Ma la miglior difesa rimane la formazione in cybersicurezza.
Una notizia buona e una cattiva, per l’Italia.
Cominciamo dalla prima.
Il Disegno di legge sulle Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici è stato approvato alla Camera.
Si tratta di un importante e atteso strumento in più sul fronte della sicurezza informatica che ha l’obiettivo di “assicurare una più elevata capacità di protezione e risposta a fronte di emergenze cibernetiche”, rafforzando la sicurezza nazionale a favore delle Pubbliche amministrazioni, delle imprese e dei cittadini.
Il tutto anche attraverso una governance centralizzata sugli aspetti della sicurezza e a disposizioni per la prevenzione e il contrasto dei reati informatici, anche grazie al rafforzamento delle funzioni dell’Agenzia per la Cybersicurezza Nazionale e al suo coordinamento con l’autorità giudiziaria.
La notizia cattiva in realtà non è neanche una novità, ma l’ha ricordata Pierluigi Paganini, docente del master in Cyber Security del Sole24Ore Formazione, in un incontro organizzato recentemente a Verona e riportato dal quotidiano «il Dolomiti»:
Il numero di attacchi, a livello nazionale e internazionale, è in aumento di anno in anno, ma in particolare nel nostro Paese la curva di crescita è esponenziale. In questo momento siamo il quarto Paese al mondo per numero di attacchi informatici, dietro solo a Stati Uniti, Giappone e India. Se guardiamo al giro d’affari, l’economia degli attacchi informatici è la terza al mondo (dietro solo a Cina e Stati Uniti). Il tutto considerando che, spesso, gli attacchi non vengono nemmeno denunciati.
Una conferma, semmai ce ne fosse bisogno, del bisogno urgente dell’Italia di rafforzare le sue difese anche sul piano legislativo.
“Si tratta di un provvedimento necessario – ha dichiarato Bruno Frattasi, direttore generale per l’ACN intervistato da SkyTg24 nella rubrica 1234 – perché è stata irrobustita la risposta penale ai gravi reati informatici. L’innalzamento della protezione dal punto di vista punitivo aiuta anche la deterrenza perché si presume che una risposta penale più forte contribuisca ad abbassare la pressione sulla nostra superficie digitale”.
Il decreto introduce infatti una serie di reati informatici attraverso la modifica di alcuni articoli correlati del Codice penale: dall’accesso abusivo a un sistema informatico o telematico (che, nel caso in cui il fatto sia commesso da un pubblico ufficiale, verrebbe sanzionato con la reclusione da due a dieci anni) alla detenzione; diffusione e installazione abusiva di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (che, nell’ipotesi semplice, verrebbe sanzionato con la reclusione da due a sei anni e, in quella aggravata, con la reclusione da tre a otto anni).
Il Ddl prevede che venga punita la fattispecie del delitto di estorsione mediante reati informatici.
Introduce inoltre le aggravanti sulla truffa aggravata, prevedendo la confisca obbligatoria dei beni e degli strumenti informatici o telematici utilizzati in tutto o in parte per la commissione del reato, oltre che dei profitti prodotti da questo genere di reati.
Tra i punti qualificanti del Ddl c’è l’obbligo di segnalazione entro 24 ore all’Agenzia per la Cybersicurezza Nazionale di alcuni tipi di incidenti che hanno impatto sulle reti.
A definire il perimetro di questo obbligo, e quindi quali saranno gli enti pubblici e privati tenuti alla segnalazione, sarà la presidenza del Consiglio su proposta del Comitato interministeriale per la cybersicurezza. Si tratterà in ogni caso, in generale, di “operatori che svolgono funzioni istituzionali o essenziali per gli interessi dello Stato”.
Tra i punti salienti della nuova normativa c’è – come sottolineato da Frattasi – la resilienza delle pubbliche amministrazioni, ma anche del settore finanziario, considerato che è di pochi giorni fa l’allarme della BCE relativo proprio al forte rischio nel settore finanziario.
Il disegno di legge prevede inoltre, tra le nuove disposizioni introdotte alla Camera, che nelle PA che ancora non l’abbiano fatto, venga istituita una struttura ad hoc per la cybersecurity che si doti di un referente unico per l’Acn: il referente per la cyber security e il referente per la transizione digitale potranno anche coincidere e concentrarsi in un’unica persona.
Tra i suoi articoli il Ddl stabilisce anche le norme per l’accesso alle banche dati delle pubbliche amministrazioni da parte degli addetti tecnici, prevedendo precisi sistemi di autenticazione.
Tra le modifiche più recenti anche l’emendamento presentato da Enrico Costa, deputato di Azione, approvato dalle commissioni competenti, che dà la possibilità agli ispettori del ministero della Giustizia di fare controlli sull’accesso alle banche dati.
L’Italia, insomma, grazie anche alle risorse del PNRR, si sta fortificando e allineando agli altri paesi europei e occidentali, tanto che l’ultimo Gruppo di lavoro del G7, dedicato proprio alla sicurezza informatica, si è tenuto recentemente a Roma.
“Non è stato un incontro una tantum – ha detto Frattasi – ma è stato gettato un seme per un’attività che avrà sviluppi futuri e ravvicinati. Ci siamo confrontati sui temi più caldi: i rischi globali, la protezione delle strutture critiche e strategiche, la condivisione degli standard di sicurezza, l’intelligenza artificiale e, soprattutto la necessità di condividere e di mettere in rete criticità e risultati. Credo infatti che questi temi saranno sul Tavolo del G7 di giugno che si terrà in Puglia”.
Insomma una consapevolezza dei rischi sempre più diffusa e sempre più al centro delle politiche nazionali e globali, e l’intenzione sempre più rafforzata di affrontare i nuovi pericoli globali in sinergia tra tutti i paesi più avanzati.
Un significativo passo avanti considerata la mole di attacchi subiti da aziende e organizzazioni negli ultimi anni.
Anche perché come ha ricordato il Consiglio Europeo, quella degli attacchi informatici e della criminalità informatica rappresenta una tendenza destinata a crescere in futuro, visto che si prevede che 41 miliardi di dispositivi in tutto il mondo saranno collegati all’Internet delle cose entro il 2025.
Le minacce più diffuse e concrete rimangono però gli attacchi ransomware che Frattasi ha definito “una vera e propria filiera criminale nella quale ad attaccare non è un singolo ma tanti soggetti che hanno ruoli diversi. Una vera fabbrica del crimine”.
Per questo le istituzioni chiedono la massima collaborazione sia alle amministrazioni sia ai privati: innanzitutto non cedere ai ricatti dei criminali, non pagare riscatti e denunciare, perché in troppi ancora non lo fanno, superando il timore del danno reputazionale.
E poi rafforzare le proprie difese, puntando soprattutto sulla formazione di dipendenti e collaboratori.
Il fattore umano rimane infatti quello più vulnerabile e il più utilizzato dai criminali per avere accesso alle reti delle organizzazioni e da lì rubare dati o creare danni alle attività.
Insomma le leggi sono importanti, così come lo sono i sistemi tecnologici di protezione, ma finché i pirati informatici troveranno chi apre loro la porta continueranno ad entrare.
La protezione più importante rimane dunque quella “umana” fatta da persone adeguatamente formate e sempre consapevoli di ogni loro azione online.
