Chi comanda. Cos’è l’Istituto di cybersicurezza e perché è al centro dello scontro tra Renzi e Conte

di Renata Pescatori · Pubblicato 16 Dicembre 2020 · Aggiornato 16 Dicembre 2020

di Alberto Bellotto – 15 dicembre 2020

L’ente dovrebbe promuovere l’acquisizione di competenze e capacità tecnologiche e favorirne un maggiore sviluppo nel sistema produttivo del Paese. Per due volte il premier ha provato a forzare la mano per la sua creazione senza informare il Parlamento e le opposizioni, che adesso pretendono chiarezza.

La mossa di Giuseppe Conte sulla Cybersicurezza è riuscita a far arrabbiare quasi tutti in un colpo solo. Servizi segreti, Copasir e pezzi della sua maggioranza. Nei giorni in cui Matteo Renzi fustigava il premier per l’ennesima Task Force in vista dei progetti per il NextGeneration Ue, c’è una questione che è passata sotto silenzio, quella della creazione dell’Istituto italiano di Cybersicurezza. Nel suo intervento in aula del 9 dicembre il senatore di Scandicci ha solo sfiorato il tema, ma lo ha fatto in modo abbastanza pesante, di fatto accusando il premier di voler accentrare troppi poteri su di sé scavalcando il Parlamento.

Cos’è l’Istituto italiano di Cybersicurezza

Ma cos’è esattamente questo Istituto e perché ha fatto infuriare tutti? La risposta a queste due domande ci porta in direzioni diverse. L’Istituto dovrebbe avere due scopi principali, da un lato promuovere l’acquisizione di competenze e capacità tecnologiche, industriali e scientifiche nazionali nel campo della sicurezza cibernetica e della protezione informatica. E dall’altro favorire un maggiore sviluppo di queste tecnologie da parte del sistema produttivo del Paese.

I soggetti coinvolti nella nomina dell’Istituto dovrebbero essere Palazzo Chigi, il Comitato Interministeriale per la Sicurezza della Repubblica (Cisr), e il ministro dell’Università e della ricerca. In particolare a nominare la maggioranza dei componenti di questa fondazione di diritto privato dovrebbe essere il presidente del Consiglio su proposta del Cisr, mentre il lavoro dell’Istituto verrebbe poi coordinato dal Dis, il Dipartimento informazioni e sicurezza.

I blitz di Conte nella manovra
Per ben due volte Conte ha provato a forzare la mano per creare questo Istituto. Il primo tentativo è arrivato all’inizio di novembre, con la prima bozza della nuova legge di bilancio. In particolare all’articolo 96 dov’era inserito il passaggio nel quale veniva indicata la nascita dell’Istituto italiano di Cybersicurezza e ovviamente i fondi disponibili: 30 milioni di euro già per il 2021, 70 per il 2022, 60 per il 2023, 50 per il 2024 e altri 30 per il 2025.

Qualche settimana dopo una nuova bozza ridimensionava il provvedimento. Dall’articolo 96 il provvedimento era passato al 104 e il portafoglio ridimensionato a 10 milioni per il solo 2021. Alla fine in una terza versione della Finanziaria il provvedimento è saltato completamente. Una grossa fetta della maggioranza, Partito democratico e Italia Viva in testa, si è lamentata che quella norma era stata inserita senza informare nessuno.

E il problema politico forse è tutto qui. Il lavoro a fari spenti del premier è suonato a tutti come l’ennesimo blitz fatto senza passare da alleati di maggioranza e Parlamento. Non è stata la prima volta che l’avvocato degli italiani ha inserito norme all’ultimo minuto e soprattutto in provvedimenti diversi da quelli in cui sarebbero previsti. In estate tra le pieghe del decreto sullo stato d’emergenza era stata infilata una modifica alla legge del 2007, la norma che regola le attività dei Servizi, modificando le modalità di rinnovo dei vertici, mossa che ha permesso, ad esempio, la conferma di Mario Parente alla guida dell’Aisi, l’Agenzia informazioni e sicurezza interna.

