Un ambizioso piano di potenziamento della Pubblica Amministrazione che fa leva principalmente sulle piattaforme digitali: il Piano Nazionale di Ripresa e Resilienza (PNRR) punta su una vera e propria “rivoluzione digitale” che dovrà portare a maggiore efficienza e facilità di accesso ai servizi. A margine, però, esiste un nodo da affrontare: quello della cyber sicurezza della PA, che oggi sconta evidenti ritardi e richiederà un consistente impegno sia sotto il profilo economico, sia sotto quello della pianificazione. “Il tema della cyber security nella Pubblica Amministrazione è uno degli aspetti fondamentali da affrontare” conferma l’Avv. Stefano Mele, Partner presso Gianni&Origoni, ove è il Responsabile del Dipartimento Cybersecurity Law e co-Responsabile del Dipartimento Privacy. “Nel piano predisposto dal governo sono previsti interventi specifici, ma alcuni aspetti meritano un ulteriore approfondimento”.
Il piano per la sicurezza della PA in numeri
Partiamo dai numeri: nei documenti ufficiali del governo, la voce “cybersecurity” relativa al processo di digitalizzazione della PA (6,14 miliardi di euro di investimenti complessivi) pesa per 620 milioni di euro. Gli investimenti, si legge, sono organizzati su quattro aree di intervento principali:
- rafforzamento dei presidi per gestire alert ed eventi a rischio;
- aumento della solidità nella valutazione e audit continuo della sicurezza;
- investimenti nelle aree di pubblica sicurezza;
- potenziamento delle unità cyber incaricate della sicurezza nazionale.
Come si può intuire, il tema si intreccia quindi con altri capitoli del PNRR e la definizione delle risorse destinate a ogni singolo aspetto sono, di conseguenza, soggette a qualche “aggiustamento” legato alla declinazione degli investimenti nel quadro complessivo. In particolare, la sicurezza della PA interseca sicuramente la creazione di quel Perimetro di Sicurezza Nazionale Cibernetica (PSNC) che andrà a interessare anche aziende private e pubbliche che operano in settori strategici. “Il PSNC non riguarda tutte le Pubbliche Amministrazioni” spiega Stefano Mele. “Il decreto che lo delimita, infatti, prevede che siano incluse nel perimetro soltanto quelle PA che svolgono una funzione essenziale per lo Stato e per la nostra sicurezza nazionale”.
Gli effetti indiretti della digitalizzazione sulla sicurezza della PA
Un ulteriore elemento espansivo, però, è rappresentato da altri capitoli compresi nel capitolo Digitalizzazione, innovazione e sicurezza nella PA. La logica, in questo caso, è legata alle caratteristiche specifiche delle pubbliche amministrazioni nel nostro paese.
Uno degli elementi di debolezza della PA a livello di cyber security, per esempio, è legata all’uso di sistemi antiquati (i cosiddetti sistemi legacy) e all’aumento di rischio che comporta l’uso di questo tipo di strumenti digitali. Voci di investimento come quelle relative alle infrastrutture digitali (900 milioni di euro previsti) o alla migrazione al cloud (1 miliardo di euro) avranno quindi un impatto indiretto sul livello di sicurezza complessivo della PA. La dotazione di strumenti aggiornati e di nuove tecnologie orientate a una logica di “security by design” consentono, di per sé stesse, di migliorare notevolmente il livello di resilienza agli attacchi informatici.
L’abilitazione all’uso delle piattaforme cloud, da questo punto di vista, ha un particolare rilievo. Non solo per le potenzialità a livello di performance e di capacità di adattarne le caratteristiche, ma anche per l’opportunità di centralizzare la definizione e la gestione degli standard di sicurezza. “Il progetto di creazione di un cloud nazionale, da questo punto di vista, avrà un ruolo cruciale” sottolinea Stefano Mele. “La prima fase di attuazione del Perimetro di Sicurezza Nazionale Cibernetica sta coinvolgendo quelle pubbliche amministrazioni a cui l’ordinamento attribuisce compiti rivolti ad assicurare la continuità dell’azione di Governo e degli Organi costituzionali, la sicurezza interna ed esterna e la difesa dello Stato, le relazioni internazionali, la sicurezza e l’ordine pubblico, l’amministrazione della giustizia, la funzionalità dei sistemi economico e finanziario e dei trasporti, ma la vera svolta potrebbe esserci nel momento in cui, nei prossimi anni, il governo dovesse decidere di coinvolgere anche le amministrazioni regionali e locali, anche grazie alla creazione del cloud nazionale e di una infrastruttura capace di permettere l’erogazione di standard di sicurezza scalabili” sottolinea Mele. “Questo perché, ad esclusione forse delle città metropolitane, i Comuni normalmente non hanno le capacità di investimento necessarie per arrivare a livelli di cybersecurity realmente soddisfacenti e soprattutto costantemente ripetibili nel corso degli anni a venire. L’intervento del governo diventa, quindi, fondamentale”.
