La “Strategia Nazionale di Cybersicurezza 2024” della Francia, di cui Startmag può condividere una bozza che arriva due anni dopo la strategia resa pubblica dall’ACN, rappresenta un tentativo ambizioso da parte dell’ANSSI (Agenzia Nazionale per la Sicurezza dei Sistemi Informativi) di rafforzare la sicurezza cibernetica transalpina attraverso misure strategiche e operative che coprono una vasta gamma di settori tecnologici e infrastrutturali. Tra i principali focus del documento emergono la protezione delle tecnologie cloud e dell’intelligenza artificiale (IA), entrambi fondamentali per la sicurezza nazionale in un contesto digitale in continua evoluzione.
SECNUMCLOUD
Il programma SecNumCloud è un pilastro centrale della strategia francese per la sicurezza nel cloud computing. Il cloud computing è diventato una componente essenziale della trasformazione digitale, soprattutto con la crescita del telelavoro e l’uso di dispositivi personali per l’accesso ai dati professionali. Tuttavia, questa dipendenza comporta rischi significativi, poiché riduce il controllo diretto delle entità sui propri sistemi informativi e dati.
Uno dei principali problemi sollevati dalla strategia è la minaccia delle leggi extraterritoriali, che possono influenzare i fornitori di servizi cloud non francesi e compromettere la sicurezza dei dati ospitati all’estero. Per mitigare questo rischio, la Francia ha sviluppato standard di sicurezza molto chiusi, come quelli inclusi nel programma SecNumCloud, gestiti e aggiornati dall’ANSSI (Agenzia Nazionale per la Sicurezza dei Sistemi Informativi). Questi standard mirano a proteggere i dati sensibili francesi ed europei da potenziali minacce cibernetiche.
Tuttavia, l’approccio rigoroso di SecNumCloud, nel quadro di una strategia francese verso il cloud implementata sin dal 2021 e spinta dal Ministro per l’Economia Bruno LeMaire, presenta anche significative limitazioni. Limitando l’accesso dell’ecosistema digitale francese alle migliori tecnologie sul mercato, potrebbe ostacolare l’innovazione e ridurre la competitività internazionale della Francia. Questo atteggiamento protezionistico rischia di essere percepito come antiamericano – e non solo, generando potenziali tensioni diplomatiche e configurandosi come un mix di protezionismo e ideologia che andrebbe a danneggiare l’economia digitale francese a lungo termine. Punti questi già emersi nel corso della discussione a livello europeo sull’EUCS, acronimo di “schema europeo di certificazione della sicurezza informatica” con riferimento al cloud computing, su cui è più volte intervenuto il governo italiano – in particolare il Sottosegretario all’innovazione tecnologica e transizione digitale Alessio Butti – e su cui sta lavorando alacremente l’ACN in difesa degli interessi nazionali, nonostante qualche eccesso pro Francia dei diplomatici italiani a Bruxelles.
Inoltre, l’approccio strettamente regolamentato può rallentare l’adozione di nuove tecnologie e soluzioni innovative, poiché le aziende potrebbero trovarsi vincolate da requisiti di conformità eccessivamente rigidi. Questo rischio è particolarmente rilevante in un’era in cui la rapidità di innovazione e la capacità di adattamento sono essenziali per mantenere un vantaggio competitivo.
INTELLIGENZA ARTIFICIALE
La sicurezza dell’intelligenza artificiale rappresenta un’altra area critica delineata nella strategia. L’IA può essere utilizzata in modo maligno per sviluppare codice malevolo o introdurre vulnerabilità nei sistemi informatici, mettendo sotto pressione le capacità di difesa cibernetica. La strategia prevede lo sviluppo di protocolli di valutazione della sicurezza per i sistemi IA, con l’INRIA (Istituto Nazionale di Ricerca in Informatica e Automatica) che svolge un ruolo chiave in questo processo.
L’hosting e l’addestramento dei sistemi IA rappresentano una sfida significativa per la sicurezza. La dottrina cloud della Francia dovrà essere adattata per rispondere alle specifiche esigenze dei sistemi IA, garantendo al contempo la riservatezza dei dati e il controllo della catena di approvvigionamento. Inoltre, l’uso crescente dell’IA in vari settori comporta la necessità di sviluppare tecniche di difesa avanzate per proteggere i modelli di IA da attacchi come l’avvelenamento dei dati di addestramento e la manipolazione degli algoritmi.
Un aspetto fondamentale della strategia riguarda anche la protezione contro l’uso malevolo dell’IA. Gli attori maligni possono sfruttare l’IA per automatizzare e migliorare gli attacchi cibernetici, aumentando l’efficacia e la portata delle loro operazioni. Per contrastare queste minacce, la Francia deve investire nella ricerca e nello sviluppo di soluzioni di sicurezza basate sull’IA che possano identificare e neutralizzare tali attacchi in modo proattivo.
CONFRONTO CON IL MODELLO ITALIANO
In contrasto con l’approccio francese, il modello italiano per la classificazione dei dati e la gestione della sicurezza informatica risulta essere più flessibile e meglio adattato alle esigenze sia del settore pubblico che privato. L’Italia utilizza un sistema di classificazione dei dati – realizzato dall’ACN (Autorità nazionale per la cybersicurezza) – che consente una gestione più efficiente e pratica delle informazioni, evitando rigide restrizioni che potrebbero ostacolare l’innovazione, secondo gli addetti ai lavori.