Lo scontro sulla cybersicurezza non mostra solo le tensioni tra Conte e grosse fette della sua maggioranza, ma anche tra le diverse forze della coalizione di governo. La norma inserita nella prima bozza era piaciuta al Movimento 5 stelle. Mentre Italia viva ha salutato lo stralcio con favore perché, come spiegato da Ettore Rosato, capogruppo del partito alla Camera, la norma «era inopportuna e non si capiva a cosa servisse, se non a limitare l’autonomia e la funzionalità dei nostri servizi di sicurezza».

I dem, invece, chiedono un passaggio parlamentare più robusto, con nuove leggi o al massimo una modifica della legge 124/2007. Non è un caso che proprio un gruppo di deputati stia preparando un disegno di legge che intervenga sulla materia in modo più organico. Una mossa che serve anche per vedere che carte ha in mano il premier, perché con lo stralcio della norma dalla finanziaria, la partita non è finita.

Il peso della battaglia sulle nomine
La battaglia politica rischia di nascondere una serie di questioni intorno alla cybersicurezza non meno importanti. Sono almeno tre gli aspetti che influenzeranno il destino dell’Istituto: il confronto sulle nomine dei manager di diverse società pubbliche e di parte dei Servizi, i limiti legislativi della riforma e le pressioni che arrivano da Europa e mondo industriale per la creazione di un’entità che gestisca la cybersicurezza.

Sul fronte delle nomine ci sono oltre un centinaio di posti ancora da assegnare e tutti i partiti di maggioranza vogliono dire la loro. Uno dei settori più sensibili è quello dei servizi segreti. Il primo segnale è arrivato il 24 novembre con la conferma di uno degli uomini di fiducia del Premier, Gennaro Vecchione, alla guida del Dis, il Dipartimento informazioni e sicurezza che dovrebbe supervisionare l’attività dell’Istituto di sicurezza cibernetica.

Sul piatto restano almeno tre vicedirettori da nominare. C’è un posto vacante all’Aisi e due all’Aise. La legge stabilisce che alla fine sarà il presidente del Consiglio a scegliere, ma ovviamente i partiti proveranno a far sentire la loro voce. Non a caso alcuni posti sono vacanti da mesi, all’Aise il posto lasciato libero da Gianni Caravelli promosso alla guida dell’Agenzia è vuoto dal 16 maggio scorso. Ma il risiko potrebbe essere ancora più ampio. Nel giugno del 2021 scadrà il mandato di Mario Parente alla guida dell’Aisi e quindi nel grande baratto delle nomine potrebbe entrare anche il suo successore.

È chiaro che la partita politica è tutta da giocare e ognuno cercherà di influenzare almeno una decisione. Le strategie per portare a casa il risultato sono diverse e passano non solo dai confronti in Aula, ma anche contestando nel merito l’operazione messa in piedi dal presidente del Consiglio. Partito democratico e Italia Viva hanno infatti sottolineato inserire il tutto nella finanziaria non è scorretto solo perché scavalca il Parlamento, ma perché introdurrebbe storture, sovrapposizioni e non rispetterebbe la legge del 2007.

La riforma contenuta nelle prime bozze attribuisce un ruolo eccessivo al Dis e viola un passaggio chiave della legge 124, quello in cui si impone che «le funzioni attribuite al Dis, Aise e Aisi non possono essere svolte da nessun altro ente». Persino il blocco dei 5 stelle, che in larga parte ha mostrato di essere favorevole alla norma, ha criticato alcune disposizioni, come il fatto che l’organismo possa stipulare accordi o contratti con enti privati e che questi soggetti posso anche concorrere a finanziarlo.

Ma i Servizi cosa pensano di questo Istituto? In un certo senso non hanno avuto il tempo di pensarci perché sono stati messi di fronte al fatto compiuto. Tutti hanno scoperto la volontà di crearlo direttamente dalle bozze della manovra, persino i direttori di Aise e Aisi non ne sapevano nulla. E ovviamente nemmeno il Copasir.

