Cinquantamila.it La storia raccontata da Giorgio Dell'Arti

La riforma della sicurezza cyber si farà, anche senza Marco Carrai. Il decreto del presidente del Consiglio è pronto da settimane, tanto che i collaboratori del premier ne davano per certa l’approvazione entro metà luglio. Invece si è congelato tutto. Visto il difficile clima politico, Matteo Renzi ha chiesto all’amico di pazientare ancora: prima del referendum costituzionale di autunno, non può permettersi di fare una nomina che attirerebbe polemiche inevitabili. Per Carrai l’attesa comincia a diventare un problema: da mesi l’attività della sua Cys4, società specializzata in cyber security, è congelata in attesa della nomina a Palazzo Chigi, e l’imprenditore fiorentino era già pronto a metterla in liquidazione, così da evitare ogni accusa di conflitto di interesse (tanto basta un attimo, finito l’incarico pubblico, ad aprire un’altra azienda e ripartire con il business). Invece ora Carrai e la Cys4 restano nel limbo.
Ma Renzi non può permetterselo. Il 27 luglio il consigliere militare del premier, il generale Carmine Masiello, è stato sentito in audizione dalla commissione Difesa della Camera. Ha parlato di due attacchi informatici contro l’Italia. Del primo si era saputo a febbraio, grazie a un’inchiesta della Procura militare di Roma: il gruppo di hacker Apt 28, considerati vicini o addirittura organici al governo russo, per mesi tra 2014 e 2015 hanno violato la sicurezza del ministero della Difesa italiano (e di altre istituzioni in Europa) rubando segreti. Niente di sensibile, ha assicurato il ministro Roberta Pinotti. Ammesso che davvero non abbiano trovato nulla, è un segnale di debolezza preoccupante. Il generale Masiello, che è a capo del Nucleo di sicurezza cibernetica, ha parlato di “ripetuti attacchi malevoli e rilevanti ai danni di amministrazioni dello Stato”. E oltre a quello degli hacker russi, “c’è stato anche un altro caso che ha interessato un’altra amministrazione, che è stato prontamente gestito a livello di Nucleo, dove sono state raccordate le informazioni e sono state individuate le soluzioni, per porre fine a questa attività”, ha detto Masiello.
Visto che l’Italia è un membro, oltre che dell’Unione europea, della Nato, ogni falla nella nostra muraglia di difesa informatica è una porta di accesso ai nemici dell’Alleanza atlantica. E i nostri partner militari, a cominciare dagli Stati Uniti, osservano con una certa apprensione l’arretratezza dell’infrastruttura cyber dell’Italia. “La Francia e la Germania investono nel contesto cyber circa un miliardo di euro ciascuna; la Gran Bretagna 3 miliardi di sterline; noi viaggiamo nell’ordine di poco sopra i 150 milioni di euro. Questo vi lascia immaginare quale sia la nostra situazione”, ha detto l’esperto di sicurezza Andrea Margelletti in un’altra audizione alla Camera.
L’Isis è sempre più attivo anche in campi di battaglia virtuali. E l’Unione europea per la prima volta invade il dominio finora riservato agli Stati nazionali, quello della sicurezza: con l’approvazione della direttiva Nis (sulla sicurezza delle reti e dei sistemi informativi), ogni Stato membro “designa un punto di contatto unico nazionale in materia di sicurezza delle reti e dei sistemi informativi”. Bisogna mettere ordine, insomma, in un settore che in Italia è in fermento da tempo ma senza indicazioni chiare dalla politica.
Per questo Renzi, dopo essersi consultato con Carrai, ha deciso di procedere comunque con il riordino: nascerà un nuovo coordinamento, responsabile di tutte le attività di difesa cyber. Restano esclusi spionaggio e controspionaggio, di competenza dei servizi segreti, e la parte di cyber offence, cioè di attacco, che ufficialmente non ha nessuna struttura. Il posto di “zar” della sicurezza cibernetica, alle dipendenze del sottosegretario con delega all’intelligence Marco Minniti (Pd), non andrà però a Carrai. Verrà scelto un tecnico, un’autorità riconosciuta in materia a cui affidare il coordinamento.
Per Carrai gli scenari sono a questo punto tre. Primo: Renzi perde il referendum e si dimette, in questo caso l’imprenditore evita di ottenere un incarico contestato e poi doverlo lasciare in tre mesi, in caso di sconfitta del suo sponsor. Secondo scenario: Renzi vince il referendum e, di nuovo saldo a Palazzo Chigi, congeda il tecnico e affida la nuova struttura a Carrai. Terza e più probabile opzione: la partita cyber per Carrai si chiude qui. Se Renzi vince il referendum, però, lo porterà comunque nella propria squadra, perché ha bisogno di qualcuno di cui potersi fidare. La cyber security, in fondo, è sempre stata più una giustificazione che una ragione valida per portare a Roma il sodale del premier nella scalata al potere: l’esperienza di Carrai nel settore della sicurezza è, in fondo, molto limitata visto che se ne occupa da meno di due anni.
di Stefano Feltri e Carlo Tecce, il Fatto Quotidiano 4/8/2016

DI STEFANO FELTRI E CARLO TECCE