Un esempio di successo in Italia, almeno in termini di progetto essendo in fase di implementazione, è la soluzione PSN (Polo Strategico Nazionale), che rappresenta un modello di collaborazione tra controllo nazionale sotto il cappello di Tim, Cdp, Sogei e Leonardo, e la tecnologia cloud americana. Questo approccio ibrido permette di sfruttare le tecnologie più avanzate, mantenendo al contempo il controllo italiano sui dati. La soluzione PSN combina il meglio di entrambi i mondi, offrendo sicurezza e flessibilità per il settore pubblico e privato, garantendo al contempo la protezione e la sovranità dei dati.
La classificazione dei dati in Italia prevede una segmentazione chiara che facilita la gestione e la protezione delle informazioni sensibili. Questo sistema consente una maggiore agilità e reattività alle minacce cibernetiche, offrendo al contempo un quadro normativo meno restrittivo che favorisce l’innovazione tecnologica. Ad esempio, la classificazione italiana permette una gestione differenziata dei dati a seconda della loro sensibilità, con misure di sicurezza – attraverso un sistema di qualificazione gestito dall’ACN – adeguato a ciascun livello di rischio, mentre il modello francese tende a imporre standard uniformi e rigidi che potrebbero non essere necessari per tutti i tipi di dati.
IMPLICAZIONI PER L’INNOVAZIONE
Il programma SecNumCloud, con la sua enfasi sulla sicurezza in ottica nazional-protezionistica, potrebbe limitare l’accesso delle aziende francesi alle migliori tecnologie disponibili sul mercato globale, tema già sollevato da molte aziende grandi e piccole (si consideri che in Francia ci sono alcune delle startup top nel settore dell’IA, come ad esempio Mistral), alcune persino a controllo statale, costrette però dalla politica a doversi orientare su fornitori nazionali. Una scelta quindi che rallenta l’innovazione e riduce la competitività delle imprese francesi, che potrebbero trovarsi svantaggiate rispetto ai concorrenti internazionali che hanno accesso a soluzioni tecnologiche più avanzate e flessibili, nella sola ottica di far crescere artatamente le quote di mercato dei cloud service provider francesi (ad es. OVH, Orange, ecc.). E ciò nonostante persino le raccomandazioni sulla cybersicurezza militare presentate all’Assemblea Nazionale lo scorso gennaio ammettano che i cloud sovrani “hanno ancora bisogno di tempo” – queste le parole dei relatori Anne Le Hénanff (Horizons, Renew) e Frédéric Mathieu (LFI, La Sinistra) – spiegando che i fornitori di servizi cloud non hanno ancora capacità sufficienti per ricevere i dati di migrazione da tutti i ministeri francesi, per non dire delle enormi necessità di capacità di calcolo relative all’AI, per le quali i cosiddetti HPC (High performance Computing) su cui la Francia – e l’Italia col supercomputer di Bologna realizzato da Leonardo nel datacenter Cineca – tanto punta possono essere utili solo in una fase iniziale per chi sviluppa large language models (LLM), mentre per la realizzazione di modelli di IA ad oggi non esiste alternativa al cosiddetto public cloud proposto dai provider USA in termini di flessibilità, scalabilità e costi.
Inoltre, l’approccio francese potrebbe essere percepito negativamente da parte dei partner internazionali, in particolare dagli Stati Uniti, creando potenziali tensioni diplomatiche. Questo mix di protezionismo e ideologia potrebbe nuocere alle relazioni economiche e tecnologiche della Francia con altri paesi, limitando ulteriormente le opportunità di collaborazione e sviluppo congiunto di tecnologie innovative.
Al contrario, il modello italiano dimostra come sia possibile combinare il controllo nazionale con l’adozione di tecnologie avanzate provenienti da partner internazionali. La soluzione PSN italiana offre un esempio di come la collaborazione tra governo e aziende tecnologiche straniere possa portare a risultati ottimali in termini di sicurezza e operatività, senza compromettere la sovranità nazionale. Si noti poi come nel ddl Cybersecurity recentemente approvato dal Parlamento i partiti di maggioranza abbiano votato un emendamento – supportato dal governo nella persona del sottosegretario alla presidenza del Consiglio, Alfredo Mantovano – che introduce una premialità nella scelta “di tecnologia cyber italiane o di Paesi appartenenti all’Ue o di Paesi aderenti alla Nato“, un approccio quindi molto distante da quello chiuso francese.
CONSIDERAZIONI FINALI
Insomma la “Strategia Nazionale di Cybersicurezza 2024” della Francia rappresenta uno sforzo significativo per proteggere le infrastrutture digitali del paese, ma deve affrontare importanti sfide. L’approccio rigoroso e protezionistico del programma SecNumCloud – che non è previsto cambiare a seguito della rielezione di tutti i principali ultras della sovranità digitale francese, guidati dal deputato vandeano Philippe Latombe – sebbene mirato a garantire la sicurezza, potrebbe limitare l’accesso alle migliori tecnologie disponibili e creare tensioni internazionali. In confronto, il modello italiano, con la sua soluzione PSN, si mostra più flessibile e avanzato, offrendo un equilibrio basato sul pragmatismo e dimostrando come un mix di controllo nazionale e tecnologia avanzata possa fornire soluzioni efficaci per la sicurezza cibernetica. Un approccio che infatti ha portato l’ACN ad essere in grado di spostare il dibattito europeo sull’EUCS verso una sponda più attenta alle esigenze delle organizzazioni pubbliche e private che usano il cloud.