Oggi la capacità cyber è al centro delle strategie difensive, economiche e di sviluppo
di Michele Pinassi*
SIENA. “26 milioni di cittadini, dai 16 ai 74 anni, in Italia non hanno competenze digitali di base. Il 17% di questi non ha mai utilizzato Internet e il 38% delle donne non hanno competenze digitali di base”[1] è lo spaccato di un Paese Europeo da 60 milioni di abitanti, l’Italia.
Uno scenario drammatico, che rivela tutta la debolezza del Paese davanti alle sfide del mondo contemporaneo e futuro. Il ministro Colao non è nuovo a dichiarazioni di questo tipo, e vale la pena ricordare quando, nel Giugno 2021, disse che “Abbiamo il 93-95% dei server della Pubblica amministrazione non in condizioni di sicurezza“[3]: una affermazione che, in una società normodotata, avrebbe dovuto scatenare moti d’indignazione e una veloce e pronta revisione di tutte le infrastrutture digitali nella PA, a iniziare dalle misure di sicurezza adottate e dalle competenze del personale addetto alla loro gestione e manutenzione. Credo non ci sia bisogno di raccontare cosa (non) è successo (ma i dati sugli attacchi cyber ai danni delle infrastrutture italiane parlano chiaro: siamo il Paese Europeo più flagellato dal cybercrimine).
Non è un caso, né sfortuna, se abbiamo avuto pesantissimi attacchi informatici come quello alla Regione Lazio, alla AUSSL6 di Padova, a svariati comuni e unioni comunali italiane, alla ASL 3 Napoli Sud, all’ARS della Regione Toscana, all’Anagrafe del Comune di Torino, all’ARPA Regione Marche e tutti gli altri attacchi alle aziende e PMI italiane, inclusi quelli mai denunciati (secondo alcune stime, sono una discreta fetta).
Eppure inizia a esserci consapevolezza da parte delle istituzioni, come confermato anche dalla Relazione Annuale 2021 del COPASIR che, nelle premesse, sottolinea che “Indubbia centralità spetta, poi all’innovazione tecnologica e alla transizione digitale. Al riguardo, se è vero che non tutte le dinamiche globali implicano necessariamente risvolti securitari, e che, parimenti, da tutti i fenomeni di minaccia alla sicurezza nazionale promanano altrettanti compiti che l’intelligence è chiamata ad assolvere, a confermarsi quale peculiare paradigma contemporaneo della minaccia è la cyber threat“.
Insomma, del digitale non possiamo più fare a meno e i rischi derivanti dall’uso delle nuove tecnologie rappresentano una delle minacce più tangibili e concrete.
Quindi, cosa pensiamo di fare?
“…i cyberattacchi di questi giorni ci spiegano perché è importante il Cloud: se c’è un attacco, c’è un back-up fatto la sera prima”[2] ha dichiarato sempre Colao, confermando una percezione distorta e tecnicamente errata del cloud: non sarà muovere applicativi, dati e infrastrutture su piattaforme cloud (anche se gli acronimi PAAS, SAAS, IAAS vanno tanto di moda nei convegni del settore) a migliorarne la sicurezza, soprattutto quando ad accedere a questi dati saranno gli stessi funzionari della PA che, sempre a detta del Ministro, non hanno competenze adeguate e non usano sistemi sicuri. Un attaccante non ha bisogno di puntare alle piattaforme tecnologiche del Cloud, quando ha a disposizione migliaia di punti di accesso non sicuri, grazie alla mancata competenza, mancata formazione e scarsi investimenti da parte dei punti di accesso nelle oltre 20.000 realtà PA italiane.
Tralascio volutamente le varie investiture più o meno ufficiali alle realtà GAFAM da parte delle istituzioni pubbliche, sulle quali preferisco stendere un velo pietoso.
Punto invece su un altro elemento cruciale, toccato anche dal ministro per l’innovazione tecnologica e la transizione digitale: l’educazione al digitale. Educazione che, giusto per chiarire, non significa saper usare Instagram o chattare su Whatsapp. Educazione digitale significa comprendere i fenomeni di trasformazione tecnologica, incluso i rischi e le opportunità derivanti dalle nuove tecnologie. Significa, banalmente, saper riconoscere una mail truffaldina da una autorevole o saper interpretare correttamente gli avvisi di sicurezza del browser o i messaggi dell’antivirus. Per la cronaca, sono diversi anni che l’AgID ha elaborato un framework “DigiComp” per le Competenze digitali di base.
