Sicurezza informatica
“Per accrescere le capacità del Paese di confrontarsi con le minacce alla sicurezza informatica”, un decreto firmato dal Presidente del Consiglio Mario Monti con i membri del Comitato interministeriale per la sicurezza della Repubblica. Come si annuncia in una nota ufficiale diramata da Palazzo Chigi, il governo italiano “si dota della prima definizione di un’architettura di sicurezza cibernetica nazionale e di protezione delle infrastrutture critiche”.
Il nuovo provvedimento mira a creare quella che viene definita “un’architettura istituzionale che assicuri coerenza d’azione per ridurre le vulnerabilità dello spazio cibernetico, accrescere le capacità d’individuazione della minaccia e di prevenzione dei rischi e aumentare quelle di risposta coordinata in situazioni di crisi”.
Tre saranno i livelli d’intervento. Uno “politico” per l’elaborazione di indirizzi strategici, che verrà affidato allo stesso Comitato interministeriale per la sicurezza della Repubblica. Un secondo di “supporto operativo ed amministrativo” per i vertici del Nucleo per la Sicurezza Cibernetica. Il terzo per la “gestione di crisi”, affidato al Tavolo interministeriale di crisi cibernetica.
È inoltre prevista la prossima adozione di un Piano nazionale per la sicurezza dello spazio cibernetico, che coinvolgerà anche il settore privato. A livello informatico, il primo settore che verrà “messo in sicurezza” sarà quello relativo alle cosiddette infrastrutture critiche (energia e trasporti), così come ordinato dalla direttiva europea del 2008. L’Unione Europea ha già chiesto l’attivazione del CERT – Computer Emergency Response Team, per fronteggiare le emergenze informatiche – entro il 2013.
Nei dati diramati dalla Presidenza del Consiglio, “gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale”. Assinform ha stimato che il 40 per cento degli attacchi richiede almeno 4 giorni per una completa risoluzione. “Nel 90 per cento dei casi – si spiega nella nota del Governo – l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche”. E queste problematiche prevedono certamente un costo di protezione per privati e Pubbliche Amministrazioni: Gartner lo ha quantificato in 55 miliardi di dollari (poco più di 40 miliardi di euro) alla fine del 2011; 60 miliardi a tutto il 2012 e 86 stimati entro il 2016.
Nel frattempo, la commissione Trasporti, poste e telecomunicazioni alla Camera ha concluso la sua indagine conoscitiva sulla sicurezza informatica delle reti, chiedendo l’introduzione del reato di furto d’identità digitale con adeguate sanzioni penali. “I sistemi attualmente disponibili per la protezione dei dati che viaggiano sulle reti telematiche – si legge nel documento diramato dalla commissione – presentano numerosi aspetti di debolezza, sia dal punto di vista della sicurezza sia sotto il profilo della privacy, che rendono relativamente facile, anche per soggetti non particolarmente esperti di Information Technology mettere in chiaro comunicazioni riservate ed utilizzarle a fini dolosi e comunque illegali”.
A conclusione delle indagini conoscitive, la commissione alla Camera ha proposto l’istituzione di un identity provider nazionale, “per garantire la circolarità dell’identificazione, a prescindere dallo strumento operativo utilizzato, su tutto il territorio nazionale, consentendo al cittadino di operare con un’unica identità digitale”. Oltre alle solite credenziali (username e password), gli utenti tricolore dovrebbero essere tutelati da “sistemi one-time-password, smart card o sistemi biometrici”.