Roberto Baldoni ha concepito e diretto la costruzione dei pilastri attuali della cybersecurity italiana: dal Perimetro di sicurezza nazionale cibernetica alla Strategia italiana di cybersecurity al 2026. Soprattutto, ha creato in poco tempo l’Agenzia per la cybersicurezza nazionale, ed è stato il suo primo direttore a 2021 (prima era vicedirettore del Dis) fino alle dimissioni del 2023. Non è stato facile costruirla, ricorda. “All’inizio l’agenzia aveva un solo dipendente: io”, dice Baldoni, che ancora oggi è un dirigente Acn. Quando dopo venti mesi ne ha lasciato la guida (oggi il Dg è Bruno Frattasi) i dipendenti erano diventati 170, con altri 60 posti in un concorso per tecnici recentemente ultimato. L’obiettivo è arrivare a 800 persone nel 2027, mentre intanto ci sono nuove incombenze: il ddl AI approvato dal Cdm per l’Agenzia prevede il ruolo di autorità italiana dell’AI, in coabitazione con Agid. Un ruolo che Baldoni considera “un’ottima notizia”.
Non è facile evitare di cadere nella retorica quando il discorso verte sull’importanza di mettere le ‘persone al centro’. Ma quando si parla di sicurezza e “sovranità” digitale, secondo Baldoni profondamente interconnesse, il concetto è impossibile da evitare. Trovare persone competenti per occuparsi della sicurezza cyber sarà sempre più importante e “sempre più difficile. Il dipartimento del Lavoro americano stima in 85 milioni i posti di lavoro non coperti nel digitale a livello globale nel 2030, di cui almeno il 10% nella sicurezza. Per questo è fondamentale curare la filiera dei nostri giovani, bloccandone l’emigrazione: Acn in questo è stata un baluardo anche grazie a salari di livello adeguato”, equiparati a quelli di Bankitalia.
Il paradosso è che gli esperti di cybersecurity che le aziende si litigano in tutto il mondo potrebbero non essere poi così esperti. “Se il Ceo di una grande azienda chiede al suo capo delle risorse umane di trovare tot persone, lui lo deve fare. E a un certo punto la soluzione potrebbe essere abbassare le skill tecniche e i controlli di sicurezza, con il rischio di mettersi in azienda persone non solo poco formate, ma addirittura malintenzionate”.
I pilastri della sovranità digitale
Non è un caso se le persone rappresentano uno dei pilastri di una futura sovranità digitale italiana, esposti da Baldoni nel libro ‘Charting Digital Sovereignty: a Survival Playbook’. Una sovranità su reti, servizi, AI, cloud: il libro fornisce una tassonomia delle minacce, e un modello di risposta per ognuna di esse. La piena sovranità digitale secondo Baldoni è “un riferimento ideale in continuo movimento in base ai rischi legati alle nuove innovazioni tecnologiche, come ChatGPT o i computer quantistici, alle catene di approvvigionamento e alle posizioni geopolitiche”. Ma una nazione deve cercare di ridurre la distanza dal suo obiettivo. Questa distanza “rappresenta la vulnerabilità normativa, tecnologica, organizzativa e strutturale della sovranità digitale di un Paese. Con l’Acn, ad esempio, abbiamo colmato un gap strutturale importante”. Il controllo delle informazioni è il primo pilastro essenziale: se è impossibile una conoscenza governativa completa sui dati generati in una nazione, dice Baldoni, la legge sul Perimetro di sicurezza nazionale cibernetica assicura un controllo sui dati di istituzioni e infrastrutture critiche la cui manomissione può generare problemi di sicurezza nazionale. Il secondo pilastro? Tecnologia e uomini. “Dal momento in cui prendo tecnologia critica da un altro Paese mi sto allontanando dal riferimento ideale di sovranità digitale”. Nessun Paese è però in grado oggi di essere autonomo tecnologicamente. Quindi per quelle tecnologie critiche che non si riesce a produrre, dice Baldoni, bisogna avere le competenze per analizzare cosa stiamo acquisendo e “controllare la resilienza delle catene di approvvigionamento”. Una forza lavoro fidata, fatta di tecnici, è l’altro fattore determinante per il secondo pilastro: “Se chi gestisce i dati di una infrastruttura critica non è fidato, o se non lo sono le società terze che lo fanno, anche in quel caso c’è un problema di sovranità digitale”. L’alternativa è affidarsi a multinazionali straniere, riducendo la propria autonomia strategica e politica.
Il terzo pilastro è la consapevolezza dei rischi cyber nella società e la cooperazione tra gli Stati. Baldoni dice che “a poco serve il controllo del dato e un loro processamento sicuro, se non c’è consapevolezza nella società dei rischi nel cyberspazio, dove i target sono anche i dirigenti, gli impiegati e i cittadini”. Ultimo pilastro: la collaborazione internazionale. “A minaccia globale, risposta globale”, incalza Baldoni. “Attacchi cyber e disinformazione, ad esempio, si combattono efficacemente attraverso coalizioni internazionali operative e ampie che includano il privato. Condizione necessaria per arrivare agli autori di attacchi cyber”.
La lezione (in arrivo) del quantum computing
Basta una novità, una singola innovazione, e quel gap con il riferimento ideale della sovranità digitale può trasformarsi nuovamente in una voragine. Quando i computer quantistici supereranno una certa potenza computazionale, qualsiasi dato protetto con uno schema di cifratura attuale potrà essere decrittato in poco tempo. Tutti i nostri dati diventeranno vulnerabili. Ma quanto è vicina questa minaccia? “Biden alla fine del 2022 ha emanato un atto esecutivo in cui impone a tutte le amministrazioni federali Usa il passaggio ai protocolli di cifratura post quantici entro il 2035”, spiega Baldoni. “La finestra temporale può sembrare enorme, in realtà non lo è. Bisogna selezionare algoritmi in grado di resistere ad attacchi di computer quantistici, procedere alla loro industrializzazione e alla ri-cifratura dei dati: quando esisterà un pc quantistico da una decina di migliaia di qubit il protocollo Rsa – utilizzato, ad esempio, per proteggere pagamenti e comunicazioni come le e-mail – sarà attaccabile e si potranno leggere le informazioni come se fossero in chiaro”. I tempi sono stretti: “Chi raggiungerà per primo queste potenze probabilmente non lo dirà immediatamente, sarà un vantaggio competitivo e di intelligence enorme”. La soglia dei mille qubit è stata superata nel 2023, dalla californiana Atom Computing. Intanto il provvedimento americano può fungere da punto di riferimento temporale: “Ovviamente ci si aspetta che per quel periodo noi riusciremo a raggiungere quelle potenze computazionali”. Le iniziative ci sono, prima di tutto negli Usa, ma anche in Europa si inizia a muovere qualcosa. Baldoni dice che la minaccia principale attuale alla sovranità digitale europea e italiana è legata alla eccessiva dipendenza da tecnologie extra-europee: “O arriviamo a un’integrazione reale del mercato che ci permetta di sviluppare politiche industriali e far nascere player di scala europea, o la dipendenza si trasformerà in una riduzione dell’autonomia strategica”.
