovo decreto istituisce l’architettura nazionale di cybersicurezza in cui sono comprese una nuova agenzia specializzata e un comitato interministeriale. Queste strutture ricalcano in gran parte il sistema di intelligence e ne assorbono alcune funzioni.

|

Lo scorso 14 giugno il governo ha approvato il decreto 82/2021 in materia di cybersicurezza. Questa misura definisce l’architettura nazionale in materia di sicurezza informatica e istituisce un’apposita agenzia. Il provvedimento è sicuramente importante visto che il tema della sicurezza cibernetica è sempre più imprescindibile in tutti i settori, ma anche in vista dell’attuazione del Piano nazionale di ripresa e resilienza (Pnrr).

Le nuove strutture ricalcano in gran parte quelle previste per il sistema di intelligence, cui sottraggono anche alcune competenze. Tuttavia l’agenzia per la cybersicurezza è stata tenuta fuori dal Sistema di informazione per la sicurezza della repubblica (Sisr). I due settori opereranno dunque in stretto raccordo ma a fronte di una chiara separazione di competenze.

Un’agenzia per la cybersicurezza

Il tema della cybersicurezza è ormai sempre più rilevante e lo sarà ancora di più mano a mano che prenderanno piede le tecnologie legate al 5G e con la progressiva digitalizzazione della pubblica amministrazione.

La digitalizzazione della società offre […] grandi vantaggi [ma n.d.r.] genera nuovi rischi come quello di introdurre vulnerabilità strutturali all’interno di servizi e funzioni essenziali dello Stato, che potrebbero essere usate per finalità criminali o per gli interessi di altri attori statuali, come ad esempio nelle reti 5G o nei sistemi di intelligenza artificiale

Per questo appare senza dubbio opportuno, se non tardivo, che l’Italia si sia dotata di un’agenzia specializzata nei temi della cybersicurezza centralizzando competenze prima attribuite a una molteplicità di ministeri e agenzie di intelligence.

D’altronde anche il Pnrr presentato dal nostro paese a Bruxelles prevede ben 9,75 mld di euro nel settore della digitalizzazione. Tra queste risorse circa 62 milioni sono attribuiti al tema della cybersecurity. In particolare 241 mln sono destinati allo sviluppo di un’infrastruttura di cybersicurezza, 231 al rafforzamento delle principali strutture operative del perimetro di sicurezza nazionale cibernetica e 15 al rafforzamento delle capacità nazionali di difesa informatica presso vari ministeri.

La cybersicurezza e il sistema di informazione per la sicurezza della repubblica

Come accennato, fino a questo momento il comparto della sicurezza informatica era gestito da una molteplicità di attori pubblici. Tra questi un ruolo centrale era rivestito dalle agenzie di intelligence appartenenti al Sistema di informazione per la sicurezza della repubblica.

Non a caso, pur non essendoci ancora nulla di ufficiale, da più parti è stato fatto il nome di Roberto Baldoni, come possibile direttore della nuova agenzia. Un nome in effetti piuttosto adatto a questo tipo di incarico. Infatti Baldoni è vicedirettore del dipartimento di informazioni per la sicurezza della repubblica (Dis) con delega alla cybersecurity.

Molti altri aspetti accomunano l’agenzia della cybersicurezza alle agenzie di intelligence. Anche questa infatti è posta sotto l’alta direzione e la responsabilità generale del presidente del consiglio, che inoltre ne nomina i vertici. Anche in questo caso è l’autorità delegata, se istituita, a fare le veci del presidente del consiglio nelle funzioni su cui non detiene una competenza esclusiva. Inoltre, il decreto istitutivo attribuisce diverse funzioni specifiche al Comitato parlamentare per la sicurezza della repubblica (Copasir).

Il Copasir verifica che l’attività del Sistema di informazione per la sicurezza si svolga nel rispetto della costituzione, delle leggi, nell’esclusivo interesse e per la difesa della repubblica e delle sue istituzioni. Vai a "Cos’è il Copasir, comitato parlamentare per la sicurezza della repubblica"

Alcune parti del testo in effetti riprendono in maniera fedele le disposizioni previste dalla legge 124 con cui nel 2007 è stato riformato il comparto dell’intelligence. È ad esempio il caso della norma che disciplina la durata in carica dei vertici dell’agenzia. Una norma identica a quelle previste per i vertici del Dis (art. 4 comma 5), dell’Aisi (art. 6 comma 7) e dell’Aise (art. 7 comma 7). E questo nonostante il fatto che quella stessa disposizione sia il risultato di una modifica introdotta dal secondo governo Conte, che all’epoca suscitò grandi proteste da parte dell’opposizione.

Gli incarichi del direttore generale e del vice direttore generale hanno la durata massima di quattro anni e sono rinnovabili, con successivi provvedimenti, per una durata complessiva massima di ulteriori quattro anni.

Come per l’intelligence infine è previsto una specifico organo interministeriale, ovvero il comitato interministeriale per la cybersicurezza (Cic). Anche in questo caso la struttura è identica ma per il Cic è prevista la partecipazione in via ordinaria di tre ministri in più rispetto al comitato interministeriale per la sicurezza della repubblica (Cisr). Inoltre mentre nel Cisr è il capo del Dis a svolgere le funzione di segretario, nel caso del Cic questo compito spetta al direttore dell’agenzia per la cybersicurezza.

