Il prefetto Bruno Frattasi, nuovo direttore generale dell’Agenzia per la Cybersicurezza nazionale, spiega l’importanza di investire nella difesa delle infrastrutture del Paese
Il prefetto Bruno Frattasi, 67 anni, napoletano, sposato con due figli, nel corso della sua carriera ha scalato i vertici del Viminale: coordinatore del comitato Casgo (Coordinamento per l’alta sorveglianza delle grandi opere); direttore centrale al dipartimento Ps del coordinamento Forze di polizia; capo ufficio Affari legislativi; capo dipartimento dei Vigili del Fuoco; responsabile dell’agenzia dei beni sequestrati e confiscati. Oggi è il nuovo direttore generale dell’Agenzia per la cybersicurezza nazionale (Acn). Con Frattasi, che è sulla tolda di comando di questo organismo delicatissimo (Acn) per la difesa delle infrastrutture strategiche digitali del Paese in anni difficili, abbiamo provato a fare il punto sullo stato dell’arte della sicurezza nazionale. Da anni, infatti, i reati virtuali (commessi online) sono di più di quelli commessi nel mondo reale.
Signor prefetto quali sono le armi che abbiamo per difenderci da un nemico subdolo che ci colpisce quotidianamente e spesso non sappiamo nemmeno da dove ci arrivano questi attacchi informatici?
La prima linea di difesa è la consapevolezza. Bisogna sapere che più la nostra società diventa digitale, più diventa fragile, per due motivi: aumenta la superficie d’attacco e lo farà in maniera crescente; aumenta correlativamente uno dei principali fattori di vulnerabilità, il fattore umano, nell’uso degli strumenti che ogni giorno usiamo per lavorare e socializzare. L’interconnessione digitale delle nostre attività va difesa con i comportamenti corretti. Per un singolo questo può volere dire non cliccare sull’email che proviene da un mittente sconosciuto, per l’azienda significa dotarsi di strumenti di protezione adeguati al livello di rischio che fronteggia.
Quanto è importante far comprendere ai cittadini e alle imprese che la cybersecurity non è una spesa ma un investimento sul futuro?
È importantissimo comunicare che spendere in sicurezza ci aiuta a risparmiare, quindi è un investimento, ed è allo stesso tempo un atto di responsabilità e di protezione verso noi stessi e verso gli altri, come avviene per l’assicurazione. Ma a livello pubblico e istituzionale è ancora più importante: quando si erogano servizi pubblici essenziali, è buona policy aziendale. Investire sul futuro vuol dire far crescere talenti e la nostra tecnologia.
Aumentano i crimini informatici. Sono previsti anche aumenti degli organici delle Forze di polizia e della stessa agenzia per fermare i criminali del web?
È indubbio che l’Agenzia dovrà crescere e rapidamente, in maniera da irrobustirsi immettendo risorse nuove e motivate al suo interno, e quindi continuiamo a investire sul capitale umano. Tengo a sottolineare che noi non ci occupiamo di cybercrime perché l’Agenzia non appartiene al mondo del law enforcement, noi facciamo resilienza e sorveglianza. Il nostro lavoro come Acn è quello di monitorare la minaccia cibernetica, individuarla e attivare la necessaria filiera di collaborazione con le Forze di polizia e gli organi istituzionali per fronteggiarla. Se ci viene richiesto, possiamo, dopo un incidente informatico, intervenire con i nostri esperti per mitigare l’eventuale problema insorto. È già accaduto nel caso degli attacchi agli ospedali lombardi e piemontesi, alle Ferrovie dello Stato e ai ministeri.
C’è collaborazione, scambio di esperienze e anche coordinamento tra l’Agenzia che lei dirige e agenzie o altre istituzioni di altri Paesi in tema di lotta internazionale al crimine sul web?
