Budget limitato e grande vulnerabilità La sfida del Comitato sulla Cybersecurity

Unicredit inciampa negli hacker e si torna a parlare di cybersecurity, pochi giorni dopo l'intervista al Corriere della Sera nella quale Marco Carrai rispolvera le polemiche per la sua mancata nomina a capo dell'Unità cybersecurity di Palazzo Chigi, quando premier era il suo amico Matteo Renzi. «La mia squadra oggi è in grado di hackerare un pacemaker», spiega Carrai a proposito dell'unità mai creata. E sostituita dal battesimo, a febbraio, del «comitato nazionale per la ricerca in Cybersecurity», costituito da Cnr e Cini, Consorzio interuniversitario nazionale per l'informatica, e coordinato da Roberto Baldoni. Al comitato spetterebbe il compito di rinforzare gli anticorpi nazionali alle minacce informatiche, ma l'attacco a una banca dimostra che il lavoro è lungo. E non solo. «Di incidenti come questo ne sentiremo parlare sempre più spesso», spiega l'esperto di cybersicurezza Alessandro Curioni, «perché un nuovo regolamento europeo operativo da maggio prossimo impone alle aziende vittime di episodi simili di denunciare, prevedendo per chi non lo fa sanzioni molto severe». Insomma, gli attacchi hacker che restano sommersi emergeranno. E forse aumenteranno la consapevolezza della dimensione del problema. In un mondo in cui l'interconnessione dei sistemi informatici, come spiega ancora Curioni, se da un lato offre grandi opportunità dall'altro è un punto di vulnerabilità. Dalle infrastrutture critiche alle reti istituzionali, dalle grandi società alle piccole imprese e fino ai privati (solo in Italia sono 25mila ogni anni i furti di identità di privati cittadini che finiscono «pescati» nella rete), il tema della cybersecurity nel Bel Paese è affrontato più a parole che con i fatti. E se Carrai evoca la possibilità di «spegnere» un pacemaker con un attacco informatico, solleva un problema reale. «Si può hackerare una diga - spiega ancora Curioni - o, come è successo, i dati di un ospedale, e di mancata cybersecurity, insomma, si può morire». Solo che in Italia il budget di spesa stanziato dalle aziende, piccole o grandi che sia, è minimale. E le «unità» mancate o i «comitati» appena nati hanno un bel po' di lavoro da fare, lavoro per il quale servono risorse umane e finanziarie. «E magari - suggerisce Curioni - un bel piano nazionale che preveda agevolazioni e sgravi per chi investe in sicurezza informatica», più o meno ricalcando il modello della sicurezza sul lavoro. Perché al momento, fuori dal pubblico, l'impresa che intenda preoccuparsi della cybersicurezza deve fare da sé o affidarsi al fato. «Non ci sono forme di supporto da parte dello Stato, e la sicurezza costa», aggiunge l'esperto. E in fondo nemmeno il Miur, che dovrebbe averlo come missione, si preoccupa di informare gli studenti sui pericoli potenziali che può affrontare chiunque abbia uno smartphone in tasca. Basterà un comitato a fare azione sul governo per ottenere una politica che consideri davvero, concretamente strategica l'attenzione alla cybersicurezza sia del pubblico che del privato? In ballo ci sono anche un sacco di soldi. «Il giro d'affari criminale - aggiunge Curioni - è di circa 550 miliardi di dollari».