Cari Amici di Telecom, sono particolarmente lieto per questo invito, che mi è stato rivolto da Telecom e, in particolare, dall’amico Damiano Toselli – e di questo pubblicamente lo ringrazio! -, perché mi consente di illustrare cosa si stia facendo a livello istituzionale, sul tema della sicurezza delle informazioni e, soprattutto, quali siano le direzioni, lungo le quali si procede, su un tema di grande attualità ed importanza. È indubbio, infatti, come testimoniato dalla cronaca di questi giorni, che il tema della cyber security, e, più in generale, della tutela, della gestione e della protezione delle informazioni, sia un elemento cruciale per le economie postindustrializzate, attorno al quale ruotano interessi, legittimi e criminali, di enorme importanza e rilevanza, in grado anche di stravolgere la dimensione globale dell’informazione. Solo per citare un episodio: non più tardi dello scorso 10 giugno, l’ANSA ha rilanciato la notizia di una possibile azione di un hacker contro il PC di Javier Solana, alto rappresentante della Comunità Europea per la politica estera. Solana ha dichiarato, durante una conferenza, di “essere stato sottoposto a spionaggio cibernetico, per vari mesi, senza saperlo, da parte di una potenza straniera” (come riportato dal quotidiano spagnolo El Pais). Nonostante lo stesso Solana abbia prontamente, poi, ridimensionato la notizia (senza, per altro smentirla), l’episodio è significativo e deve indurre a serie riflessioni. I cyber attacchi pare abbiano avuto quale obiettivo gli archivi elettronici e le comunicazioni personali dell'Alto rappresentante. Sembra che le spie virtuali siano riuscite a penetrate nel suo hard disk e abbiano avuto accesso a migliaia e migliaia di dati sensibili, fra cui temi estremamente scottanti quali: le e-mail tra Solana e gli iraniani sul nucleare e tutta la corrispondenza sui rapporti con la Russia e il delicato percorso di riavvicinamento dopo la guerra in Georgia. Temi scottanti! Tutti possono ben immaginare la portata e le conseguenze di violazioni della riservatezza di questa portata. Se guardiamo anche in casa nostra, abbiamo episodi di cronaca di furto di informazioni, perpetrate utilizzando il cyberspace. Solo per citarne uno, sul quale magari potrà darà maggiori dettagli il dott. Vulpiani, che ha seguito in prima persona le indagini, volevo ricordare quanto occorso lo scorso anno alla Ferrari e di come segreti industriali, gelosamente custoditi, quali i progetti dei bolidi di F1 siano stati trafugati con un potenziale danno industriale, oltre che di immagine ed economico, notevole. Azione che, per fortuna, in questo caso, è stata poi smascherata grazie alla abilità delle nostre forze dell’ordine ed i colpevoli perseguiti nelle sedi, sia sportive che penali. Questi episodi, ed altri non assurti alla notorietà delle cronache, hanno fatto sì che sia cresciuta l’attenzione sia dei Governi nazionali che degli operatori privati, nei confronti della necessità di garantire che le risorse informatiche, il così detto cyberspace, sia utilizzato in modo lecito, prevenendone, per quanto possibile, l’utilizzo illegale, illegittimo ed illecito e perseguendo, sia in ambito nazionale che internazionale, i comportamenti criminali. Questo tema è stato recentemente rilanciato, negli USA, dal Presidente Barack Obama, che ha nominato un’apposita commissione con l’incarico di effettuare una rivisitazione di tutta la normativa americana nel campo della cyber security e, più in generale, per quel che riguarda il fondamentale tema della Protezione delle Infrastrutture Critiche Informatizzate (le cosiddette CIIP – Critical Information Infrastructure Protection). Il risultato del lavoro della commissione statunitense, rilasciato alla fine di maggio, evidenzia, oltre alla necessità di dotare l’Amministrazione americana di strumenti di indagine e di coordinamento maggiormente efficaci, la necessità di migliorare la cooperazione pubblico-privata (PPP – Public-Private-Parthership), oltre che una più stretta cooperazione internazionale ed una maggiore attenzione per quel che riguarda la formazione degli operatori, nonché la ricerca scientifica e tecnologica. Sono contento di constatare che Telecom Italia, con questa tempestiva iniziativa di formazione del proprio personale, abbia anticipato, in più aspetti, le risultanze del Governo americano. È evidente, però, oltre