Gli investimenti sul fattore umano e la sua ricaduta sulla sicurezza
I fattori “indiretti” di rafforzamento nella sicurezza della PA non si esauriscono negli investimenti tecnici su infrastrutture e tecnologie, ma comprendono anche quelli rivolti a migliorare le competenze di chi lavora nelle amministrazioni stesse. Come non si stancano di ripetere gli esperti di cyber security, gli errori umani incidono per una percentuale estremamente rilevante (si parla dell’80%) nel verificarsi di incidenti di sicurezza informatica.
La casistica non comprende solo i comportamenti “a rischio” del singolo impiegato nell’uso degli strumenti digitali, ma anche gli errori di configurazione e gestione dei sistemi informatici da parte degli addetti IT, spesso dovuti a policy e procedure non adeguate. Il piano di investimento previsto nel settore pubblico, che prevede un impegno economico valutato in 490 milioni di euro, rappresenta di conseguenza un ulteriore tassello che va a comporre il percorso verso un aumento del livello di sicurezza complessivo. Il percorso, per come viene descritto, ha inoltre elementi strutturali. Oltre alla previsione di corsi di reskilling e upskilling, è infatti prevista l’introduzione di “comunità di competenze” attraverso la formazione di manager della trasformazione digitale che porteranno, nelle intenzioni, all’interiorizzazione di best practice (anche a livello di sicurezza) nella PA italiana.
Dalla PA alle piccole e medie imprese: perché serve guardare anche al privato
Esattamente come il tema della sicurezza della PA non si esaurisce nel capitolo specifico a essa dedicato all’interno del PNRR, la previsione di elevati standard di cyber security per le pubbliche amministrazioni supera i confini stessi del settore pubblico.
“Esistono migliaia di PMI che collaborano con le amministrazioni” spiega Stefano Mele. “Garantire standard di sicurezza elevati anche a questi soggetti è un fattore fondamentale per migliorare la sicurezza della PA”. Ancora una volta, il ragionamento prende le mosse dall’esperienza nel settore cyber e, in particolare, dal rischio legato ai cosiddetti “attacchi di filiera” (supply chain attack) che sfruttano le interconnessioni tra soggetti diversi nell’uso degli strumenti digitali. Si tratta di un problema enorme, che è stato recentemente evidenziato da molti episodi di cronaca in cui gli attacchi cyber hanno interessato “a cascata” una serie di soggetti legati tra loro.
“Se non si considera questo aspetto, ragionando su un intervento migliorativo che copra tutti i settori dell’economia nazionale, migliorare il livello di sicurezza delle amministrazioni è solo una parte della soluzione” sottolinea Mele. “Se un’azienda che fornisce servizi alla PA, a maggior ragione se una PMI, si caratterizza per bassi livelli di sicurezza cibernetica alle proprie reti, ai sistemi e ai servizi, questo si riverbera automaticamente sull’amministrazione”. In altre parole, per investire realmente sulla sicurezza della PA, è necessario guardare a un quadro più ampio e prevedere interventi anche nel settore privato che collabora con le amministrazioni. “Una delle misure che potrebbe essere prevista dal governo è quella di consentire alle PMI di utilizzare, su base volontaria, la piattaforma di cloud nazionale che sarà presto creata” conclude l’Avvocato Mele. “Soltanto così sarà possibile fare in modo che gli standard di sicurezza cibernetica nelle PMI siano concretamente elevati e soprattutto diffusi, affinché l’intero sistema ne tragga un reale beneficio”.
