Bruxelles – Dopo quello che a ragion veduta può essere definito l’annus orribilis per gli attacchi informatici in Italia e nel mondo, è arrivato il tempo di mettere a terra politiche e risorse per invertire la tendenza puntando anche in materia di cybersicurezza sull’autonomia strategica europea. È così che traccia la necessità di una svolta europea Eugenio Santagata, Chief Public Affairs & Security Officer di Tim Group e amministratore delegato di Telsy, parlando a Eunews dello stato generale dell’esposizione dell’Italia alle minacce informatiche e delle nuove iniziative a livello Ue per aumentare la cooperazione tra i Ventisette. “Il privato investe se c’è margine per un ritorno di investimento, più ampio sarà il mercato pubblico e privato, più forti saranno gli investimenti”, mette in chiaro Santagata.
Qual è il quadro complessivo degli attacchi informatici in Italia?
“Il 2022 è stato l’annus horribilis soprattutto per l’Italia. Gli attacchi cyber hanno registrato il valore più elevato di sempre a livello globale e nazionale e la maggior percentuale di crescita annua: rispetto al 2021 il numero è cresciuto del 169 per cento in Italia, mentre a livello mondiale del 21 per cento. Gli attacchi nel nostro Paese hanno rappresentato il 7,6 per cento del totale globale, era il 3,4 l’anno precedente. È evidente una sovraesposizione dell’Italia, che come prodotto interno lordo rappresenta il 2,2 per cento globale e ha lo 0,75 per cento della popolazione mondiale”.
Cosa significa da un punto di vista economico?
“Per ogni attacco informatico andato a segno il danno medio per un’azienda ammonta a 3,6 milioni dollari, tra perdite di dati sensibili, interruzioni delle operazioni aziendali, furto di proprietà intellettuale, sanzioni legali e reputazionali e costi di ripristino dei sistemi e della sicurezza informatica. Il settore più attaccato è quello governativo, con il 20 per cento degli attacchi, seguito a brevissima distanza dal comparto manifatturiero al 19, in un Paese come l’Italia fatto prevalentemente di piccole e medie imprese. Questo deve far riflettere nello sviluppo di una strategia di difesa, perché la sicurezza è ancora concepita come costo e non come investimento”.
A che punto sono gli standard di sicurezza informatica di aziende e infrastrutture critiche in Italia?
“L’Italia ha recuperato a grandi passi le arretratezze del passato, dotandosi di un’infrastruttura normativa moderna e avanzata. Siamo arrivati a definire un perimetro di sicurezza nazionale cibernetica che definisce responsabilità, attori e vision, mentre l’Agenzia nazionale di cybersicurezza rappresenta sia un punto forte per definizione di policy e procedure, sia un tipo di assetto moderno che opera insieme ad altri stakeholder fondamentali, come l’intelligence, le forze armate, i corpi della polizia giudiziaria preposti alla repressione dei crimini informatici e il mondo del privato. Ora però serve un passo in più, il nuovo ecosistema deve essere operativo e i soggetti che devono proteggersi poter attingere a risorse importanti provenienti dalle casse pubbliche. Anche se il fenomeno non si azzererà, solo con un’effettiva capacità tecnologica e industriale potremo rendere più bassa la percentuale di attacchi nel 2023”.
Quali sono le carenze ancora identificabili?
“Ci sono due fattori principali, uno culturale e uno tecnologico. Indipendentemente dalla dimensione dell’azienda, la popolazione aziendale è costantemente sotto attacco e il punto debole è sempre l’errore umano, come la superficialità nell’elaborazione di credenziali forti. Nelle grandi aziende c’è anche un fattore di rischio su chi ha accesso ai dati sensibili. Sul piano tecnologico la questione riguarda invece soprattutto piccole e medie imprese, dove c’è un tema di dotazione e incentivi per tecnologie di sicurezza informatica: Tim ha un milione di clienti tra partite Iva e piccole e medie imprese, sappiamo che la maggior parte di questi soggetti ha al massimo un antivirus o un firewall. Bisogna incentivare la dotazione di soluzioni avanzate, anche con provvedimenti che pongano un obbligo, ma parallelamente con incentivi che permettano di non gravare sui bilanci aziendali”.
La Commissione Europea ha recentemente presentato il Cyber Solidarity Act. Qual è la sua valutazione complessiva della proposta?
“È un’iniziativa interessante, da portare avanti, perché mostra l’attenzione delle istituzioni rispetto alla sicurezza informatica. Dobbiamo però ragionare su un punto: la dotazione è di 1,1 miliardi di euro, da divedere tra 27 Paesi membri. Se però vogliamo fare un paragone con gli Stati Uniti, Washington nel bilancio 2023 ha stanziato 11 miliardi di euro sulla sicurezza informatica civile. Lo stanziamento previsto dalla Commissione può essere primo passo, ma non è ancora sufficiente: guerre di questo tipo si vincono anche con un dispiegamento di forze importanti. Il Piano nazionale di ripresa e resilienza è un altro punto significativo, che prevede 600 milioni di euro per la sicurezza informatica, anche se noi di Tim abbiamo lavorato per inserirla in ogni progetto”.