Assolutamente sì. Internet non ha confini, quindi è d’obbligo collaborare con altri Paesi europei e alleati per anticipare gli attacchi e prevenire i rischi. La nostra agenzia è costantemente in contatto con gli omologhi europei e funge da centro di contatto verso le istituzioni di cybersicurezza europee e internazionali. Un ruolo questo, e una capacità operativa, che ci sono stati riconosciuti anche dal segretario Nato Jens Stoltenberg. Inoltre, partecipiamo anche a esercitazioni operative congiunte con gli alleati e a iniziative internazionali di contrasto al fenomeno dei ransomware, i software malevoli che cifrano dati e sistemi per ottenere un riscatto da parte dei criminali cibernetici.
La digitalizzazione richiede anche nuove competenze nel campo della sicurezza. Gli Istituti di formazione costituiscono un asset fondamentale per il sistema integrato di sicurezza italiano. C’è un piano per migliorare e riqualificare le competenze delle risorse umane dell’agenzia che lei presiede e anche nelle Forze di polizia con cui lei agisce in stretta collaborazione e coordinamento?
L’Italia ha già fatto molto in questa direzione. Le università hanno moltiplicato corsi di laurea, borse di studio e dottorati nella cybersecurity; le scuole hanno avviato iniziative di informazione e formazione sul tema, gli istituti tecnici attraverso le ITS Academy si preparano a formare i futuri cyberdefender proprio su nostro input. Noi sosteniamo molte di queste iniziative. Pensi soltanto alla Cyberchallenge, che è la gara di formazione competitiva dei giovani dai 16 ai 23 anni organizzata ogni anno dal Consorzio interuniversitario nazionale per l’informatica, Cini, col nostro supporto, che ogni anno porta gli studenti italiani a simulare eventi cibernetici di attacco e difesa per selezionare i migliori che faranno parte della nostra nazionale di hacker buoni, da far competere a livello europeo con le altre nazionali.
L’attenzione alla cybersecurity è entrata anche nel codice degli appalti, in quali termini?
Un articolo del codice stabilisce che le stazioni appaltanti pubbliche, nel momento in cui comprano beni e servizi informatici per la pubblica amministrazione, devono tenere sempre in considerazione gli elementi di cybersicurezza nella valutazione complessiva dell’offerta, soprattutto se l’utilizzo di questi beni o servizi è connesso alla tutela degli interessi nazionali strategici. La norma vale per le amministrazioni pubbliche, i concessionari di opere pubbliche, le società partecipate e le centrali di committenza come, per esempio, Consip, ma anche per altri enti e società.
Come si può garantire la sicurezza di un’economia sempre più digitale equilibrando lo sviluppo di unità di intelligence, security digitale e il rafforzamento dei servizi di sorveglianza tradizionale?
Mettendo insieme consapevolezza, informazione, formazione, cultura, in un quadro nazionale ed europeo il più possibile chiaro, che non dia spazio a incertezze applicative e a zone d’ombra. Però consideri che la sicurezza assoluta, il cosiddetto rischio zero, non si potrà mai realmente raggiungere. Tuttavia, mi fa piacere registrare un interesse crescente sul tema della sicurezza cibernetica, segno che si sta facendo strada una consapevolezza sul tema da parte di molti.
Non crede che ci sia scarsa attenzione pubblica rispetto ai reati informatici? Possiamo dare qualche consiglio minimo ai cittadini che ogni giorno possono trovarsi di fronte a mail sospette, messaggi virus sullo smartphone e altre insidie del web?
Io credo che sia un’attenzione altalenante. Quando a essere attaccato è un target importante, ad esempio di carattere istituzionale, l’allarme tende a salire anche se gli attaccanti non producono danni gravi e permanenti. È il caso degli attacchi Ddos ai ministeri, mentre ogni giorno i cittadini sono oggetto di truffe finanziarie che fanno meno rumore. Ci vuole grande equilibrio da parte di tutti. Gli stessi media possono farsi portavoce di questa istanza, suggerendo di adottare le regole minime di igiene cibernetica e cioè aggiornare sempre i sistemi, usare pin e password anche per il proprio telefono, usare dei software di protezione come gli antivirus, fare una copia digitale dei documenti importanti e, aggiungerei, non credere alle favolette di chi ci contatta per dirci che abbiamo vinto un telefono nuovo o una macchina nuova.
