LA SICUREZZA, UN BENE COMUNE DA TUTELARE.
Intervista Vip a Bruno Frattasi
“La strategia che serve è basata anzitutto sulla protezione cibernetica degli asset nazionali, ma anche sull’attenzione e sulla consapevolezza. Solo da una presa di coscienza forte del problema possono nascere gli investimenti e la riorganizzazione aziendale necessari a far fronte, insieme, alla minaccia”. Il Prefetto Bruno Frattasi, Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale, offre uno sguardo ampio sulle dinamiche connesse al rischio cyber, che presenta implicazioni in tutti gli ambiti della vita sociale, economica, chiamando in causa la responsabilità delle Istituzioni e delle classi dirigenti di ogni angolo del pianeta. 
Direttore, partirei dalla stretta attualità. Il recente vertice a Palazzo Chigi è la dimostrazione netta del peso strategico che riveste la protezione dello spazio cibernetico nella società digitale. I conflitti in Ucraina e in Medio Oriente rendono il quadro più complesso. Qual è il livello di rischio delle nostre infrastrutture critiche?
Gli attacchi ci sono stati e sono aumentati anche a causa dei conflitti geopolitici, ma ricordiamoci che l’Italia viene attaccata ogni giorno da criminali in cerca di profitto: lanciano campagne di phishing, in particolare di tipo Bec (business e-mail compromise), oppure diffondono ransomware per estorcere denaro. Lo abbiamo visto soprattutto nel settore manifatturiero, energetico e delle vendite al dettaglio. L’Italia è terza in Europa e sesta nel mondo per attacchi ransomware. Il motivo per cui questo accade è molto chiaro, l’Italia è un paese del G7, tra le prime manifatture in Europa e con un capillare sistema bancario.
Un tema sempre più sentito è quello relativo all’awareness. Il capitale umano rimane il fattore di forza ma anche di fragilità delle organizzazioni produttive. ACN è molto impegnata su questo fronte, cosa si può fare rafforzare le competenze digitali e far crescere una consapevolezza diffusa sui rischi che l’uso della rete e degli strumenti digitali oggi comporta?
Noi abbiamo proposto di avviare gli studenti allo studio dell’informatica e della cybersecurity già dalle scuole elementari. È importante partire dai più piccoli perché, come mi piace dire, i bambini a quell’età sono creta da plasmare a livello formativo ed hanno grande apertura mentale. Non tutti da grandi dovranno lavorare nel settore, ma a scuola si insegna anche la musica e certo non tutti da grandi faranno i musicisti. È importante dotare tutti di solide competenze di base affinché abbiano conoscenza e consapevolezza delle opportunità e dei rischi che l’uso del mezzo digitale, e in particolare dell’Intelligenza Artificiale, comporta.
L’impegno di ACN sul fronte della formazione avanzata
L’accordo di collaborazione che l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito con la Conferenza dei Rettori delle Università Italiane, finalizzato a promuovere lo sviluppo di attività formative di cultura del digitale, aprirà capitolo nuovo nel modo di approcciare il digitale. Quali iniziative intendete attuare?
Partiamo da una premessa. Prima di entrare nel merito della sua domanda mi consenta di dire che l’Italia ha bisogno di crescere, come tutti gli altri paesi europei, nelle competenze di carattere digitale. Il divario è ancora troppo elevato rispetto al fabbisogno, anche se i numeri in questo ultimo anno tendono lievemente a crescere. Cosa bisogna fare dunque? Bisogna investire nella formazione, non solo quella universitaria e post-universitaria, ma anche in quella che riguarda il ciclo scolastico secondario, licei e ITS.
Sotto il profilo universitario e post-universitario certamente l’accordo di collaborazione con la CRUI rappresenta il presupposto necessario perché l’Accademia possa introdurre percorsi formativi di laurea e post laurea che abbraccino il tema digitale e in particolar modo quello della cybersicurezza. Infine, vorrei ricordare anche il ruolo che può svolgere la formazione da parte delle Digital Academy, ossia i centri di formazione e di competenza che enti pubblici e grandi società stanno costruendo.
ACN sta investendo 20 milioni di euro per un sistema di supercalcolo avanzato per il monitoraggio della minaccia cyber. Quali sono gli obiettivi di questa importante iniziativa?
