Uno spezzatino con tanti attori che presidiano il perimetro cibernetico dell'Italia. Così si presenta la cybersicurezza del Belpaese, mentre il dibattito politico e pubblico resta abbagliato dallo scontro ai vertici del governo. Da una parte Alfredo Mantovano, sottosegretario alla Presidenza del Consiglio con delega alla cybersicurezza e ai Servizi di informazione e sicurezza, che ha in mano la regia politica del settore. Dall’altra, il ministro della Difesa Guido Crosetto, che ambisce a svolgere un ruolo più decisivo nella difesa cyber e a creare un’intelligence militare. Nel mezzo, però, rimane una lacuna che sta passando in secondo piano: l’Italia è l’unico Paese del G7 a non avere ancora una strategia nazionale di sicurezza e, soprattutto, un organismo che la elabori coordinando tutti gli attori coinvolti.“L’Italia non può più permettersi di affrontare i rischi per la propria sicurezza nazionale con strumenti frammentati o emergenziali”, spiega a Wired Stefano Mele, avvocato e presidente della Commissione cibernetica del Comitato Atlantico. Mentre Lorenzo Guerini, presidente del Copasir (l'organo parlamentare che controlla l'attività dei servizi segreti), dice no a una riforma dell'intelligence senza “un disegno generale condiviso”.Le ambizioni di CrosettoDopo mesi di indiscrezioni e dichiarazioni stampa, il ministro Crosetto ha messo nero su bianco le sue ambizioni. Lo ha fatto in un documento di 129 pagine presentato il 17 novembre al Consiglio Supremo di Difesa e poi pubblicato sul sito del ministero, dal titolo Il contrasto alla guerra ibrida: una strategia attiva.“Un non paper”, precisa Crosetto, cioè un documento informale per esplorare idee e soluzioni senza un impegno ufficiale. Ma che esprime la sua visione strategica sulla minaccia ibrida. “Una delle più subdole minacce che ogni giorno erode in modo silente la nostra società”, scrive. Un capitolo è dedicato al cyberspazio e non è un caso. Secondo Crosetto, proprio l’ambito cyber è “il moltiplicatore che tiene insieme tutto: consente campagne di disinformazione, interferisce con i processi democratici, mette in difficoltà infrastrutture critiche (sanità, energia, trasporti, finanza)” e rende difficile attribuire gli attacchi. Una centralità che da tempo lo spinge a premere per una riforma interna alle forze armate.Per Crosetto, il primo passo è “identificare lo spazio cyber di interesse nazionale per la difesa e la sicurezza dello Stato”. Poi mettere in piedi un’arma cyber: una forza sia civile sia militare che, secondo le stime, per essere “congrua e rassicurante” dovrebbe poter contare almeno su cinquemila unità. Come obiettivo realistico e di breve termine, però, il ministro si pone un corpo di 1.200-1.500 persone che immagina operativo 24 ore su 24, sette giorni su sette. Una proposta che viaggia con un disegno di legge presentato dal deputato di Forza Italia, Antonino Minardo. “Non è pensabile un esercito cyber senza garanzie funzionali”, chiarisce una fonte parlamentare.La proposta interviene su più fronti. Estende le circostanze in cui le forze armate possono operare usando strumenti cibernetici e prevede la possibilità di ricorrere a soggetti esterni quando le operazioni richiedono delle specifiche competenze tecniche. Ma è soprattutto sul fronte dell’intelligence militare, un tema molto caro a Crosetto, che il ddl vuole introdurre le novità più significative: punta infatti ad ampliare le garanzie funzionali previste dall’articolo 17 della legge 124 del 2007 anche ai militari impegnati in operazioni cyber in tempo di pace. In pratica, si tratta degli stessi poteri che hanno gli 007 e che gli consentono di commettere reati senza essere indagati. Non solo. Il ddl allarga al ministero della Difesa anche l'accesso agli elenchi di reti, sistemi informativi e servizi critici della pubblica amministrazione e degli operatori pubblici e privati presenti in Italia. Elenchi che, oggi, sono nelle mani di una cerchia ristrettissima: Palazzo Chigi, l’intelligence e il Viminale.Nel disegno di Crosetto, il futuro passa da un comando unico capace di riunire il dominio cyber e lo spettro elettromagnetico, seguendo il modello dei Cyber Command. Strutture che, come ricorda il report, “rappresentano nei Paesi stranieri veri e propri punti di riferimento nazionali per la protezione delle infrastrutture critiche e il contrasto delle attività di manipolazione cognitiva”. In Europa il suo punto di riferimento è la Germania, dove l’architettura di sicurezza cibernetica è in mano al Bundesamt für Sicherheit in der Informationstechnik (Bsi), un’autorità interistituzionale che risponde al ministero dell’Interno. Mentre il cuore della difesa cibernetica è affidato al comparto militare che ha il compito di proteggere le infrastrutture informatiche delle forze armate, difendere i sistemi d’arma e rispondere agli attacchi cyber.Chi difende i confini cyber dell’ItaliaMa chi difende oggi il perimetro cibernetico dell’Italia? “Per capire l’attuale assetto della cybersicurezza bisogna distinguere due livelli”, spiega Mele. Il primo è di natura politica e fa capo alla presidenza del Consiglio. “Non potrebbe essere diversamente - precisa l’esperto -. Solo il massimo vertice politico può avere la responsabilità di un ambito così delicato come la cybersecurity, a meno che non venga creato un ministero ad hoc”. Oggi è, quindi, Palazzo Chigi a esercitare l’indirizzo e il coordinamento politico del settore: un ruolo che il premier può riservare per sé, affidare a un ministro senza portafoglio o a un sottosegretario.Con il governo Meloni, l’incarico è stato assegnato ad Alfredo Mantovano che ha assunto la carica di Autorità delegata alla sicurezza nazionale, diventando il punto di riferimento politico per i servizi segreti e per la resilienza cibernetica. Un portafoglio di competenze che si è arricchito ancora di più lo scorso luglio, con la delega sulla resilienza delle infrastrutture critiche: telecomunicazioni, energia, sanità.