Che contributo può dare il comparto industriale nella messa a terra degli investimenti per la sicurezza informatica?
“Il privato investe se c’è margine per un ritorno di investimento. Più ampio sarà il mercato, pubblico e privato, più forti saranno gli investimenti. Negli ultimi anni il Gruppo Tim, e con esso Telsy, ha investito sulla sicurezza informatica con prospettive di ritorno più basse rispetto a quelle che avrebbe avuto l’investimento se fatto in strumenti finanziari invece che in soluzioni industriali. Abbiamo deciso di contribuire alla base nazionale industriale con lo sviluppo di tecnologie proprie, ma in Italia il mercato cyber non è ancora grande abbastanza per sviluppare le politiche di crescita industriale che servirebbero. Il vero coordinamento deve ora svilupparsi sulla costruzione di politiche pubbliche che sostengano gli acquisti da parte delle imprese, dei cittadini e delle pubbliche amministrazioni più in difficoltà. E poi bisogna lavorare sulle strategie per trattenere talenti e competenze in ambito informatico: bisogna evitare che vadano ad aumentare le competenze di altri Paesi, perché non si può crescere come base industriale solo erogando servizi a valore aggiunto da prodotti sviluppati in altri Paesi”.
Parlando di competenze, c’è un livello sufficiente di preparazione per affrontare le minacce per la sicurezza informatica?
“Le competenze e i talenti individuali ci sono e sono di livello eccellente, anche se sono ancora troppo pochi. Avremmo bisogno di decine di migliaia di sviluppatori, sia in campo informatico sia di sicurezza informatica, ma se li volessimo mettere nello stesso ambiente non supereremmo le mille unità. Serve un forte coordinamento tra aziende, mondo accademico, articolazioni della sicurezza informatica dello Stato (Agenzia per cybersicurezza, intelligence e forze armate) e mondo della finanza. Occorre un tipo di visione industriale e serve tempo per permettere alla macchina di andare a pieno regime, ma ora non possiamo permetterci di rimanere indietro”.
Come valuta in questo senso l’istituzione di un Centro europeo di competenza sulla sicurezza informatica a Bucarest?
“Da italiano avrei auspicato che fosse a Roma, ma da europeo sono contento sia a Bucarest, perché la Romania è diventata un centro particolarmente attrattivo per questo settore. La strategia da perseguire è puntare sull’autonomia strategica a livello europeo, con scelte per la creazione di tecnologia europea: non abbiamo cultura dei semiconduttori e nel digitale siamo grandi consumatori. Anche in questo caso si svilupperà se ci sarà mercato, ovvero se ci saranno politiche che indurranno a considerare l’acquisto di tecnologia Ue. A oggi tutti i fornitori di servizi di cui non possiamo fare a meno non sono né italiani né europei, ma sono soprattutto statunitensi e qualcuno cinese”.
E questo è un problema proprio per l’autonomia strategica ricercata dall’Unione.
“Sì. Dobbiamo ricordarci che andare avanti in solitaria è una strategia fallimentare, dobbiamo muoverci insieme in Europa. L’Unione Europea è una potente macchina regolatrice e, se ben dosata, può tracciare strada e direzione. A livello nazionale ognuno deve organizzarsi a partire dalla propria base industriale: mappare le competenze, a che punto siamo, come spingere, dove fare rinunce e dove stanziare le risorse. Bisogna però mettere nero su bianco che le infrastrutture critiche si devono proteggere con soluzioni italiane o europee e che se si usano fondi Ue, devono lavorare le aziende europee. Questo non significa isolarsi, perché il dialogo con i Paesi terzi – dagli Stati Uniti a Israele e Giappone – è fondamentale, ma devono essere le industrie europee a scandire il tempo di eventuali collaborazioni”.
A livello Ue c’è anche l’iniziativa del Cyber Resilience Act, che prevede l’introduzione di requisiti obbligatori di sicurezza informatica per i prodotti con componenti digitali.
“Questo è probabilmente il pilastro più importante di tutta l’architettura che regge la politica cyber dell’Ue, perché mira a rendere obbligatoria la security by design, che non può essere solo un argomento per convegni ma deve essere qualcosa di applicato nel concreto. La proposta ora al vaglio del Parlamento Europeo è un passo passo importante, che chiama a una comune responsabilità sia le industrie cyber sia la platea dei consumatori. Le aziende devono essere versatili e devono fare uno sforzo per integrare le loro soluzioni dentro il percorso produttivo dei soggetti che mettono sul mercato i prodotti che contengono almeno un elemento digitale. I consumatori devono dare valore alla sicurezza di quel percorso e alla qualità dei partner di sicurezza scelti dai produttori. Perché più alta sarà l’asticella che il mercato posizionerà, più la sicurezza sarà vista come abilitatore del successo commerciale e meno come inciampo”.