Il Comitato presieduto dal leghista Raffaele Volpi è andato su tutte le furie e infatti ha metà novembre ha convocato in audizione il capo del Dis Vecchione. Anche per il Copasir la mossa di Conte sbilancia i pesi e contrappesi della 124 facendo sì che il Dis assorba alcune competenze delle altre due agenzie. Chiaramente il ritiro della bozza a ridosso del colloquio ha calmato gli animi, come dimostrato dalla riconferma di Vecchione poco meno di 10 giorni dopo, ma il tema rimane sul tavolo.

Le prossime mosse verso una legge ad hoc
Giuseppe Conte a inizio dicembre ha rilanciato l’iniziativa attraverso un lettera inviata proprio al Copasir nella quale ha chiesto al comitato una sorta di via libera per rilanciare la creazione dell’Istituto, magari attraverso un emendamento alla manovra, a un decreto o una legge ad hoc. Ma per ora il Copasir pare non voler fare concessioni.

Con ogni probabilità si saprà qualcosa di più dopo la partita delle nomine e con la presentazione dell’iniziativa dem alla Camera. L’unica cosa certa è che serve una soluzione. L’idea di un ente per la sicurezza cibernetica, infatti, parte da lontano: già nel 2017 un decreto dell’allora governo Gentiloni ridisegnava l’ecosistema cibernetico italiano prevedendo l’introduzione di un centro nazionale per lo sviluppo di un cordone di cyber sicurezza tutto italiano.

Poi tra il 2018 e 2019 sono arrivati altri due interventi. Il primo con un decreto che recepiva la direttiva europea Nis con lo scopo di elevare la sicurezza di reti e sistemi informativi; il secondo con un decreto che di fatto intendeva creare un “perimetro di sicurezza nazionale cibernetica”, cioè mettere sul campo una serie di risorse per migliorare la sicurezza di enti pubblici e privati.

La pressione dell’Europa sull’Italia
Come ha spiegato Arturo Di Corinto, del Center for Cyber Security and International Relations studies dell’Università di Firenze, glieesperti sono molto favorevoli a creare un’entità che aiuti a sviluppare tecnologie per la sicurezza informatica nostrane. Come dimostrano i passaggi contenuti nella bozza, il nuovo soggetto dovrebbe anche fungere da volano per lo sviluppo di un’industria italiana della cybersicurezza.

Le ultime mosse dell’Unione Europea in materiadi sicurezza e uso dei dati sono la prova di come a Bruxelles la cybersecurity sia uno degli argomenti più caldi e importanti. Proprio in questi giorni Bucarest, in Romania, è stata scelta come sede del futuro Eccc, European cybersecurity industrial technology and research competence centre.

L’Eccc, che aprirà i battenti nel corso del 2021, opererà in parallelo con l’Agenzia dell’Unione europea per la sicurezza delle reti e dell’informazione (Enisa), e avrà il compito di gestire i finanziamenti comunitari per i progetti di ricerca nel campo della cybersecurity. La creazione dell’Eccc comporta anche che ogni Stato membro dell’Unione si doti di un centro nazionale, e il famoso Istituto italiano di Cybersicurezza sarebbe il soggetto naturale per accogliere queste direttive europee.

Ma il triangolo Conte-Maggioranza-Servizi segreti ha complicato tutto e forse inquinato il dibattito. Resterà da scoprire se e quando il nuovo organo rientrerà dalle finestre e soprattutto quale sarà la sua dotazione. I quasi 250 milioni in cinque anni della prima bozza erano indicativi. Mentre i 10 stanziati nella seconda stesura del tutto insufficienti. Basti pensare che la Germania, nell’agosto scorso, ha stanziato 350 milioni per una propria struttura con lo scopo di sviluppare tecnologie sicure per proteggere gli asset nazionali. La Francia invece ha puntato molto di più sulla commistione coi privati. Nella primavera di quest’anno ha annunciato la nascita del Campus Cyber, un’entità a partecipazione pubblica e privata e che inizierà ad operare nel settembre del 2021 con un costo annuale tra i 20 e 30 miliardi.

Iscriviti al nostro canale Telegram