Finalmente ci siamo. Lo scorso 17 luglio è entrato in vigore in Italia il DDL sulla Cybersicurezza. Uno strumento in più sul fronte della sicurezza informatica che ha l’obiettivo di “assicurare una più elevata capacità di protezione e risposta a fronte di emergenze cibernetiche”, rafforzando la sicurezza nazionale a favore delle Pubbliche Amministrazioni, delle imprese e dei cittadini.
Il tutto anche attraverso una governance centralizzata sugli aspetti della sicurezza e disposizioni per la prevenzione e il contrasto dei reati informatici, contando inoltre sul rafforzamento delle funzioni dell’Agenzia per la Cybersicurezza nazionale e al suo coordinamento con l’autorità giudiziaria.
Indice degli argomenti
DDL sulla Cybersicurezza, un gap da colmare
La misura appena approvata era molto attesa e mira a colmare il grave gap attuale tra esigenze di mercato e competenze. Il contesto nazionale in cui si inserisce è infatti di grande criticità perché, come ci ha ricordato recentemente il Clusit, l’Italia si è tristemente guadagnata nello scorso anno il quarto posto sulla scena globale per numero di attacchi dietro solo a Stati Uniti, Giappone e India, con una percentuale pari all’11% in più di attacchi rispetto al resto del mondo.
In particolare, negli ultimi dieci anni gli attacchi verso l’Italia sono decuplicati: + 65% tra il 2022 e il 2023, rispetto a un +12% a livello globale. Un divario che, oltre a non farci fare una bella figura sulla scena mondiale, mette a rischio la nostra economia, il nostro sviluppo, la nostra credibilità e affidabilità e richiede uno sforzo molto più importante di quanto fatto fino ad ora da parte sia del pubblico sia del privato e di cui la legge ribadisce la necessità.
Partire dal fattore umano puntando sulla formazione delle persone
Certo, azzerare completamente il pericolo di attacchi è molto difficile ma è possibile lavorando sul fattore umano. Sappiamo bene infatti che rappresenta la maggiore vulnerabilità e che fino a quando i pirati informatici troveranno persone distratte e inconsapevoli dei loro comportamenti digitali, riusciranno ad aggirare anche le più forti protezioni tecnologiche e legislative. Anche perché la sicurezza informatica delinea un processo continuo, che richiede un impegno costante nel quale devono essere tutti coinvolti e svolgere il proprio ruolo con grande responsabilità.
Ora, dunque, non ci sono più scuse, anche gli strumenti legislativi ci indicano la strada che non ammette deviazioni: una crescente consapevolezza della materia e dei rischi informatici da parte di tutti, dalle amministrazioni, alle aziende, ai privati cittadini, per una diffusione massiva della cultura del rischio cibernetico.
Una formazione adeguata, differenziata e sempre aggiornata
La formazione rimane dunque un pilastro di questo percorso, senza il quale tutto il castello di protezione è destinato a crollare. Parliamo però di una formazione adeguata alla sfida, differenziata negli strumenti, aggiornata costantemente alle ultime novità in materia di rischio cyber, che preveda slot brevi ma quotidiani e mirate esercitazioni pratiche. E che sia soprattutto organizzata in base al livello di conoscenza personale di ogni utente. Ciascuno deve essere messo nelle condizioni di riconoscere da lontano l’’odore’ di un attacco e di trasformarsi in una roccaforte di protezione per sé stesso e per l’azienda o l’organizzazione per cui lavora.
Solo così sarà possibile allontanare l’hacker di turno che andrà a cercare di fare danni altrove. Fino a che non ci sarà più nessun “altrove” da derubare e ricattare. Ecco, a quel punto, il crimine potrà dirsi sconfitto, almeno per un po’.
Anche perché, il nuovo decreto avrà impatti in particolare su alcuni settori strategici e che, non a caso, sono tra i più presi di mira dai criminali: la finanza, la sanità e l’energia.
Questi saranno soggetti a requisiti di sicurezza particolarmente rigorosi e dovranno rafforzare i loro sistemi informatici. Anche sulla Pubblica Amministrazione, tra i settori più colpiti dai cyber criminali, ricadono obblighi stringenti, pena sanzioni che possono andare dai 25 ai 125 mila euro nonché responsabilità a carico dei dirigenti preposti.
Non ci sarà dunque più posto per incapacità, incompetenze, tentennamenti. Davanti ad un nemico molto scaltro ci si deve presentare preparati, con l’equipaggiamento giusto e con una strategia vincente. Le nuove misure mirano proprio a questo e, soprattutto, a compattare il Sistema Italia intorno a una sfida molto alta e che sembra non voler fare sconti a nessuno. Non solo, rappresentano anche un atto dovuto nei confronti di tutti quei paesi che in Europa sono più avanti di noi e con i quali intratteniamo quotidianamente scambi politici ed economici.
DDL sulla Cybersicurezza, un adeguamento alla Direttiva Europea Nis2
La legge fa, infatti, seguito al Nis2, l’ultima Direttiva Europea sul Cyber Crime a cui l’Italia dovrà necessariamente adeguarsi entro il 24 ottobre di quest’anno.
Un passo avanti, dunque, necessario sul piano legislativo a cui dovrà seguire non solo l’atto legislativo in recepimento della direttiva europea ma soprattutto un adeguamento sul fronte degli investimenti, delle risorse umane e di una formazione che non potrà più permettersi di essere inadeguata rispetto alla sfida che abbiamo davanti.
La strada da fare è lunga e non permette soste. Ma può essere anche molto divertente e motivante. Bisogna solo decidere di partire e di farlo con il piede giusto.
Con l’evoluzione della tecnologia e la diffusione di nuovi strumenti come ChatGPT è importante che non solo gli individui in quanto tali, ma anche come membri di organizzazioni pubbliche e private, siano formati e aggiornati. Infatti, se da una parte è possibile sfruttare l’Intelligenza Artificiale per semplificare la vita di tutti i giorni, questa può agevolare i criminali: è importante quindi sviluppare una cultura aziendale digitale, investendo sul fattore umano in maniera preventiva. Consapevolezza e formazione sono le armi più efficaci contro le minacce informatiche come il phishing.