Ieri, mercoledì 25 marzo, alle ore 11, il Copasir ha tenuto una riunione convocata dal presidente Raffaele Volpi. L’ordine del giorno era: “Comunicazioni del Presidente”. C’è da notare che su 10 componenti erano presenti solo in 7.
Alla fine è stato elaborato un comunicato di cui si hanno ampie anticipazioni nell’articolo di Maria Antonietta Calabrò su Huffington Post, dal titolo eloquente (“Copasir: “Conte deve dare direttive specifiche agli 007” . Arriva un sottosegretario all’intelligence?“). e in quello di Francesco Bechis su Formiche (“Golden power, cloud e autorità delegata. Cosa va (e cosa no) secondo il Copasir“).
Dalla lettura dei due articoli si può ricavare l’oggetto reale di attenzione da parte di Volpi attraverso il Copasir:
1) Difesa della sicurezza del Cloud della Pubblica amministrazione (Pa) e aziende quotate in Borsa;
2) Necessità di riscrivere la recentissima normativa sul “Golden power, oggetto di Decreto Legge del 25 marzo 2019 n.22 e successivi provvedimenti”;
3) Istituzione di un’autorità delegata per i Servizi;
4) Vigilanza su taluni episodi di disordine sociale al Sud dovuti all’emergenza da coronavirus.
Che la questione ‘Golden power’ sia tornata prepotentemente all’attenzione sia dell’esecutivo che del legislatore lo prova questo passaggio dall’intervista del presidente del Consiglio Conte al settimanale Famiglia Cristiana in edicola il 26/03/2020: “Stiamo studiando dettagliatamente il provvedimento dello scudo del golden power e, sotto la regia di palazzo Chigi, siamo pronti ad agire per difendere gli asset industriali e aziendali del nostro Paese senza precluderci di allargare l’intervento ad altri settori strategici”.
La fortissima sensazione è che in ballo vi sono decisioni politiche, servizi e appalti rilevanti, norme in definizione e quindi c’è chi sgomita per “mettere i puntini” qua e là.
Nel comunicato reso noto con l’assai presumibile assenso della presidenza del Copasir vi sono da leggere attentamente alcuni punti (=messaggi) richiesti:
a) Volpi (ovvero la Lega, il centrodestra e i centri decisionali più vicini all’Amministrazione Usa a guida Trump) chiede a gran voce una “autorità delegata esclusivamente alla sicurezza del Paese”.
b) Si richiedono pure “indicazioni specifiche (…) attenendosi alle peculiarità distinte e non interpretabili tra agenzie di intelligence ed organi di analisi e coordinamento”. Questo farebbe supporre che non vi siano “indicazioni” pregnanti e precise a disposizione, per cui le nostre agenzie di intelligence non sappiano come comportarsi e/o procedere. Se ciò fosse vero, sarebbe alquanto increscioso.
c) Il Copasir richiederebbe inoltre un’autorità delegata per i Servizi. In altre parole, Conte deve lasciare le deleghe su intelligence e sicurezza a un sottosegretario e non detenerle più solo lui. Tutti e 7 componenti del Copasir presenti in seduta hanno approvato una richiesta così tassativa?
d) La necessità di attivare il Cloud in uso alla Pubblica amministrazione non può sorvolare le questioni inerenti al 5G e alle reti di trasmissioni dati, qualora utilizzassero strumenti Huawei/Zte di origine cinese e in automatico classificati come critici. Quanto finora approvato in merito al ‘Perimetro di sicurezza nazionale cibernetica’ (ex Decreto-legge 21 settembre 2019, n. 105) evidentemente non è ritenuto sufficiente. Il D.L. 105 istituiva il Centro di Valutazione presso il Ministero dell’Interno, il quale come quello del Ministero della Difesa, sono accreditati presso il Centro di Valutazione e certificazione nazionale (Cvcn). Possibile che i componenti di entrambi gli organi siano incapaci di valutare quanto occorre?
In ragione del loro ruolo strategico, i soggetti rientranti all’interno del perimetro (Amministrazioni pubbliche, Enti ed operatori, sia pubblici che privati) sono tenuti al rispetto di una serie di obblighi, tra cui: la predisposizione di una lista delle reti, dei servizi informatici ed informativi utilizzati; la notifica al Governo di eventuali incidenti di sicurezza cibernetica; l’adozione di peculiari misure di sicurezza; la notifica della volontà di dare in affidamento a terzi servizi con un impatto sulle proprie reti, sistemi e servizi; l’adozione di condizioni o test in caso di detto affidamento di servizi. La lista dei soggetti inclusi nel perimetro sarà proposta dal Comitato Interministeriale per la Sicurezza della Repubblica (“Csir”).