alla perspicacia della dirigenza Telecom in questo ambito, che le motivazioni siano più profonde, essendo ben chiaro, a tutti gli operatori del settore, quanto sia strategico il tema della cyber security e, quindi, la necessità di muoversi lungo tutte quelle direzioni, declinate anche nel documento americano, al fine di migliorare la capacità di tutti i soggetti coinvolti, pubblici e privati che siano, di prevenzione, di contrasto e di mitigazione della minaccia cyber, in generale, e per ciò che attiene la tutela delle informazioni, in particolare. Su questa lunghezza d’onda si sta muovendo la Commissione Europea con la recente comunicazione COM(2009)149, proprio sulle “Critical Information Infrastructure Protection”. Tale comunicazione, mette in evidenza, prendendo spunto dagli attacchi cyber sperimentati dall’Estonia e dalla Georgia negli ultimi anni, e da altri episodi sospetti, quali la rottura quasi contemporanea di diversi cavi sottomarini per telecomunicazioni, occorsi nel Mediterraneo nel 2008, quelli che sono i rischi a livello europeo di un massiccio cyber attacco, dando evidenza di un interessante studio del World Economic Forum che quantifica, fra il 10 e 20%, le probabilità che, nei prossimi 10 anni, vi sia un evento catastrofico, che coinvolga le infrastrutture informatizzate con un impatto stimato di 250 miliardi di dollari. Sebbene la comunicazione, rientrando all’interno del più vasto tema della protezione delle infrastrutture critiche, abbia quale principali destinatari gli Stati membri, anch’essa evidenzia l’importanza imprescindibile della tematica, su cui oggi stiamo discorrendo, ovvero di una più stretta ed efficace cooperazione pubblico-privato. La Commissione Europea, sulla scorta della complessità, della dinamicità e della valenza del tema ritiene fondamentale portare avanti specifiche azioni mirate a migliorare proprio la cooperazione fra soggetti pubblici ed operatori privati, mediante la creazione di una forte partnership pubblico-privato, con l’obiettivo di migliorare la resilienza (termine italiano orrendo, anche se difficilmente traducibile in altro modo) delle infrastrutture critiche informatizzate, mediante la costituzione di una azione denominata EP3R “European Public Private Partnership for Resilience”. Venendo in casa nostra, possiamo riconoscere idoneo un quadro normativo, allineato a quello dei paesi più sviluppati, che vede, come caposaldo fondamentale, la legge 48/2008, con la quale abbiamo recepito nel nostro ordinamento e, resa esecutiva, la convenzione di Budapest sui crimini informatici. Oltre ad un più esteso corpo di norme che identifica e sanziona quelli che sono i comportamenti illeciti, perpetrati tramite e contro i sistemi informatici, nonché quelle che sono le tutele minimali che i singoli operatori devono mettere in atto per prevenire un uso illegittimo dei propri sistemi e delle informazioni, in esse contenute. In questo quadro di riferimento, il legislatore si è mosso, perseguendo due obiettivi che, sebbene a prima vista possano apparire contrastanti, sono in realtà l’uno elemento di garanzia e di corretta implementazione dell’altro. In particolare gli obiettivi che si prefigge il legislatore sono, da un lato, la tutela del patrimonio informativo delle aziende e dei singoli, e dall’altro lato, il costante rispetto della privacy di ciascuno, con l’attuazione di norme e principi, ispirati alla tutela di questo fondamentale diritto. Tutto questo, però, non appare sufficiente, stante la complessità e la velocità con la quale progredisce la tecnologia e, con essa, le potenzialità, ma anche i rischi e le minacce. Bisogna promuovere un diverso rapporto con i privati, per quel che riguarda la sicurezza dei dati e delle informazioni, che parta, innanzitutto, da una diversa concezione dell’attributo sicurezza, che non sia più visto solo ed esclusivamente come divieto, ma quale connotato di qualità e percepito, come tale, sia dall’utenza finale che dalle aziende. Questo deve portare a mutare in parte il rapporto fra legislatore, soggetto pubblico di controllo, ed operatore privato. Infatti a causa del forte divenire della materia, il classico schema di una norma cogente, a cui l’operatore privato debba sottostare in forza di una attività di controllo/ispettiva dell’autorità pubblica, tende a lasciare, limitatamente ad alcuni aspetti, ovviamente, il