Il disegno di legge del governo non prevede nemmeno un euro in più contro gli attacchi hacker. Nel Pnrr si punta sull’innovazione ma senza adeguati fondi per aumentare le barriere digitali
Un tavolo interministeriale che si riunisce periodicamente e un apposito disegno di legge firmato dalla presidente del Consiglio, Giorgia Meloni, e dal ministro della Giustizia, Carlo Nordio. In mezzo incontri, convegni, promesse. Sulla cybersicurezza non manca il movimento del governo, in linea con le crescenti preoccupazioni per le tensioni geopolitiche: le guerre si combattono spesso su territori informatici. Gli hacker russi sono ormai un incubo.
Ma, dietro la sinfonia delle buone intenzioni di Palazzo Chigi, si scorge poco o nulla, se non la solita propaganda. Così l’Italia è il paese dei balocchi per i criminali informatici più preparati, che bersagliano a cadenza quotidiana le aziende private e gli enti pubblici, costringendo a un super lavoro l’Agenzia nazionale per la cybersicurezza, affidata dal 2023 a Bruno Frattasi. Fatto sta che gli hacker trafugano dati, chiedono riscatti, accaparrandosi soldi da impiegare per affinare le loro strategie.
Zero risorse aggiuntive
Alla Pubblica amministrazione servirebbe un supporto economico e di competenze per erigere barriere digitali. Ma il governo mette giusto qualche spicciolo. Il caso più clamoroso è proprio il testo di legge sulla cybersecurity in esame alla Camera nelle commissioni Affari costituzionali e Giustizia. Per Meloni è una priorità: «Il parlamento lo approvi prima possibile», ha ripetuto di recente. Come se fosse la panacea dei cyber-mali.
La riforma modifica la governance, inasprisce pene e sanzioni, ma l’articolo finale parla chiaro: l’intervento legislativo è previsto a «invarianza finanziaria». Ossia a costo zero, senza stanziamenti aggiuntivi. Gli eventuali fondi? Chissà. Verranno reperiti in un futuro indefinito.
«Il disegno di legge va a rafforzare le sanzioni su azioni criminali ed è un fatto positivo, ma il legislatore dovrebbe iniziare a valutare come piccole e medie imprese o piccoli enti pubblici possano iniziare a difendersi da soli, combattendo una battaglia difficile contro chi, come i criminali, ha maggiori mezzi a disposizione», dice a Domani Gabriele Faggioli, responsabile scientifico dell’osservatorio cybersecurity&data protection del politecnico di Milano. Insomma, osserva l’esperto, «non si può pensare che piccole realtà abbiano le capacità di difesa adeguata. Le misure previste rischiano di essere palliative».
Non solo mancano finanziamenti diretti: non vengono nemmeno introdotte misure per stimolare gli investimenti in un paese che è fanalino di coda per la spesa sul settore. Secondo l’Osservatorio del politecnico di Milano, nel 2023 l’Italia ha speso lo 0,12 per cento del Pil sul settore. Quasi la metà rispetto a Germania e Francia e un terzo in confronto a Gran Bretagna e Stati Uniti. Ed è impossibile che il gap venga recuperato a breve: in confronto all’anno precedente la crescita è stata a passo di lumaca, pari allo 0,02 per cento.
Cyber-propaganda
Poco male. Il governo continua con le riunioni e gli annunci, perfetti per il battage propagandistico. A conti fatti, le risorse a disposizione sono briciole: il Pnrr prevede una spesa complessiva di 623 milioni di euro sulla cybersicurezza. Una quota minima in confronto ai 41,3 miliardi di euro dati alla missione dell’innovazione digitale con un effetto boomerang: la crescita della digitalizzazione amplia la superficie informatica, e impone un investimento maggiore per la sicurezza digitale per controllare meglio il perimetro. «L’innovazione deve essere accompagnata da una valutazione sui costi per garantire un’adeguata manutenzione. Per fare un esempio un po’ brutale: si rischia l’effetto di chi compra un immobile, ma non ha risorse per mantenerlo» aggiunge Faggioli.
Oltre agli stanziamenti una tantum del Pnrr, l’esecutivo ha garantito una dotazione complessiva ordinaria di poco superiore ai 220 milioni di euro per il 2024, spacchettata in vari fondi tra uno apposito del Mef e le risorse trasferite all’Agenzia nazionale della per la cybersicurezza nazionale.
Una cifra destinata ad aumentare di poco, toccando i 280 milioni di euro nel 2025. E comunque lontanissima dall’1,2 per cento di Pil all’anno che sarebbe necessario, come riporta il documento sulla «strategia nazionale di cybersicurezza», per garantire un’adeguata dotazione ai piccoli comuni.
Ci vorrebbero, insomma, circa 2 miliardi di euro annui. La soglia non sarà raggiunta nemmeno tra 5 anni. Eppure, l’Italia è già oggi alle prese con attacchi di hacker che mettono in affanno aziende ed enti pubblici. Il rapporto Clusit, principale riferimento del settore, denota come nel primo semestre del 2023 ci siano stati in totale 1.382 attacchi informatici con un balzo dell’86 per cento rispetto allo stesso periodo del 2018.
«Nello stesso periodo la media mensile di attacchi gravi è passata da 124 a 230 (quasi 8 al giorno). Oltre a essere aumentata la frequenza, sono aumentati anche gli impatti: la nostra stima della loro “Severity” (indice di gravità) è cresciuta costantemente, il che rappresenta un ulteriore moltiplicatore dei danni», si legge nel corposo dossier.
E il disegno di legge Meloni è un pannicello caldo. «La regolamentazione è importante, ma non bastano. Servono gli strumenti e una politica industriale italiana ed europea che sostenga un cambiamento di sistema non più rinviabile», sottolinea Andrea Casu, deputato del Pd che sta seguendo da vicino la riforma.
Del resto le aziende del comparto, all’evento CyberSec2024 a Roma, hanno chiesto proprio un maggiore sforzo economico alle istituzioni, «un Pnrr della cybersicurezza», come lo ha definito Eugenio Santagata, amministratore delegato di Telsy. Il governo, da par suo, si è impegnato a fare qualcosa con lettere di intenti. Ma i soldi non si vedono.
© Riproduzione riservata