“Scendendo sul piano operativo, però, il quadro si fa più frastagliato”, osserva Mele. In primis, c’è l’Agenzia per la cybersicurezza nazionale (Acn) che è stata istituita nel 2021. Non ha capacità offensive, ma ha il compito di tutelare la sicurezza e la resilienza nello spazio cibernetico, prevenire e mitigare gli attacchi informatici e favorire il raggiungimento dell’autonomia tecnologica. L'Agenzia è anche responsabile dell’attuazione della Strategia nazionale di cybersicurezza.L'ultima è stata delineata nel 2022 dal governo Draghi e ha fissato gli obiettivi fino al 2026: protezione degli asset strategici nazionali, risposta alle minacce, sviluppo sicuro delle tecnologie digitali, cooperazione tra istituzioni e imprese, formazione di nuove competenze e educazione al digitale. A detta dello stesso Mantovano, per essere a pieno regime la struttura dovrebbe poter contare su 800 persone. Ma a dicembre 2024 (ultimo dato pubblicamente disponibile) si componeva di 309 dipendenti, di cui 212 inquadrati come manager. Uno squilibrio evidente in un’agenzia che dovrebbe rappresentare il cuore tecnico della difesa cibernetica.La competenza passa, però, di mano quando si tratta di intelligence che anche nel cyber spazio “continua giustamente a essere prerogativa dei nostri servizi segreti”, prosegue l’esperto. Un altro pezzo centrale del puzzle sono le forze dell’ordine: polizia postale, carabinieri, e guardia di finanza si occupano di contrastare i crimini informatici, ciascuna nella propria area di competenza. Mentre il ministero della Difesa, allo stato attuale, ha il compito di condurre le operazioni militari nel dominio cibernetico, a supporto della difesa e della sicurezza nazionale. Una funzione svolta dal Comando per le operazioni in rete (Cor), creato nel 2020 riorganizzando delle competenze già esistenti.L’ultima a entrare nella partita è stata la Direzione nazionale antimafia e antiterrorismo, che per competenza coordina le indagini sulla criminalità organizzata e sul terrorismo. Un ruolo che di recente ha iniziato a svolgere anche quando i crimini di questo tipo sono commessi nel dominio cibernetico. Tutti attori scoordinati tra loro.Senza regiaÈ partendo da questo quadro che l’esperto richiama l’urgenza di una governance capace di guidare e coordinare tutti gli attori coinvolti. “Serve una strategia chiara, trasparente e capace di definire cosa intendiamo proteggere, da chi e con quali strumenti. Oggi questo quadro manca”, dice. Per Mele la visione deve essere di medio periodo, includere “tutti i rischi strategici, dal cyber alle infrastrutture critiche, dalla manipolazione informativa alla sicurezza economica”, e poggiare su una cabina di regia permanente e competente: un Consiglio per la sicurezza nazionale stabile e un’Autorità delegata non più opzionale come adesso. Ma parte strutturale della presidenza del Consiglio. “Serve una cabina di regia stabile, competente e dotata degli strumenti per coordinare l’azione dei ministeri, supportare le decisioni politiche e garantire continuità. Senza una governance solida, la sicurezza nazionale resta esposta a vulnerabilità che un Paese come il nostro non può più permettersi”, avverte Mele.In questa direzione va la proposta di legge di Lorenzo Guerini, ex ministro della Difesa e attuale presidente del Copasir. I punti cardine della riforma prevedono proprio l’istituzione obbligatoria dell’Autorità delegata alla sicurezza della Repubblica e di una strategia di sicurezza nazionale triennale. “L’obiettivo è garantire una figura permanente ed esclusiva per il coordinamento delle politiche di sicurezza nazionale e la definizione delle strategie necessarie”, spiega Guerini a Wired.Ed ecco che, secondo Guerini, l’impostazione di Crosetto rischia di “spezzettare competenze e funzioni ancora di più, quando invece servirebbe un’azione coordinata e unitaria”. L’attuale presidente del Copasir condivide la necessità di una ristrutturazione delle forze armate in chiave cyber. Ma oggi “la sicurezza nazionale va ben oltre la dimensione militare, soprattutto nel dominio cibernetico”, chiarisce.Il passaggio che Guerini teme di più, però, riguarda l’attribuzione di poteri operativi tipici dei servizi segreti alle forze armate: “L’Italia ha un’architettura solida che sovrintende il nostro sistema di sicurezza, frutto di una legge approvata in parlamento all’unanimità nel 2007. Ritengo che quell’impostazione debba essere preservata e sono contrario a modifiche al di fuori di un disegno generale condiviso”, conclude l’ex ministro.