Post
Istituto Italiano per la Cybersicurezza (Iic), tutte le ultime novità sulla Fondazione degli 007 italiani: il modello americano del Mitre e la norma poi stralciata, i rapporti non ancora chiari fra soggetti pubblici e aziende private, le incognite su perimetro di azione e coordinamento con altre istituzioni e non solo. L’approfondimento dell’analista Arcangelo Milito
In questi ultimi tre-quattro giorni le colonne di Start hanno ospitato diversi interventi per illustrare l’Articolato del Disegno di legge di bilancio 2021 – al 16 novembre 2020 (ore 11.40, come da bozza entrata in Consiglio dei Ministri in pari data). Nel giro di questo breve periodo molte cose sono cambiate per l’acclamata e istituenda “Fondazione per la cybersicurezza”, Istituto Italiano per la Cybersicurezza (Iic) da alcuni ribattezzata la “Fondazione degli 007” italiani. In estrema sintesi, tutto appare ridimensionato e di certo qualcuno “ai piani alti” deve aver letto gli articoli su Start.
(ECCO COME E PERCHE’ LA NORMA SULLA FONDAZIONE E’ STATA ACCANTONATA)
L’Iic nasce dall’idea di fondo tipicamente anglo-americana di far interagire strategicamente soggetti pubblici e privati che abbiano gli stessi obiettivi di R&D (in Inglese: Research and Development, Ricerca e Sviluppo), dotarli di una struttura operativa e decisionale agile, di fondi adeguati per la piena operatività . In sostanza, qualcosa che in Italia si fa strada con molta fatica: flessibilità , rapidità e capacità decisionale. Questa interazione è anche il prerequisito concettuale del dual use, cioè un approccio basato sull’uso duale dell’attività di ricerca e sviluppo in materia di protezione e sicurezza dei dati, anche con risvolti economici e industriali fruttuosi.
L’Iic non nasce dal nulla, ma trova fondamento in pratiche già sperimentate all’estero, specialmente Stati Uniti, Gran Bretagna o Israele. Più specificamente, è un modello messo a punto nelle sue linee generali a seguito di incontri tra Italia e Stati Uniti avvenuti a Washington circa 2 anni fa, in cui l’obiettivo di base era “massimizzare l’azione del Sistema Paese negli Usa. Ciò anche grazie al rapporto cruciale con il settore privato”, con i rapporti commerciali in prima istanza.
(ECCO COME E PERCHE’ LA NORMA SULLA FONDAZIONE E’ STATA ACCANTONATA)
Il modello di riferimento prescelto è la Mitre Corporation americana. Esattamente come Iic, la statunitense Mitre è un ente senza fini di lucro, che coordina e finanzia progetti di ricerca e sviluppo federali dalla sua fondazione avvenuta nel 1958. Fin dalle sue origini Mitre ha perseguito gli obiettivi di ottimizzare e aggiornare il ruolo operativo della Difesa, Aviazione e Intelligence americane. Per fare un solo esempio, è stata Mitre a coordinare e portare avanti l’ideazione di sistemi Sage (Semi Automatic Ground Environment, ambiente operativo semi-automatico) attraverso il progetto Satin (SAGE Air Traffic Integration), cioè il 1° computer digitale per US Air Force che collegasse stazioni radar, sistemi d’arma e decisori militari in tempo reale per assumere decisioni in tempi brevissimi, appunto. Se ci pensate, è quel sistema che avrebbe permesso ai militari del film Il Dottor Stranamore di prendere la decisione di lanciare missili. Se andiamo a vedere la struttura direttiva di Mitre, dagli executives ai trustees o (Visiting) fellows, tutti hanno un ricco cv connesso con la Difesa, l’intelligence (specie US Naval Intelligence Office) e cyber-security (es. Cisco). E certi incarichi, nomi ed esperienze contano.
