Le recenti dimissioni dell’ex Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale (ACN), il Professore de “La Sapienza” di Roma, Roberto Baldoni e la contemporanea nomina del Prefetto di Roma, Bruno Frattasi, hanno sollevato una notevole eco nel campo della, relativamente giovane, comunità di cyber sicurezza nazionale e dell’opinione pubblica in generale. Ne sono seguiti molteplici articoli e, ancor più, messaggi postati sulle principali piattaforme di social media nazionali.
La maggior parte degli interventi hanno messo in rilievo le forzate dimissioni di quello che viene considerato un tecnico rispetto a una successiva nomina di quello che viene considerato un non tecnico. Il dibattito susseguente è stato abbastanza acceso tra i, più numerosi, convinti sostenitori della scelta tecnica e gli altrettanti agguerriti, seppur molto meno numerosi, fautori della scelta non tecnica.
A questo riguardo va sottolineato che l’ACN è un’Agenzia di costituzione recente (Decreto-Legge 14 giugno 2021, n. 82) e mediante di essa l’allora Legislatore aveva inteso ridefinire l’architettura cyber nazionale complessiva. Tra i propri compiti precipui l’ACN “assicura il coordinamento tra i soggetti pubblici e la realizzazione di azioni pubblico-private volte a garantire la sicurezza e la resilienza cibernetica per lo sviluppo digitale del Paese”, come è dato leggere sul proprio sito web.
Con la nascita dell’ACN, essa si andava a collocare tra le già esistenti strutture istituzionali quali la cyber-investigation appannaggio delle forze di polizia, la cyber-intelligence delle agenzie di intelligence e la cyber-defence delle forze militari.
Non si vuole qui sottacere il ruolo ricoperto dal Prof. Baldoni nell’elaborazione e nascita della cyber resilienza italiana e degli sforzi compiuti sinora per l’avvio di un non facile processo di istituzionalizzazione, di tale campo disciplinare in Italia. Egli può essere addirittura inteso alla stregua di un “institutional entrepreneur” vale a dire un attore individuale che svolge un ruolo fattivo di potenziale creatore di una nuova struttura istituzionale. E di ciò gli vanno riconosciuti tutti i meriti del caso.
In generale, il processo di istituzionalizzazione di un’Agenzia nazionale comporta uno sforzo deliberato per incorporare le competenze e le conoscenze tecniche acquisite nella progettazione dei sistemi, delle strutture e delle procedure a livello organizzativo, in modo tale che esse possano persistere ed essere sempre disponibili per un riutilizzo immediato.
L’inizio di un tale processo ha rappresentato un passo fondamentale per garantire la sicurezza digitale del Paese. Questo processo si è comprensibilmente basato su un approccio olistico che ha coinvolto diversi fattori quali: la creazione di un quadro normativo chiaro e coerente; il coinvolgimento di tutti i soggetti interessati come le aziende private, le amministrazioni pubbliche e la società civile; la fissazione di standard di sicurezza e relative sanzioni; lo scrutinio tecnologico di software e dispositivi (antivirus, telecamere di sorveglianza, 5 G, ecc.); una diffusa attività educativa e formativa di ogni ordine e grado; ecc.
In questo graduale processo, non si possono qui sottacere neanche alcune inefficienze organizzative e comunicative in cui l’ACN è incorsa nel recente passato, perfino scusabili considerato lo statu nascenti della nuova istituzione, ma il punto centrale non è questo, almeno a parere di chi scrive.
La sensazione è che l’ACN – nonostante l’avvio di questo ineludibile processo di istituzionalizzazione, dovuto anche alla meritoria opera fondazionale e ideativa, di strutturazione generale della nuova Agenzia, compiuta dal Prof. Baldoni – non sia riuscita tuttavia ancora a dare un segnale forte di un vera e propria dinamica di cambiamento sociale nel campo della cybersecurity nazionale. Oggigiorno, si direbbe di un “cambio di passo”, per far uso del gergo politico-giornalistico. E un disincanto diffuso, sull’operatività attuale dell’ACN, costituiva un dato di fatto che si poteva facilmente cogliere nei commenti di molti esperti e addetti ai lavori, sui social media, nei mesi precedenti le dimissioni del Prof. Baldoni, anche a fronte dei continui attacchi malevoli compiuti a danno delle vulnerabili infrastrutture critiche italiane.
In questo senso, l’ipotesi della nomina di un Prefetto al posto di un Professore potrebbe, almeno in tesi, non essere così incomprensibile. I possibili disequilibri interni ed esterni, difatti, tra i molteplici elementi della cyber governance nazionale potrebbero non necessariamente richiedere l’utilizzo di un tecnico per rispondere a quelli che non sono, in primo luogo, problemi tecnici ma coinvolgono, invece, istanze di coordinamento politico tra le varie realtà istituzionali attualmente esistenti (cyber-resilience, cyber-investigation, cyber-intelligence e cyber-defence). E il problema del possibile fallimento del coordinamento inter-istituzionale non è un’istanza politica di poco conto e a cui il Legislatore attuale può facilmente sottrarsi.
Del resto, a guardar bene anche la governance precedente prevedeva diversi ruoli, tutti tra di loro strettamente intrecciati. Quello del prof. Baldoni, eminentemente di natura tecnica, supportato dalla vicedirezione di Nunzia Ciardi, anch’essa di estrazione tecnica ma con taglio investigativo, ma anche il ruolo determinante, questo sì di natura politica, svolto dal Prefetto Franco Gabrielli, vero e proprio deus ex machina della scelta di policy che ha portato ad una netta correzione di rotta del modello di cybersecurity italiano, prima decisamente orientato in una prospettiva di preminenza dell’Intelligence. Una governance, peraltro, frutto di scelte operate in una situazione di evidente carenza di altre strutture istituzionali deputate alla certificazione e allo scrutinio tecnologico.
Oggigiorno, i fronti aperti sono ancora tanti e, pertanto, potrebbe essere opportuna la scelta politica che dovrebbe garantire un più efficace coordinamento sul piano amministrativo, salvaguardando, comunque, le capacità tecniche che devono ancora trovare piena implementazione.
Se a ciò si aggiunge il venir meno dell’entusiasmo per un modello di pianificazione e ingegneria sociale basato su un progetto tecnocratico, prettamente di stampo eurocratico, configuratosi, sin qui, come una sorta di conquista tecnocratica della democrazia occidentale si vede, assai bene, come il contemporaneo riaffiorare di una primazia della politica non possa che rappresentare un aspetto oltremodo positivo, su cui peraltro non è lecito farsi troppe illusioni, considerate le reali forze in campo.
In conclusione, una scelta politica rispetto a una scelta tecnica può rappresentare non solo la prima preferenza di un Governo che si vuole, nella sua essenza, eminentemente politico e che in nessun modo vuole sottostare a una tecnocrazia sostanzialmente autoreferenziale, presuntamente a-politica, in quanto anche la nomina di un tecnico è pur sempre una nomina politica, in ultima istanza. Affatto diverso è il discorso se la scelta politica di una determinata persona possa essere quella giusta per svolgere il ruolo istituzionale che gli è stato affidato. In questo caso, tuttavia, solo il tempo potrà dire se sia stata fatta una buona scelta o meno. In questo momento, invece, non è per nulla possibile sostenere il contrario, almeno che non si abbiano elementi sostanziali al riguardo.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
