Skip to content

Agenzia Cybersecurity

Cloud e non solo, nel governo si sbuffa sull’Agenzia per la cybersecurity?

La testata Cybersecurity Italia fa da cassa di risonanza all'interrogazione in Senato del dem Nicola Irto che pungola il governo alla luce del decreto del Dg dell'Agenzia nazionale per la Cybersicurezza con cui de facto l'Acn ha reso più facile trasferimento extra-Ue dei dati critici per i cloud service provider stranieri. Ma dietro Cybersecurity Italia c'è il fondatore Raffaele Barberio, consulente del sottosegretario all'Innovazione, Alessio Butti

Il governo seccato dall’ultima mossa dell’Agenzia per la Cybersicurezza Nazionale (Acn) su trasferimento dei dati extra-Ue e Cloud Pa?

La domanda sorge spontanea alla luce del recente articolo del quotidiano online Cybersecurity Italia, in cui si riporta l’interrogazione depositata il 6 settembre in Senato dal senatore Nicola Irto (Pd) in cui si ricorda che “L’ Agenzia per la Cybersicurezza Nazionale (Acn) ha abolito l’obbligo di autorizzazione da parte dell’amministrazione e di comunicazione all’Agenzia per il trasferimento al di fuori dell’Unione europea dei dati conservati in cloud dalle pubbliche amministrazioni qualificati come “ordinari” e “critici”, liberalizzando così de facto la pratica di trasferimento del 95 per cento dei dati che la PA detiene in cloud in tutti i Paesi del mondo”.

A interrogare l’esecutivo Meloni è un senatore dell’opposizione, ma la questione sollevata dal dem Irto è condivisa anche dalla testata Cybersecurity Italia. Quest’ultima è stata fondata nel 2020 da Raffaele Barberio, esperto in Comunicazione e Relazioni istituzionali, direttore di Supercom, società di business relations che opera al servizio di istituzioni e imprese. Nel 2001 Barberio ha fondato Key4biz, il quotidiano online sull’economia digitale e la cultura del futuro, di cui è direttore responsabile. E da quest’anno Barberio è diventato consulente del sottosegretario alla presidenza del Consiglio, Alessio Butti di Fratelli d’Italia (nella foto), che ha la delega all’innovazione e segue per conto del partito e del governo proprio il dossier rete unica e Cloud Pa.

Fin da subito il sottosegretario Butti non ha perso occasione per mettere in guardia dal Cloud Act americano che incombe sul Polo strategico nazionale per il cloud della Pa. E ora l’Acn con il decreto dello scorso 28 luglio rende più facile trasferimento extra-Ue dei dati critici, come sintentizzato da Cybersecurity Italia.

Tutti i dettagli.

L’INTERROGAZIONE AL GOVERNO FIRMATA DAL SENATORE IRTO

Quindi, andando per ordine, partiamo dall’interrogazione depositata in settimana in Senato del dem Nicola Irto, firmata anche dal senatore Pd Antonio Nicita (ex commissario Agcom) il cui oggetto è la decisione dell’Agenzia per la Cybersicurezza Nazionale (Acn) di rendere più facile il trasferimento extra-UE dei dati critici delle Pubbliche amministrazioni.

Nel testo dell’interrogazione si legge: “… l’Agenzia nazionale per la Cybersicurezza, con decreto del Direttore generale del 28 luglio 2023, recante ‘Modifiche ai livelli minimi delle infrastrutture e dei servizi cloud per le pubbliche amministrazioni’, ha abolito l’obbligo di autorizzazione da parte dell’amministrazione e di comunicazione all’ACN per il trasferimento al di fuori dell’Unione europea dei dati conservati in cloud dalle pubbliche amministrazioni qualificati come “ordinari” e “critici”.

LA DECISIONE DELL’AGENZIA PER LA CYBERSECURITY NAZIONALE SU DATI E CLOUD

Come ha spiegato sempre Cybersecurity Italia, “dal primo agosto scorso possono trasferire al di fuori dell’Ue i dati ordinari e critici che gestiscono per le Pubbliche Amministrazioni senza più l’obbligo di informare né l’Agenzia per la Cybersicurezza Nazionale (ACN) né la stessa PA. E senza più la necessità di ottenere l’autorizzazione dalla Pubblica Amministrazione titolare dei dati. È questo l’effetto più importante del decreto direttoriale, del 28 luglio scorso, del direttore generale dell’Agenzia per la Cybersicurezza Nazionale, Bruno Frattasi, d’intesa con il Dipartimento per la trasformazione digitale”.

