L’Italia per ripartire ha bisogno anche della sicurezza IT. La crisi dell’ICT sembra ormai alle spalle. Se i dati certificati Assinform, l’associazione di Confindustria che raggruppa le imprese del settore, confermeranno il trend di questi primi mesi dell’anno, l’IT segnerà una crescita per il secondo anno consecutivo.
Un segnale incoraggiante. Favorito anche dall’azione di governo. Dal piano banda ultralarga, alla digitalizzazione della PA. Dalla fatturazione e i pagamenti elettronici della PA al Sistema Pubblico d’Identità Digitale (con il Consiglio di Stato che dopo il debutto ha annullato i criteri legati al capitale sociale richiesto per diventare identity provider). E con la promessa della partenza, prima dell’estate, del piano triennale di attuazione della strategia digitale, che dovrebbe gettare le basi per un compiuto coordinamento a livello nazionale di tutte le iniziative in campo, disperse oggi nel territorio. Tutto questo mentre procedono i lavori per l’anagrafe unica, la scuola digitale, la svolta della sanità verso l’e-health. All’iperattivismo di matrice renziana manca però un tassello, quello della sicurezza.
Non esattamente una dimenticanza non di poco conto. Visto che siamo uno dei pochi paesi del G20 che non si è ancora dotato di un’agenzia per la cybersecurity nazionale che sovrintenda alle politiche di sicurezza IT. Va detto che quello guidato da Renzi è solo l’ultimo degli esecutivi che ha provato (senza riuscirci) a mettere un po’ d’ordine alla materia. Il primo, alcuni lo ricorderanno, è stato quello presieduto da Mario Monti con un decreto datato gennaio 2013, in seguito assorbito dal quadro strategico nazionale per la sicurezza dello spazio cibernetico. Un testo che pur sistematizzando ruoli e compiti degli attori coinvolti lasciava irrisolte una serie di questioni intrecciate ad altre come la risoluzione dei nodi legati all’Agenzia per l’Italia Digitale (AgID) e la riorganizzazione dei servizi di intelligence. Una situazione rimasta sostanzialmente invariata fino all’agosto scorso, quando il Governo dell’attuale premier emanò una direttiva con la quale si individuavano “le azioni prioritarie propedeutiche allo sviluppo di un sistema in grado di garantire la protezione cibernetica e la sicurezza informatica”.
Senza tuttavia imprimere quell’accelerazione da più parti auspicata. Anzi, fermandosi ancora una volta sulla soglia delle linee di principio organizzative. Lo scorso gennaio, il premier ci ha riprovato, annunciando la creazione di un’agenzia per la cybersecurity nazionale e in molti speravano che potesse essere la volta buona. L’euforia purtroppo è durata solo poche ore. Dissolta dalla notizia della nomina a capo dell’agenzia di Marco Carrai, amico di vecchia data del premier e titolare di una società del settore. Una decisione, quella di Renzi, poi rientrata, ma che ha finito per spostare tutta l’attenzione dei media nelle “secche” del totonomine a scapito del varo operativo della stessa. Lo zuccherino del rilascio del Framework Nazionale per la Cybersecurity, realizzato per dare una mano alle aziende nella valutazione del rischio cyber – anche se va plaudito l’impegno – non può e non deve bastare. Soprattutto se si considera la gravità della minaccia rappresentata dal crimine informatico e dalle attività di spionaggio migrate massicciamente sulla Rete.
E, sul piano istituzionale, le reiterate sollecitazioni dell’UE che da tempo chiede ai governi dei paesi membri di definire delle strategie nazionali, sviluppando al contempo una maggiore collaborazione transnazionale. Continuiamo a scrivere, e sentirci ripetere, che la sicurezza è un fattore abilitante per il business. Ci crediamo davvero, oppure si tratta solo di un trito refrain mandato a memoria, svuotato dall’inerzia di chi avrebbe il potere di dargli sostanza e che invece non perde occasione per continuare a rimandare?