Non serviva l’attacco alla Regione Lazio per convincerli che non c’era tempo da perdere. Questo governo ha, fin dal primo giorno del suo insediamento, messo la lotta ai cyber criminali in cima alla lista di priorità. La paralisi dei sistemi informativi e sanitari della Regione della Capitale ha però offerto la sponda per un ulteriore sprint: da ieri, con l’approvazione del Senato, l’Agenzia per la cybersicurezza nazionale (Acn) esiste per una legge dello Stato. Ma già da venerdì l’Agenzia comincerà a lavorare: in Consiglio dei ministri arriveranno i decreti attuativi con i quali si trasferiranno circa 60 persone dal Dis (il Dipartimento per le informazioni di sicurezza) e da Aisi (l’Agenzia di sicurezza interna) alla nuova Agenzia. Sono i massimi esperti italiani di cybersicurezza, gli stessi che, in queste ore, stanno affrontando il più grande attacco cyber della storia del nostro Paese. Anche per questo è possibile che il Governo scelga già alla fine di questa settimana il nuovo direttore: in pole position c’è il professor Roberto Baldoni, tra i massimi esperti italiani di sicurezza informatica, che dal 2017 ricopre il ruolo di vice direttore del Dis.
Il primo punto sul tavolo sarà chiaramente la questione Lazio. Ma non tanto per l’analisi dell’attacco — su quello sta lavorando la Postale con la Procura di Roma e la nostra intelligence — quanto per prevenire attacchi simili in altre infrastrutture strategiche. Circostanza, questa, considerata — come ha spiegato anche ieri il ministro degli Interni, Luciana Lamorgese (oggi tocca invece alla direttrice del Dis, Elisabetta Belloni) in un’audizione al Copasir — quasi inevitabile dagli addetti ai lavori. Inevitabile perché di attacchi dl genere ce ne sono stati già tanti negli ultimi 12 mesi: sono stati poco meno di 200 e hanno colpito sia pubbliche amministrazioni sia aziende importanti. Il sistema è il solito: la rete interna viene attaccata con un software in grado di prendere in ostaggio, copiare o cancellare i dati. E anche i backup qualora si trovano nella stessa rete. Viene chiesto un riscatto che va dai 500mila agli 8 milioni di euro. In molti — così risulta dalle indagini — hanno pagato. Altri — e questo riguarda le pubbliche amministrazioni — hanno invece dovuto azzerare tutti i server. Con due risultati: ripartire da zero. E vedersi pubblicare in rete i dati dei propri cittadini (o clienti). Ieri il ministro Lamorgese ha specificato che, per nessuna ragione, le pubbliche amministrazioni pagheranno. Ma il problema resta.
E le ragioni sono prima di tutto di natura strutturale. Come aveva spiegato il ministro Vittorio Colao il 13 luglio scorso al Copasir, dopo una ricognizione delle reti telematiche delle pubbliche amministrazioni, si è arrivati alla conclusione dell’assoluta inadeguatezza delle infrastrutture. Ecco perché con il sottosegretario, Franco Gabrielli, e ora con la nuova Agenzia, il Governo ha in programma investimenti importanti per la realizzazione di un «cloud nazionale degli enti pubblici». La ministra Lamorgese, a proposito dell’attacco in Lazio, ha parlato ieri di un «errore materiale». In realtà è stata una falla di sistema: nel senso di mancati investimenti, sottovalutazione del rischio, incapacità di difesa. Una situazione identica a quella di praticamente tutte le altre regioni ed enti locali italiani. «Il tema è fondamentale» ragiona Enrico Borghi, deputato Pd e influente componente del Copasir, «perché ci pone di fronte alla questione del federalismo: come ha dimostrato la vicenda del Lazio, soprattutto su temi delicati come la Sanità, e per lo più nel bezzo di una pandemia, colpire una Regione significa colpire un Paese. Ma Regioni, Comuni, Asl non sono in grado di avere sistemi di sicurezza informatica all’altezza della sfida. Non hanno competenze, non hanno risorse. L’unica possibilità è quella di centralizzare, affidando investimenti e infrastrutture alla nuova Agenzia. Il punto è che siamo in ritardo di anni. Negli Stati Uniti e in Europa questi sono temi all’ordine del giorno almeno dal 2018, quando ci sono stati i primi grandi attacchi alle istituzioni».
Il punto è quello individuato proprio dal sottosegretario Gabrielli in un’intervista a Repubblica, nei giorni scorsi: mentre in Europa, paesi come Francia e Germania si dotavano di agenzie con un migliaio di addetti, selezionati nelle migliori università del continente, in Italia si puntava su 50 bravissimi operatori al Dis e la promessa assunzione di 70 ingegneri informatici al Mise, mai arrivati. Contemporaneamente 23 soggetti istituzionali diversi erano deputati a interloquire con l’Europa in materia di cyber. Nel frattempo la nostra criminalità organizzata entrava nel grande business delle cyber estorsioni: minimo rischio. Grande guadagno.