E proprio l’Acn si occupa dallo scorso 19 gennaio di qualificare i dati e infrastrutture dei service provider cloud delle Pa. Pertanto, l’autorizzazione resta solo per i dati strategici, che si riferiscono ai servizi la cui compromissione può avere un impatto sulla sicurezza nazionale. A questo proposito, è d’obbligo ricordare che dallo scorso marzo l’Acn è diretta da Bruno Frattasi, subentrando al posto di Roberto Baldoni, di fatto dimissionato dal governo. Non va dimenticato inoltre, che da tempo il direttore Baldoni metteva in guardia sull’importanza per il Paese dell’indipendenza tecnologica.

LE CONSEGUENZE

Dunque, tornando al decreto del direttore dell’Acn, la conseguenza è che “da ora porte più aperte a cloud service provider extra-UE per gestire dati utili ad erogare servizi pubblici essenziali per noi cittadini” sostiene ancora Cybersecurity Italia.

E nell’interrogazione parlamentare, il senatore Irto interroga infatti l’esecutivo se questa mossa faccia in realtà parte di una “complessiva strategia di sostegno alle aziende extra UE”  dal momento che coincide con la “decisione adottata dall’Autorità per la Cybersicurezza nazionale di abolire la procedura di autorizzazione per il trasferimento al di fuori dell’Unione europea dei dati ordinari e strategici della pubblica amministrazione, liberalizzando così de facto la pratica di trasferimento del 95 per cento dei dati che la PA detiene in cloud in tutti i Paesi del mondo e rendendo compatibile la qualificazione in Italia come Cloud Service Provider di entità giuridiche extra UE, anche se sottoposte a vincoli normativi che impongono il trasferimento dei dati da Paesi UE verso i Paesi non UE a prescindere dall’autorizzazione delle autorità locali o dei proprietari dei dati stessi (ad esempio “Cloud Act”)”.

A RIPARO DAL CLOUD ACT USA

Quest’ultimo può consentire alla giustizia o ai servizi di intelligence americani di accedere in alcuni casi ai dati ospitati al di fuori degli Stati Uniti. I mega-big del cloud (Google, Amazon e Microsoft) non sono infatti tagliati fuori dal Polo Strategico nazionale.

GLI INTERROGATIVI SOLLEVATI DA CYBERSECURITY ITALIA SULLA DECISIONE DELL’AGENZIA DIRETTA DA FRATTASI

Pertanto, a rincarare la dose, ci ha pensato anche Cybersecurity Italia che, in attesa della risposta del Governo all’interrogazione dei due senatori Pd, solleva alcune questioni tra cui: “perché questa scelta di sdoganare del tutto anche i dati critici? Se sono denominati così un motivo ci sarà”; “quali sono le garanzie sulle chiavi crittografiche generate dal cloud service provider? e se “si possiamo permettere questo alto rischio per l’Italia nell’affidarli anche a cloud provider extra-Ue?”.

LA POSIZIONE DEL GOVERNO

In realtà, questi interrogativi ricordano la posizione già più volte sostenuta dal rappresentante del governo in queste materie, il sottosegretario all’Innovazione Alessio Butti.

In audizione parlamentare, Butti aveva precisato che “rimangono aperte le criticità sulla minaccia alla sovranità digitale nazionale rappresentata dal Cloud Act americano, che eserciterebbe la propria giurisdizione anche sul territorio italiano”.“L’unico strumento di difesa è quello di non trovarsi nella condizione di applicabilità del Cloud Act” ha sottolineato il sottosegretario Butti in audizione alla Camera. “La Francia e in parte anche altri paesi a partire dalla Germania hanno usato misure di contrasto all’applicabilità del Cloud Act. In particolare Parigi, ha imposto “il controllo francese a tutte le società a cui sono affidati servizi di pubblica utilità o di interesse pubblico che prevedano il trattamento di dati strategici della nazione” ha ricordato Butti.

Ora la decisione dell’Acn sembra andare in direzione opposta a quanto ribadito da Butti. E Cybersecurity Italia, testata collegata a Barbero, consulente del sottosegretario Butti, lo mette nero su bianco. Che l’attacco alla mossa dell’Agenzia per la Cybersecurity italiana avanzato dalla testata sia condiviso anche dalla presidenza del Consiglio?
Torna su