A questo punto si proverà a “tradurre” tutto in lingua corrente e ipotizzare un’interpretazione pratica.
- Traduzione n.1: Conte non appare più molto affidabile, sebbene per legge egli possa benissimo detenere le deleghe ai Servizi.
- Traduzione n.2: Se “Giuseppi” non è più molto affidabile, perché “troppo filocinese”/”filorusso”, forse è meglio mettergli alle costole un supervisore che controlli i flussi di informazioni sensibili. C’è chi in ambienti parlamentari della maggioranza pensa che Conte e il Governo che lo esprime potrebbero esser tagliati fuori dal circuito dei partner affidabili, trattato da ‘pariah’ o, peggio, da nemico. In sostanza, l’intero governo attuale potrebbe essere “messo in mora”.
- Traduzione n. 3: Secondo la tempistica determinata dal D.L. 105/2019, i decreti attuativi e passaggi normativi saranno cruciali e decisivi, ma non dovranno contenere dubbi interpretativi.
Sintetizziamo per comodità i passaggi normativi necessari:
3.1. Chi sarà individuabile come parte del Perimetro di sicurezza cibernetica? Quali criteri saranno seguiti? Questo deve essere oggetto di Dpcm (previsto entro il 20 marzo 020).
3.2. Dpcm (su proposta del Cisr): (i) definirà le procedure per la notifica al Gruppo di intervento per la sicurezza informatica (“Csirt”) degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici; (ii) stabilirà le misure volte a garantire elevati livelli di sicurezza. Questo dovrebbe essere emanato entro 10 mesi dall’entrata in vigore della Legge 133 del 18/11/2019 (ovvero: entro il 20 settembre 2020)
3.3. Regolamento (ex art.17 della legge 400/88), che dovrebbe disciplinare le procedure, i termini e le modalità con cui: (i) i soggetti perimetrati che intendono procedere all’affidamento di forniture di beni, sistemi e servizi ICT destinati ad essere impiegati sulle reti, sui sistemi informativi e per l’espletamento di servizi informatici, appartenenti a talune specifiche categorie, dovranno comunicare tale intenzione al Centro di Valutazione e Certificazione Nazionale (“Cvncn”, da approvarsi entro il 20 settembre 2020).
3.4. Un apposito Dpcm individuerà le categorie di reti, sistemi informativi e servizi informatici per le quali sarà necessario effettuare la notifica al Cvcn in caso di affidamento della fornitura di beni o servizi a terzi. (Ancora una volta: entro il 20 settembre 2020).
3.5. Dpcm recante i criteri per l’accreditamento dei laboratori competenti per le verifiche delle condizioni di sicurezza nell’ambito dell’approvvigionamento di prodotti, processi e servizi destinati alle reti, ai sistemi informativi e ai servizi informatici. (Ancora una volta: entro il 20 settembre 2020).
Non è finita. Sempre entro il 20 settembre 2020 si aspettano altri tre decreti del presidente del Consiglio dei Ministri che dovranno essere adottati per integrare le disposizioni del Decreto Legge 21/2012 in materia di poteri speciali sugli assetti societari nei settori della difesa e della sicurezza nazionale, nonché per le attività di rilevanza strategica nei settori dell’energia, dei trasporti e delle comunicazioni.
Ebbene, la riunione del Copasir ha determinato che bisognerebbe includere in tale rilevanza strategica anche i settori della biochimica e industria farmaceutica, come fa presente a La Verità di oggi il vicepresidente del Copasir, Adolfo Urso (Fratelli d’Italia).
Tutto questo comporta il ragionamento delle forze politiche di governo sulle molte nomine da fare. Ammesso e non concesso che sia il presente esecutivo a farle.
Articoli correlati
De-escalation in corso fra Israele e Iran? Analisi e commenti
La sbandata di Cybertruck: cosa è successo al fuoristrada di Tesla
Ecco la carica degli abbonati di Netflix (celata dall’anno prossimo)
Cosa non va con Tsmc
