Con legittima soddisfazione di molti addetti ai lavori, ha visto alla luce, tramite “inevitabile” Dpcm, il Regolamento in materia di perimetro di sicurezza nazionale cibernetica. Premesso che sono personalmente favorevole a qualsiasi intervento che stimoli una maggiore sensibilità di persone e organizzazioni rispetto al tema della cybersecurity, faccio un po’ di fatica a condividere l’enorme entusiasmo di tanti miei colleghi perché, onestamente, non vedo un “grande balzo” in avanti, al massimo un “saltino”.
Il primo limite credo sia proprio nell’idea stessa di “perimetro” che presuppone di potere delimitare qualcosa che per sua natura e sotto la spinta della tecnologia non ha confini definiti e tanto meno stabili. In tempi di pandemia, poi, l’idea di “scomparsa del perimetro”, che da anni è un mantra per gli esperti di sicurezza, si pone come canone assoluto. Milioni di persone attraverso lo smart working hanno esteso l’ambito dei sistemi di tutte le organizzazioni a quelli delle proprie case; decine di migliaia di fornitori hanno i propri sistemi interconnessi a quelli di realtà che per certo rientreranno nel perimetro di sicurezza nazionale cibernetica; il cloud computing a cui stanno facendo massiccio ricorso migliaia di operatori è gestito da non più di una manciata di operatori tutti stranieri, delocalizzati e con una forza contrattuale (prendiamo Amazon, Google o Microsoft) per cui gli stessi Stati fanno fatica a negoziare. Basterebbero queste ragioni a rendere utopico il tentativo di porre dei confini laddove non esiste neppure il terreno sui cui disegnarli.
Qualcuno potrebbe obiettare che quella manciata di operatori che saranno considerati “essenziali” porteranno la cultura della cybersecurity nelle case degli italiani e “imporranno” una maggiore attenzione alla tematica ai propri fornitori. È auspicabile, ma allora il perimetro diventa “inconsistente” (nelle organizzazioni le persone e i fornitori cambiano). Altri potrebbero dire che sarà la grande occasione per tentare di rilanciare l’innovazione tecnologica in Italia. Da un lato, sarebbe meglio dire “lanciare” visto che in tema di tecnologie dell’informazione il nostro Paese non può neppure essere definito “follower”, ma piuttosto “unreported”. Dall’altro, è bene notare che l’articolo 12 riporta la Clausola di invarianza finanziaria la quale recita che “all’attuazione delle disposizioni di cui al presente decreto si provvede nei limiti delle risorse finanziarie, umane e strumentali disponibili a legislazione vigente e comunque senza nuovi o maggiori oneri a carico della finanza pubblica”.
Molti puntano sui 2,5 miliardi di euro che potrebbero saltare fuori dal Recovery fund, ma vorrei fare notare che il solo gruppo Alphabet (Google per chiarezza) nel 2019 ha investito in ricerca e sviluppo 26 miliardi di dollari. Detto questo, parafrasando una celebre frase: “un grande passo per la legge, un piccolo passo per l’umanità”.