(ECCO COME E PERCHE’ LA NORMA SULLA FONDAZIONE E’ STATA ACCANTONATA)
Per tornare a noi e alle misere cose italiane, il Consiglio dei Ministri pare avere ridimensionato fortemente la dotazione finanziaria dell’Iic e ha mantenuto la preminenza del CISR (Comitato Interministeriale per la Sicurezza della Repubblica) nella nomina dei componenti direttivi, di concerto con il Ministero per l’Università e la Ricerca nonché (ove esistente), l’Autorità politica delegata per le funzioni nella materia delle tecnologie dell’informazione e l’innovazione digitale. La Relazione illustrativa (Articolato del 16/11/2020 p.93) precisa pure che gli Organi dell’Istituto e loro componenti “debbano comunque ottenere il preventivo gradimento dello stesso Cisr integrato ai sensi del comma 4”.
In particolare, l’Articolato (art.104 c.13) adesso reca l’autorizzazione di spesa per soli 10 milioni di euro per il 2021: ben 200 milioni in meno rispetto a quanto previsto dal 2021 al 2024. In pratica, una “Fondazione sfondata”, cioè priva di reale autonomia. Per avere un’idea, nell’originaria versione di sabato-domenica il fu art. 96 c.13 destinava a Iic queste ipotetiche somme:
- 30 milioni di euro per il 2021
- 70 milioni di euro per il 2022
- 60 milioni di euro per il 2023
- 50 milioni di euro per il 2024
- XXX milioni di euro a decorrere dal 2025
(ECCO COME E PERCHE’ LA NORMA SULLA FONDAZIONE E’ STATA ACCANTONATA)
Start Magazine ha immediatamente avviato un’attenta analisi e riflessione su quanto disposto, per le ovvie implicazioni riguardanti la sicurezza dello Stato, dei suoi interessi strategici e produttivi. La decisione di istituire una Fondazione per la Cybersicurezza italiana ha generato numerose domande e perplessità che Start ha raccolto e pubblicato a più riprese. Il timore è che la proliferazione di enti e soggetti come questa Fondazione/Istituto siano un duplicato del già esistente Cisr, con lieve o scarso coordinamento. Insomma, un duplicato burocratico dove per alcuni potrebbero finire politici e/o parlamentari eccellenti alla fine della propria carriera governativa o per limite di mandato, come già evidenziato su Start da Umberto Rapetto o Federico Mollicone. È proprio il connubio mancante di coordinamento operativo e direzione politica che sembra (ancora) mancare: non si capisce, infatti, perché non si sia tenuto quanto espresso a livello politico dal Mise (Ministero dello Sviluppo Economico, Linee programmatiche del dicastero, punto C).
Infine, sarebbe opportuno ancora chiarire i termini e limiti delle collaborazioni poste in essere, oltre agli obiettivi da perseguire, ovviamente. In altre parole:
- gli obiettivi riguardano il contrasto al cyber-terrorismo e protezione dei dati in senso lato, al terrorismo e il controllo dell’ordine pubblico, il contrasto alla propaganda estremista?
- Che rapporto avrebbe la Fondazione (in cui vi sono soggetti privati) con l’interesse pubblico, avrebbe un ruolo consultivo o pure normativo?
- Quali contorni precisi avrebbe l’azione dell’Istituenda Fondazione in relazione alle Forze Armate, alle loro strutture già esistenti e con medesimi scopi?
- Quale tipologia di “collaborazioni tra Stato ed esperti e/o società private, sia a livello nazionale che internazionale” (introdotte dal c.10 dell’art.104 Articolato Legge di bilancio 2021), avremmo? Ovvero, quali sarebbero la portata e gli obiettivi della “collaborazione di esperti e di società di consulenza nazionali ed estere, ovvero di università e di istituti universitari e di ricerca?
Sono tutte domande che attendono ancora risposte chiare e — possibilmente — operative. Rimane immutata (e immutabile?) la confusione sotto il cielo politico italiano.
Nessun commento:
Posta un commento