Resilienza, meno burocrazia, dialogo con gli operatori IT e visione strategica di lungo termine. Secondo Denis Cassinerio, Regional Sales Director di Acronis per l'Europa meridionale, sono questi gli ingredienti principali per digitalizzare l’Italia, cogliendo le opportunità previste dal Recovery plan.
Cybersecurity: i bandi da non perdere per la sicurezza informatica
Gli investimenti per la cybersecurity previsti dal Piano nazionale di ripresa e resilienza (PNRR) si inseriscono in un contesto più ampio, che comprende - oltre agli strumenti di finanza agevolata adottati a livello locale, regionale e nazionale - anche i fondi europei della programmazione 2021-2027, richiamati tra l’altro nella strategia italiana per la cybersicurezza.
Per approfondire il tema degli investimenti pubblici nel campo della sicurezza informatica abbiamo parlato con Denis Cassinerio, Regional Sales Director per l'Europa meridionale di Acronis, multinazionale - fondata a Singapore nel 2003 e costituita in Svizzera nel 2008 - che coniuga protezione dei dati e sicurezza informatica per offrire soluzioni di cyber protection.
In questo periodo il tema della cybersicurezza è più caldo che mai. In termini strategici quali sono gli asset su cui imprese e pubblica amministrazione devono puntare?
Indubbiamente quello della sicurezza informatica è un tema caldo, sia per la cyberwarfare legata alle contingenze geopolitiche della guerra in Ucraina, che per il cybercrime.
Quando parliamo di cybercrime ci riferiamo alle organizzazioni criminali che operano nella creazione e nella conduzione di attacchi cyber, che oggi hanno raggiunto livelli di sofisticazione e tailorizzazione del lavoro tale per cui vi è un’accelerazione esponenziale degli attacchi.
Il primo fenomeno da considerare, quindi, è cosa sta accadendo a livello internazionale nelle organizzazioni criminali e come si sono specializzate nelle conduzione di cyber-attacchi. Inoltre, col progressivo accesso al dark web da parte degli utenti - non necessariamente per scopi etici - anche la domanda di attacchi sta aumentando.
Questa situazione, in congiunzione con la capacità da parte dei criminali di utilizzare processi di intelligenza artificiale, favorisce una meccanizzazione degli attacchi, con un risparmio di tempo nella costruzione dell’attacco stesso e maggiore attenzione alla ricerca delle cyber vittime.
Gli attacchi sono quasi molto più assimilabili al concetto di ‘advanced persistent threat’, cioè un’azione persistente e specifica nella conduzione delle aggressioni digitali, che oggi viene facilitata anche dall’utilizzo di sistemi di IA.
Grazie ad un aumento delle capacità tecnologiche, ad una taylorizzazione del lavoro e ad una progressiva de-perimetrizzazione della sicurezza assistiamo ad un incremento degli attacchi cyber, che si stanno sviluppando maggiormente nella direzione delle estorsioni di carattere economico.
Dobbiamo renderci conto che la digitalizzazione si porta dietro un processo di resilienza che va ottenuta in maniera innovativa rispetto al passato.
Un altro aspetto importante da sottolineare è l’asimmetria tra attaccanti e difensori, a favore dei primi; chi si deve difendere, infatti, è spesso da solo, fa poco sistema con gli altri, è poco organizzato ed ha ancora un problema di skill gap.
La cyber protection - ossia l’ottenimento di una resilienza a lungo termine - non è tendenzialmente il core business delle imprese e degli enti.
Oggi le aziende e le amministrazioni pubbliche dovrebbero puntare sulla cybersecurity un po’ come fanno con l’energia elettrica, ossia mirare ad avere un qualcosa che sia facilmente fruibile, con un elemento di resilienza che tocchi a tutto tondo gli asset principali.
La cybersecurity non è una tecnologia, ma è l’associazione tra processi, tecnologie e persone per definire un programma di sicurezza che funzioni.
Se c’è un asset sul quale oggi occorre puntare è quello di lavorare con specialisti nell’ambito della cyber protection - mettendo quindi insieme sia gli aspetti di data protection che cybersecurity - per ottenere un processo di resilienza estremamente forte, che renda antieconomico essere vittime di un attacco e aiuti i processi di business continuity.
Per sostenere gli investimenti in cybersicurezza l'UE, l'Italia e gli altri Stati membri prevedono una serie di programmi e strumenti di finanziamento (Digital Europe, PNRR, incentivi 4.0, ecc). Cosa ne pensa e quali sono le differenze tra gli approcci adottati dai singoli paesi?
Nella presentazione a Bruxelles del PNRR, che rappresenta senza dubbio un’opportunità, abbiamo avuto un po’ di classicità italiana: da un lato abbiamo scritto tanto rispetto ad altri paesi, dall’altro il Piano Italia Domani è speculare rispetto ai processi di amministrazione dello Stato.
