skip to Main Content

Golden Power

Perché il governo Draghi ha rafforzato il Golden Power

L’analisi di Marco Mayer, docente al Master in Cybersecurity Luiss, già consigliere del ministro dell’Interno per la Cybersicurezza (2017-2018)

 

Non é mai troppo tardi! Sono molto contento che dopo dieci anni (vedasi l’intervento del sottoscritto e di altri colleghi nel 2013) l’Italia si sia finalmente dotata di uno strumento indispensabile per affrontare le sfide digitali dando al Governo poteri speciali di carattere natura sostanziale e preventiva.

Con la nuova disciplina e organizzazione del Golden Power l’Italia sarà finalmente in grado di affrontare le minacce e i rischi di carattere geopolitico spesso segnalati dall’Intelligence, ma sui quali la politica non aveva mai assunto decisioni organiche e direttive specifiche.

L’anno scorso Startmag ha fatto bene a dedicare molto spazio al caso dei droni di Alpi Aviation perché è un caso di scuola per indicare il fenomeno di acquisizione di asset italiani tramite intermediari opachi.

Il nuovo Decreto è un esempio molto positivo di coordinamento tra decisore politici e organismi informativi. Esso attua, infatti, con inusuale rapidità quanto sostenuto nella relazione dei servizi al Parlamento sia in materia industriale che dual use:

“la tutela del sistema Paese passa anche dal rafforzamento dell’esercizio del Golden Power nei settori salute, cloud computing, microelettronica, sensoristica, aerospaziale civile, chimico e siderurgico. Il cyberspazio può dischiudere straordinarie possibilità di progresso oppure esporre a pericoli anche potenzialmente rovinosi per la tenuta del Sistema Paese, la cui messa in sicurezza non può, dunque, prescindere né dalla necessaria visione d’insieme delle complesse implicazioni della trasformazione digitale”.

Nel campo delle telecomunicazioni l’aspetto più problematico della normativa precedente riguardava le acquisizioni,  il tema delle forniture e delle subforniture tecnologiche  degli operatori telefonici. Il carattere prevalentemente formale o astratto di prescrizioni  ex post non prevedeva  il monitoraggio della loro applicazioni e conseguentemente impediva di compiere una  verifica sostantiva delle supply chain straniere.

Proprio in questi giorni di guerra potrebbe emergere  un aspetto drammatico che più di ogni altro testimonia l’estrema rilevanza della materia. Una grande azienda cinese la DJI co.Ltd  fornisce da anni droni ad uso commerciale alla Federazione Russa, ma a quanto si apprende (non sono in grado di verificare) questi vettori sarebbero usati per favorire l’invasione militare della Russia in Ucraina.

Vero o falso che sia (come emerge da questo articolo di The Verge  in un tweet di qualche giorno fa il Vice Primo Ministro dell’Ucraina Mykhailo Fedorov ha fatto appello alla compagnia cinese DJI Technology per cercare di impedire l’uso militare dei droni.  È notizia di venerdì (dalla Caixin Global Must-Read newsletter, ovviamente da verificare) che l’azienda avrebbe risposto di non essere in grado di disattivare il loro funzionamento, ma si è  dichiarata disponibile ad un ulteriore confronto. Lo scambio di lettere si trova nel seguente link.

Ho citato il caso perché al di là della sua veridicità indica quanto sia rilevante attuare una politica attentissima per  tutti gli aspetti rischiosi relativi al duale.

Tornando alle vicende di casa nostra l’attacco informatico di mercoledi scorso alle Ferrovie dello Stato è certamente assai preoccupante anche nell’ipotesi della sua natura esclusivamente criminale a fini di riscatto.

Ferrovie, autostrade, porti e aeroporti e più in generale il traffico aereo, marittimo e terrestre attengono (come del resto gli acquedotti e gli ospedali) alla duplice dimensione politica della sicurezza pubblica e della sicurezza nazionale.

Sui fatti è doveroso rispettare il segreto istruttorio relativo alle indagini PG in corso, coordinate con la nota professionalità dalla Polizia Postale.

In linea generale non sarebbe male che le organizzazioni pubbliche e private indicassero nei loro siti (ovviamente se non fanno tutto all’interno) i fornitori e sub fornitori esterni che operano in materia di cyber sicurezza, security, antivirus, videosorveglianza, ecc.

Altrimenti come é accaduto sinora — per esempio nel grave caso dell’attacco cibernetico al servizio sanitario della Regione Lazio — è difficile per imprese e istituzioni pubbliche far tesoro delle lezioni apprese.

A mio avviso nel campo della sicurezza informatica e delle telecomunicazioni c’é ancora troppa opacità. Occorrerebbe, invece, dare trasparenza a questo importante segmento del mercato per far sì che (al di là dei profili strettamente tecnici) reputazione e fiducia diventino i fattori chiave per le scelte dei decisori.

In Italia — dopo il lodevole esempio di Expo Milano — l’Autorità Anticorruzione sembra, ma forse sbaglio, aver perso un certo mordente nel comparto digitale.

Per tutelare i diritti dei consumatori le aziende telco e digitali dovrebbero, inoltre, indicare al pubblico le nazionalità di chi ne detiene la proprietà o il controllo societario in base alle azioni possedute.

Questo è molto apprezzato dai cittadini nel settore dell’abbigliamento o dei vini e non si capisce perché quando scegli un cellulare, un operatore telefonico o di servizi informatici non devi sapere la proprietà di origine.

Per esempio pochi sanno che gli smartphone Nokia per tre anni (2014/15/16) sono stati americani, che il gestore Wind3 dal 2018 è al 100% cinese, che la Fastweb è svizzera dal 2013, eccetera, eccetera.

La diffusione di queste informazioni al pubblico è utile anche per sensibilizzarli rispetto ai rischi globali insiti nelle tecnologie digitali.

In ambienti più consapevoli e informati (in Italia come all’estero) è certamente meno difficile identificare le organizzazioni e le persone in grado di realizzare intrusioni e attacchi informatici.

È vero che possono sferrarli da qualunque parte del mondo, ma é altrettanto vero che le persone e le organizzazioni in grado di farlo sono un numero limitato.

La diffusione della cultura della sicurezza prevista dalla legge 124/2007 (in particolare in un campo trasversale e multi dominio qual è la dimensione Cyber) dovrebbe pertanto riprendere vigore a partire dalle scuole superiori e dalle università.

La sensibilizzazione dei cittadini è fondamentale anche perché attribuire un attacco non è solo un problema tecnologico, ma — per usare un linguaggio investigativo tradizionale — è anche un problema di controllo del territorio.

Per fare un esempio concreto la convergenza e l’integrazione organizzativa tra Digos, unità antiriciclaggio della GdF, Ros dei CC e Polizia postale rappresenta una delle sfide più importanti per garantire sicurezza nelle società digitali in cui viviamo.

Naturalmente questa azione di contrasto ibrida funziona bene se si avvale di una efficiente cooperazione internazionale con Europol, FBI ed altre forze di polizia.

Back To Top