La magistratura è stata esclusa dall’architettura dell’Agenzia Cybersicurezza nazionale (Acn).
Lo lamenta Giovanni Russo, Procuratore Nazionale Aggiunto della Direzione Nazionale Antimafia e Antiterrorismo, intervenendo a un convegno Icsa in partnership con il Centro Alti Studi per la Difesa, sui poteri dell’Acn e i rapporti con la magistratura.
Nell’ambito della nuova architettura della cybersecurity nazionale, l’assegnazione del potere ispettivo e sanzionatorio in seno all’Agenzia Cybersicurezza Nazionale (diretta da Roberto Baldoni) in caso di attacchi cyber alle Infrastrutture Critiche o di crimini informatici di varia natura, potrebbe innescare tra l’Acn e la Magistratura potenziali conflitti di competenze e responsabilità. Oltre a sovrapposizioni ed interferenze nelle rispettive attività di indagine e di investigazione.
Tutti i dettagli.
L’ACN ASSICURA IL COORDINAMENTO TRA I SOGGETTI PUBBLICI COINVOLTI
Giancarlo Capaldo, già procuratore aggiunto a Roma e attualmente presidente dell’Osservatorio sul terrorismo internazionale della Fondazione ICSA, ha aperto il dibattito sostenendo che l’Acn “assicura il coordinamento tra i soggetti pubblici coinvolti nell’ordinamento e una sorta ricordata nel nostro agenzia dei servizi di informazione, come una costola del Dis, anche se poi non tutta l’attività, e nemmeno quella più preponderante, ha a che fare con la sicurezza della Repubblica”.
ITALIA INDIETRO SUL FRONTE DELLA CYBERSICUREZZA
“È impossibile difendersi al 100% dalle minacce” afferma l’ammiraglio Gianluca Galasso, dirigente funzione Operazioni dell’Agenzia per la Cybersicurezza Nazionale (Acn) “Dobbiamo arrivare a creare le condizioni per cui il sistema Paese sia resiliente, pronto cioè a resistere agli attacchi che dovessero arrivare. La tecnologia è oggetto di uno scontro geopolitico e dobbiamo arrivare a costituire una nostra autonomia strategica, anche se l’Italia è un po’ indietro rispetto ad altri paesi sul fronte della cybersicurezza”.
QUESTIONE DI ORGANICO
Quanto all’Acn, “nata nel 2017, con il cosiddetto Dpcm Gentiloni, per definire una strategia a livello di sistema Paese e diventare un riferimento a livello nazionale e internazionale per imprese e istituzioni”, è una realtà giovane. “È operativa dal primo settembre scorso e sta compiendo ancora i suoi primi passi sconta al momento qualche problema d’organico:al momento conta appena 80 persone, tra esperti e specialisti”.
“Siamo ancora molto pochi – afferma Galasso – per arrivare a quei livelli di ambizione che ci siamo posti. Abbiamo avviato un reclutamento pubblico tra contratti a tempo indeterminato e a termine, riferito a particolari specialità. Puntiamo a un organico di 300 unità al termine del 2023 e poi di 800 entro il 2027-28, come prevede la legge”.
OPPORRE IL SEGRETO DI STATO?
“L’Acn nasce per fare in modo che un incidente che impatta su un soggetto non si ripeta e soprattutto non colpisca un altro soggetto. Cercheremo di essere il più possibile chiari e cristallini, rendendo pubbliche eventuali informazioni. Al momento – sottolinea Galasso – vediamo il segreto di Stato come un freno, ma occorre valutare il giusto bilanciamento. Quanto a una possibile interlocuzione con la magistratura, in questo momento non ne ravvediamo una necessità, ci sarà sicuramente un momento di raccordo ma è un tema che verrà sviluppato più avanti”.
NON MENZIONATA LA MAGISTRATURA
Perplesso sul punto Giovanni Russo, Procuratore Nazionale Aggiunto della Direzione Nazionale Antimafia e Antiterrorismo (Dnaa).
“Il decreto istitutivo dell’Agenzia non fa alcun cenno della magistratura. Lo dico senza spirito polemico ma se è vero che ogni attacco informatico costituisce un reato, noi dobbiamo prevedere un intervento della magistratura. Molte volte di un attacco informatico si è avuto notizia a distanza di tanto tempo da quando esso è avvenuto. Non mi ritengo soddisfatto dell’approccio del sistema normativo attuale che rimette come unico referente operativo dell’Acn il Cnaipic (il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche della Polizia Postale ndr), come unico soggetto, per quanto possa la magistratura avere fiducia, attrezzato per fare queste cose, tecnicamente, professionalmente e istituzionalmente”.
IL RUOLO DEL CNAIPIC
“Noi stiamo parlando di un mondo, come quello attuale, che è caratterizzato da una fortissima globalizzazione e in un settore caratterizzato dall’a-territorialità delle azioni che vengono messe in essere, non possiamo rimettere la competenza dell’intervento giudiziario esclusivamente alle forze di polizia ovvero Il Cnaipic”.
“Vogliamo ancora pensare che un attacco informatico sia perpetrato sia dal solito ragazzino hacker? – è l’interrogativo di Russo -. La tendenza già constatata è invece quella di una criminalità organizzata terroristica, o di tipo mafioso e transazionale, che si avvale di team specializzati dislocati in tutto il mondo”.
“E non possiamo pensare di affidare al Cnaipic – ha precisato ancora Russo – la scelta dell’individuazione dell’autorità giudiziaria procedente, perché non è in grado di farlo. E soprattutto non dobbiamo lasciare sola quell’autorità giudiziaria che potrebbe essere formalmente competenze ma sostanzialmente non cosciente della portata reale dell’attacco”. “Faccio un esempio: quello di attacco a una struttura di Rovereto portato avanti da un team di aggressori a Singapore su mandato di una cosca mafiosa calabrese. Il Cnaipic contatta la procura distrettuale di Trento, competente sul territorio per i reati di tipo informatico, ma poi? Insomma, per le parole di Giovanni Falcone, ci sono tanti procedimenti e azioni di contrasto alla mafia ma che fanno parte di un unico contesto che deve combattere un unico nemico. E allora non dobbiamo spezzettare queste conoscenze.
LA PROPOSTA: RENDERE LA DNAA UN PUNTO DI CONTATTO NAZIONALE
Secondo Russo “Il Cnaipic può anche raccogliere le prove sul campo ma occorre fare qualcosa per qualcosa di più in chiave preventiva, per risalire alla vera fonte dell’attacco. E queste sono strategie prettamente investigative, al punto che nessun tecnico specialistico si può sostituire al magistrato che conduce le indagini (in chiave di cooperazione) attraverso la polizia giudiziaria”.
Pertanto, “la mia proposta è quella di fare che la Dnaa rappresenta il punto di riferimento almeno per quei casi gravi di attacco informatico individuati dal codice penale nel 615 ter. Ovvero attacchi informatici alle strutture ricomprese nel perimetro nazionale di sicurezza. Quando un attacco è perpetrato a quella struttura si può far riferimento al punto di contatto Dnaa. Bisognerà attribuire alla Dnaa una competenza coordinativa in questa materia rispetto alle 26 procuratori distrettuali. Non mi sembra una cosa così eccentrica e nemmeno una idea troppo lontana dalla realtà”, ha concluso Russo.