L’obiettivo è quello di avere informazioni in tempo reale sullo stato della minaccia cibernetica nel nostro paese. Nelle nostre intenzioni questo sistema di calcolo consentirà all’Agenzia di diventare un protagonista anche nel campo dell’Intelligenza Artificiale. Il sistema, infatti, darà maggiori capacità e consentirà all’Agenzia di contribuire allo sviluppo di strumenti in grado di rilevare le minacce e i rischi informatici con maggiore precisione e prontezza, contribuendo così alla resilienza del sistema Paese. Complessivamente, gli investimenti per la realizzazione del centro di calcolo, l’acquisizione dei sistemi HPC (High Performance Computing) e i costi operativi e di gestione saranno dell’ordine di circa 50 milioni di euro, di cui oltre 20 messi a disposizione dall’ACN.
Un grande investimento che sostiene e consolida il ruolo del Mezzogiorno nell’ambito dell’innovazione tecnologica. Con questo progetto l’infrastruttura di calcolo nazionale si arricchisce di un importante nodo HPC, integrato nel sistema europeo di supercalcolo. Il sistema, collocato presso la sede del Cineca di Napoli, infatti, farà parte di una rete di sistemi complementari del super computer Leonardo, e consentirà di supportare non solo le applicazioni consolidate della fisica, della chimica, delle scienze ambientali e dell’ingegneria, ma soprattutto le applicazioni di apprendimento automatico e di intelligenza artificiale sia classica che generativa.
La ricerca di un modello di governance condivisa della rete
Si sta cercando di attuare una governance della rete, nel tentativo di garantire la Privacy, i diritti della persona e la trasparenza oltre che la sicurezza delle transazioni e delle relazioni sul web. Rodotà vagheggiava la definizione di una “Costituzione per Internet”. Con il Metaverso e l’avvento delle “minacce ibride” (lo si sta vedendo molto bene con il conflitto in Ucraina) la sfida etico – giuridica oltre che tecnologica diventa ancora più alta, rendendo attuale quella intuizione. Come va affrontato questo “secondo tempo” di Internet e del digitale?
La sua domanda pone il tema delle cosiddette disruptive technologies, tra le quali non solo va incluso lo sviluppo di IA e algoritmi, ma anche la crittografia post quantum, che ci servirà a difendere meglio i nostri dati, proprio rispetto a un uso malevolo dell’IA da parte degli attaccanti. Non dimentichiamo che l’Intelligenza Artificiale è una tecnologia dual use, che cioè si presta ad essere utilizzata sia da chi ha intenzione di rivolgere un attacco verso una superficie digitale, sia da chi da quell’attacco deve difendersi. A causa dell’IA sarà possibile, ad esempio, mettere a punto campagne di spear phishing più insidiose.
L’utilizzazione dell’Intelligenza Artificiale passa attraverso l’uso di una regolazione il più possibile condivisa sulle regole e sui criteri che dovranno presiedere allo sviluppo di questo formidabile strumento. Si è più volte ripetuto che il problema non sta tanto nella potenzialità distopica dello strumento ma nella nostra capacità di stabilirne i confini, quel famoso guard rail di cui parla padre Paolo Benanti. Il problema, tuttavia, è questo: l’Europa si sta dotando di un Regolamento, non mancano le differenze e le divisioni sulla sua visione complessiva, ma, nonostante l’Europa sia una Federazione di paesi con storie politiche diverse, a forza di compromessi sta faticosamente raggiungendo un punto di arrivo, e nel 2024 si spera che il Regolamento europeo diventi una realtà.
Fin qui il vecchio Continente, nel resto del mondo cosa accade?
L’Europa rappresenta però una parte del mondo Occidentale, e non sappiamo se negli USA questa posizione sarà completamente condivisa e se altri paesi che si affacciano come potenze mondiali, abbiano o non abbiano in mente la stessa idea di sviluppo dell’IA. Sappiamo, ad esempio, che in Cina esistono delle forme di IA per fare il rating sociale che non sono accettabili dal sistema valoriale occidentale ed europeo, in cui si dà centralità ai diritti fondamentali della persona.
Qualche giorno fa il fisico italiano, premio Nobel, Giorgio Parisi, ha detto – e trovo del tutto ragionevole questa posizione, peraltro così autorevole – che in tema di intelligenza artificiale bisogna arrivare allo stesso tipo di accordo attraverso il quale le potenze globali sono giunte ai trattati di non proliferazione nucleare. Si tratta di concordare su principi basilari orientati alla protezione della persona e della dignità umane e al ripudio di un uso dell’IA contrario a questi principi, cioè a un uso rispettoso degli individui che non devono essere considerati soggetti da sfruttare, si pensi alla profilazione commerciale e all’orientamento di gusti e comportamenti. Poi, certo abbiamo il grande tema dell’IA al G7 del prossimo anno. Un tema, direi in conclusione, rilevantissimo anche per l’Italia che avrà il ruolo e la responsabilità di guidare questo nuovo e importante esercizio.
Autore: Massimiliano Cannata