Passo oltre l’annosa questione del digital divide infrastrutturale, sul quale comunque Colao ha fatto delle importanti dichiarazioni (“Con le infrastrutture a banda larga vogliamo ridurre l’esclusione sociale di persone e territori connettendo tutte le zone meno connesse e offrire a tutti le stesse condizione di accesso alle tecnologie”[1]), anche se avere a disposizione banda larga, in una situazione di scarsa sicurezza come l’attuale, rischia solo di ampliare la superficie di attacco a disposizione dei cybercriminali.
Educazione, dicevamo. Essenziale per elevare il livello di competenze digitali a quei 26 milioni d’italiani esclusi dalle opportunità offerte dalla tecnologia. Come pensiamo di fornirla? Sempre secondo l’articolo pubblicato da Key4Biz[1], sono previsti “3 interventi per un totale di 500 milioni di euro.
- Il servizio civile digitale: entro il 2024 10mila volontari fornire competenze digitali a 1 milione di cittadini.
- 3mila punti di facilitazione digitale: 2 milioni di cittadini, di tutte le età, da formare digitalmente con giovani-facilitatori.“
Scusate, non ho capito bene: 10.000 volontari (su una platea di 26 milioni di abitanti) a fornire, “volontariamente”, competenze a 1 milione di cittadini? E questi “giovani-facilitatori” chi sarebbero, come sarebbero selezionati, secondo quali competenze e con quale inquadramento economico?
Davvero, la strategia del Governo è puntare su 10.000 volontari del “servizio civile nazionale” a fornire competenze praticamente gratis? Spero sinceramente di aver letto male.
Parliamo di competenze specifiche, che devono essere fornite da professionisti, capaci anche di saper fare formazione. Davvero si pensa di farlo appoggiandosi a “volontari” del servizio civile? Che qualità si spera di poter avere, ammesso che si possano reclutare 10.000 “volontari del servizio civile” con queste competenze?
Le competenze digitali sono oggi importanti (e forse anche di più) come le altre competenze altamente professionalizzanti per le quali la PA spende milioni di euro, sia in retribuzioni che consulenze. Competenze STEM di cui il nostro Paese, purtroppo, non è affatto “ricco” e che vede i pochi professionisti presenti fuggire all’estero, dove le condizioni di lavoro e le retribuzioni sono nettamente migliori.
Era l’aprile 2021 quando lo stesso ministro Colao ha evidenziato la necessità di “Promuovere la consapevolezza dell’importanza degli studi e degli approfondimenti scientifici è essenziale per il futuro del nostro Paese.“[4] Per poi finire a dover fare “formazione” come volontario del “servizio civile” a 444,30€ al mese?
Concludendo, anche se adesso i riflettori sono puntati sulla neonata Agenzia Nazionale Cybersecurity italiana, con un ritardo – rispetto agli altri paesi europei – di svariati anni che sarà difficile recuperare, temo che non sarà sufficiente né a colmare l’enorme gap culturale né a proteggere le nostre infrastrutture critiche e nazionali.
Inoltre, mi perdonerà Colao se ho fatto le pulci alle sue dichiarazioni, che reputo (purtroppo) esplicative della percezione diffusa sui temi cyber da parte della classe dirigente del nostro Paese, ancora considerati “figli di un Dio minore”, rispetto ad altre professionalità.
A farne le spese, giusto per chiarire e concludere, siamo in primis noi cittadini e i nostri preziosi dati personali, alla mercé dei cybercriminali.
*www.zerozone.it
[1] Colao: “26 milioni di italiani senza competenze digitali di base”, Key4Biz
[2] Colao: “Il Cloud ci difenderà dai cyberattacchi”. Ma protezione dei dati e cloud sono altro, Key4Biz
[3] Il ministro Colao: “Il 93-95% dei server della pa non è in condizioni di sicurezza. A giugno le proposte delle imprese per il cloud”, Il Fatto Quotidiano
[4] La formazione scientifica per un futuro sostenibile e digitale, MITD