RuoloComitato interministeriale per la cybersicurezzaComitato interministeriale per la sicurezza della repubblica
SegretarioDirettore generale dell'agenzia per la cybersicurezzaCapo del Dipartimento di informazioni per la sicurezza della repubblica (Dis)
PresidentePresidente del ConsiglioPresidente del Consiglio
Componente ordinarioAutorità delegataAutorità delegata
Componente ordinarioMinistro degli esteriMinistro degli esteri
Componente ordinarioMinistro dell'internoMinistro dell'interno
Componente ordinarioMinistro della giustiziaMinistro della giustizia
Componente ordinarioMinistro
della difesa
Ministro
della difesa
Componente ordinarioMinistro dell'economiaMinistro dell'economia
Componente ordinarioMinistro dello sviluppo economicoMinistro dello sviluppo economico
Componente ordinarioMinistro della transizione
ecologica
Ministro della transizione
ecologica
Componente ordinarioMinistro dell'università-
Componente ordinarioMinistro per la transizione
digitale
-
Componente ordinario Ministro infrastrutture e mobilità sostenibili-

Sistemi integrati ma distinti

Come abbiamo visto dunque il nuovo comparto ricalca in gran parte la struttura del sistema di intelligence. Inoltre sia l’agenzia che la commissione interministeriale assorbono alcune competenze in materia di cybersicurezza che in precedenza erano appannaggio del Cisr, dell’Aisi e dell’Aise (Art. 16 d.l. 82/2021).

La cybersicurezza resta fuori dal sistema di intelligence.

Tuttavia, pur trattandosi anche in questo caso di strutture che si occupano di sicurezza, queste non sono state inserite all’interno del perimetro del sistema di informazioni per la sicurezza della repubblica.

Si è invece scelto di creare una specie di duplicato, che pur dovendo in molti casi agire in maniera integrata, opera separatamente rispetto al sistema di intelligence. Questo infatti mantiene le competenze in materia di cyber-intelligence così come il ministero della difesa mantiene le competenze di cyber-defence.

Eppure una delle importanti innovazioni della riforma del 2007 era stata proprio quella di portare tutto il comparto nel quadro unsistema coeso ed organico“. D’altronde è noto come in questo settore sia importante creare catene di comando ben definite. Infatti problemi di intelligence sharing (condivisione di informazioni tra agenzie) esistono non solo in campo internazionale, ma anche tra agenzie dello stesso paese.

Anche in questo caso si procede per decreti legge

La ragione per cui è stato deciso di non inserire la cybersicurezza all’interno del Sisr è probabilmente legata al fatto che la nuova agenzia ha compiti più ampi e comunque non propriamente definibili come di intelligence. Questo almeno sembra intendersi dalle poche pagine di cui è composta la relazione della camera dei deputati sul disegno di legge di conversione del d.l. 82/2021.

Certo se invece che con un decreto legge si fosse proceduto con una legge ordinaria, come avvenuto con la riforma del 2007, probablmente oggi disporremmo di una più esaustiva documentazione sulle ragioni che hanno spinto a definire per la cybersicurezza una struttura di questo tipo.

Il decreto legge è un atto normativo con valore di legge utilizzato dal governo in casi straordinari di necessità e urgenza. Vai a "Che cosa sono i decreti legge"

Le ragioni di “necessità e urgenza” formalmente necessarie all’emanazione di un decreto legge sono probabilmente rintracciabili nella necessità di inserire questo provvedimento nel quadro del Pnrr. Ciò nonostante si tratta di un altro caso che contribuisce a rendere sempre più evidente come dal 2007 a oggi il ricorso ai decreti legge da parte del governo, a discapito delle leggi ordinarie, sia aumentato in maniera esponenziale.

Gli aspetti mancanti per una piena attuazione delle norme sulla cybersicurezza

Certo la possibilità di una discussione in commissione e in aula è sempre possibile in sede di conversione del decreto. Conversione rispetto alla quale il parlamento avrà probabilmente meno tempo rispetto ai 60 giorni formalmente previsti. È probabile infatti che le camere decideranno di sospendere le proprie attività per una parte del periodo estivo.

Oltre a questo passaggio poi, per rendere operativo il decreto, sarà necessaria l’approvazione di 8 provvedimenti attuativi da parte della presidenza del consiglio, tra cui il decreto organizzativo della nuova agenzia.

Un passaggio non scontato considerando la lentezza con cui di norma vengono approvati questo tipo di provvedimenti.

Peraltro questo non è l’unico decreto in materia di cybersicurezza varato negli ultimi anni che ancora necessita dell’approvazione di provvedimenti attuativi. A settembre 2019 infatti il secondo governo Conte ha approvato il decreto 105/2019 in materia di perimetro di sicurezza nazionale cibernetica. Un testo che prevedeva l’approvazione di 7 provvedimenti attuativi di cui 2 ancora mancano all’appello.

 

Foto Credit: Sistema di informazione per la sicurezza della repubblica

PROSSIMO POST