Basta pensare che 82 miliardi di euro del PNRR vanno al Sud, facendo sembrare il Recovery plan italiano quasi una finanziaria locale.
In tutto questo, poi, gli investimenti relativi alla digitalizzazione vanno a toccare realtà tipiche italiane, dall’accesso al cloud al turismo, con una forte centralizzazione sulla PA. Stiamo quindi andando ad immettere risorse nel sistema con una modalità di erogazione dei fondi che passa per la burocrazia italiana, disperdendo gli investimenti su tanti capitoli di spesa.
Nel PNRR per la cybersecurity in 6 anni anni sono previsti investimenti per 623 milioni di euro, ossia circa 100 milioni di euro all’anno, che rispetto ad un mercato in crescita non sono poi cifre così elevate. Inoltre, la spesa italiana in sicurezza informatica è già 4-5 volte inferiore rispetto ad altri paesi, come Francia e Regno Unito, dove il concetto di cybersecurity è più maturo.
Nel dettaglio, noi questi 600 milioni di euro li spendiamo per la costituzione dell’Agenzia per la cybersicurezza nazionale, servizi nazionali di cybersecurity, laboratori, certificazioni, potenziamento della sicurezza informatica della PA, la migrazione verso il cloud, ecc.
Ci troviamo in una situazione abbastanza articolata nell’utilizzo di questi fondi, dove l’accesso alle risorse non appare poi così semplice.
In Spagna, invece, la situazione è diversa; le parole d’ordine per l’attuazione del Recovery plan spagnolo, infatti, sono velocità e meno burocrazia.
Sono stati accantonati 3 miliardi di euro per il Kit Digital rivolto alle PMI, che consente in maniera sufficientemente semplice agli operatori economici di essere certificati come agenti digitali al Ministero dell’innovazione e di ricevere fino a 12mila euro per alcuni capitoli di spesa per l’innovazione della cybersecurity in azienda.
Questa è la dicotomia tra Italia e Spagna: noi accantoniamo 600 milioni per la cybersecurity inaccessibili, super focalizzati, super centralizzati, con processi farraginosi; la Spagna invece dà al tessuto produttivo spagnolo - fatto da 12 milioni di imprese contro i 4 milioni di aziende italiane - direttamente 3 miliardi per sviluppare soluzioni innovative per la sicurezza informatica.
Mettendo a confronto Italia e Spagna, la principale differenza è nella freschezza di pensiero.
Dal momento che la digitalizzazione e la cybersecurity sono considerati dei punti di forza, la Spagna si sta innovando più rapidamente, grazie anche ad una maggiore autonomia nell’amministrazione del denaro pubblico.
In Italia, invece, oltre ad una forte centralizzazione delle risorse pubbliche manchiamo di cultura, abbiamo un assetto governativo meno fresco e siamo troppo legati, da un punto di vista anagrafico, al pensiero di un’Italia 1.0.
In conclusione, la digitalizzazione in Italia potrebbe procedere in maniera più veloce a mio avviso.
In Italia il meccanismo di incentivi e agevolazioni per sostenere coloro che vogliono rafforzare la sicurezza informatica in azienda e nella pubblica amministrazione è adeguato? Ci sono punti di forza e debolezze? Cosa si potrebbe migliorare?
Per affrontare seriamente l’arretratezza drammatica degli investimenti in cybersicurezza in Italia, il problema non è l’accantonamento delle risorse, ma l’attuazione in termini di accesso ai fondi e i criteri di spesa.
Se da un lato gli operatori IT sono i veri abilitatori e i detentori della capacità di trasformazione del paese, dall’altro il Governo non partecipa ai convegni di settore facendosi carico di un dialogo esteso a tutte le parti.
Il nostro auspicio è che vengano organizzati tavoli di lavoro dove mettere a fattor comune le esperienze degli operatori economici ed IT del paese.
Con gli investimenti per la cybersicurezza l'Italia sta andando nella giusta direzione? Si potrebbe fare qualcosa di più?
Nel PNRR italiano non vedo tanto la voglia di innovare quanto quella di certificare tecnologie, insieme ad una forte polarizzazione degli investimenti.
Questi aspetti, insieme alla lentezza burocratica, rischiano di aumentare il ritardo nello sviluppo tecnologico del paese.
Quando si parla di cybersicurezza gli investimenti a livello centrale devono essere sostenuti con capitoli di spesa irreversibili e non momentanei, includendo i temi della sicurezza informatica all’interno delle nostre finanziarie.
Occorre quindi una visione strategica di lungo periodo, che vada al di là dell’orizzonte temporale del PNRR, senza sganciare il sistema paese dal sistema produttivo. La PA dovrebbe quindi legiferare in maniera più veloce e rapida, dialogando maggiormente con gli operatori privati.