passo ad un modello più cooperativo, nel quale il legislatore definisce il contesto ed i limiti, all’interno dei quali soggetti pubblici e privati cooperano per definire, nello specifico caso, le modalità migliori per perseguire l’obiettivo comune, che è quello di garantire la sicurezza delle aziende e dei cittadini. Questo modello, per quanto appaia a prima vista, più congeniale all’ordinamento anglosassone, è stato, ed è, in realtà, già sperimentato con successo dal CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche). Colgo l’occasione per chiedere alla cortesia del dott. Vulpiani di illustrare, in maggior dettaglio, lo scopo del Centro, e felicitarmi, per l’inaugurazione dell’altro giorno, con Lui, oltre che con il mio amico Gianni De Gennaro, che, nella responsabilità di Capo della Polizia, ha recato un forte impulso al Centro Nazionale. Il Decreto del Ministero dell’Interno del 9/1/08 “Individuazione delle infrastrutture critiche informatiche di interesse nazionale”, prevede, infatti, che le attività connesse con la protezione di queste infrastrutture siano codificate tramite “apposite convenzioni”, all’interno delle quali esplicitare peculiarità e caratteristiche specifiche di ciascun operatore. In questa ottica, appare ipotizzabile realisticamente che questa cooperazione assurga a modello che consenta la co-costruzione, ovvero la realizzazione congiunzione pubblico - eccellenze del privato, di modelli e strumenti operativi (quelli che nel mondo anglosassone sono chiamati best-practice e guide-line), cosa questa che accade con successo in altri Paesi. Sarebbe ottimale, inoltre, se tutto si svolgesse su base volontaristica! Questi strumenti rappresenterebbero validi ausili per tutti coloro che, tanto nelle amministrazioni pubbliche che nel privato, si trovano ad affrontare le problematiche connesse con la gestione della sicurezza dei propri patrimoni informativi. Questo è un altro tassello di un più ampio mosaico, che vede altre due componenti, che sono le principali leve su cui bisognerà agire: la formazione e l’innovazione tecnologica. Infatti, è fuor di dubbio che la risorsa umana è il perno attorno al quale progettare qualunque impianto e qualunque strategia di sicurezza. Plaudo per questo al fatto che una azienda come Telecom Italia abbia voluto far partire uno specifico corso di formazione, sui temi della sicurezza delle informazioni. Non scopro nulla di nuovo dicendo che, al momento, in Italia (e non solo in Italia) la formazione ed, in particolare, quella universitaria, è ancora poco attenta ai temi della sicurezza in generale. E’ una lacuna questa, sulla quale bisogna lavorare nei prossimi anni per essere in grado di fornire, alle aziende ed al Sistema Paese, professionisti con una cultura consapevole sulla sicurezza informatica. Uso il termine “cultura della sicurezza”, oggi alquanto desueto, in modo convinto, in riferimento alle alte professionalità, attorno alle quali, e per meglio dire, per merito delle quali, si potranno perseguire gli obiettivi da tutti auspicati. Tutto ciò si relaziona intimamente anche con le iniziative del Ministero dello Sviluppo Economico, in tema di innovazione tecnologica e di ricerca. Nel settore delle comunicazioni, così come in quello della sicurezza, l’innovazione tecnologica è il driver, ovvero il motore, l’elemento fondante per qualunque strategia di successo di lungo termine. In quest’ottica il Ministero, sia nell’ambito di “Industria 2015”, che nel redigendo PNR (Piano Nazionale della Ricerca), ha introdotto il tema della sicurezza, quale volano per lo sviluppo di ricerca tecnologica che possa tanto generare nuove prospettive di mercato, quanto fornire quegli strumenti metodologici ed operativi necessari per l’implementazione di efficienti strategie di prevenzione, contrasto e repressione delle diverse azioni illecite e criminali, tanto cyber che tradizionali. La strada da seguire è, in conclusione, un mix di attività, che devono essere portate avanti dai diversi soggetti pubblici e privati, in spirito di cooperazione, in modo che ciascuno, con la propria competenza e con le proprie conoscenze, oltre che con la propria “visione” degli obiettivi, possa contribuire, affinché l’Italia sia in grado di affrontare le sfide poste dal cyber space, sfruttandone appieno le potenzialità e mitigandone i rischi. Vi ringrazio per l’attenzione!