Preambolo: l’Italia soffre la mancanza di un Dipartimento della Homeland Security!
Come nei grandi film, iniziamo dalla fine; esattamente dall’interessante citazione fatta dal Questore di Milano Dr Petronzi, nel suo intervento di chiusura al convegno “Investigare 4.0”: “l’importante non è la caduta, ma l’atterraggio”.
Lo scorso 27 ottobre, a Milano, si è tenuto un interessante evento organizzato da AIPSA, sul come e perché la pubblica amministrazione (PA), come le organizzazioni strategiche per il Sistema Paese, debbano collaborare alla costituzione di un complesso sinergico, pubblico-privato, fondamentale per contrastare i sistematici attacchi cyber e le infiltrazioni della criminalità organizzata.
Un dibattito partecipato da diversi professionisti della security istituzionale e privata, e una occasione perfetta anche per pubblicizzare il libro “Investigare 4.0 – Criminologia e Criminalistica”, illuminante lavoro scritto a quattro mani dal Prefetto Rizzi (Polizia di Stato) e dalla Professoressa Giannini (UniRoma-Sapienza).
Una tavola rotonda dove ci si è posti il seguente interrogativo: la sinergia pubblico-privato in ambito security porterà vantaggi tangibili alle istituzioni/aziende e al privato cittadino?
Leggendo quanto riportato nella relazione dell’organismo permanente di monitoraggio sul crimine organizzato, possiamo certamente affermare come il post-pandemia abbia portato con sé cambiamenti radicali, non solo nei meccanismi economici ma anche negli interessi della criminalità organizzata, dotata di una impressionante liquidità da riciclare, che impatteranno negativamente su numerosi settori economici del Paese (sanitario, rifiuti, giochi e scommesse, logistica, energia, etc); infiltrazioni favorite, in parte, proprio dalla grave carenza di analisi di intelligence interna alle organizzazioni, e di adeguati esperti, posti ad argine di certe fenomenologie criminose.
La Dottoressa Dolci, Procuratore aggiunto della DDA Milano, ha subito rimarcato l’importanza della cosa, definendola, senza troppi giri di parole, una faccenda irrinunciabile, dato il rischio reale, e vista la crescente crisi generale del comparto imprenditoriale, settore dove la ndrangheta è già da tempo operativa, inserendosi financo nella gestione dei servizi di security (IVP).
Ancora più interessanti le parole del Dr Chittaro e del Dr Manfredini, professionisti della security certificati UNI 10459, rispettivamente presidente e vice presidente di AIPSA, che in buona sostanza rammentavano, ai tutti, il costante impegno dell’associazione proprio sui temi oggetto dei lavori, evidenziando, soprattutto Manfredini, l’importanza della collaborazione tra aziende/fornitori di servizi pubblici e PA, per attivare quel fronte comune che difenda il sistema dal continuo evolversi dei rischi, come le infiltrazioni criminali nel tessuto economico, e non ultimi gli attacchi di cybercrime.
Tutti argomenti che hanno amplificato positivamente quelli affrontati due giorni prima (25 ottobre) nella lectio magistralis tenuta a Roma Tre dal Prefetto Giannini, Direttore generale della pubblica sicurezza, laddove il Capo della polizia enfatizzava come il contrasto alla minaccia criminale, in particolar modo a quella di matrice eversiva attuata con metodi terroristici, deve essere sempre più approcciato attraverso la cooperazione sinergica di una sicurezza partecipata che coinvolga in primis il legislatore, mediante una attività normativa mirata e specifica, in modo tale che le forze di polizia, le istituzioni giudiziarie, l’intelligence, e la security aziendale possano utilizzare un simile strumento in maniera corale nel contrasto alle situazioni di forte esposizione al rischio.
Infatti, proprio l’avvento della minaccia terroristica ISIS, di matrice fondamentalista, ci ha fatto ben comprendere come questi pericoli non possono essere più affrontati in maniera avulsa, ma è fondamentale l’azione collettiva, dove importantissima è la condivisione delle informazioni.
Sappiamo come i “nuovi” terroristi si siano adeguati tecnologicamente, giacché sono in “Rete”: in modalità realtime, utilizzano il supporto tecnologico fornito loro dal web, come una formidabile piattaforma mesh, disseminando i loro messaggi di propaganda destabilizzante, attaccano a livello cyber.
Ed è proprio su questo “nocciolo” che il DG della Polizia ha focalizzato l’attenzione, evidenziando la necessità di unirle queste forze, stimolando così una nuova formula nel fare sicurezza!
Un esempio ne è la collaborazione “informativa” tra la società civile e la polizia giudiziaria, che ha dato buoni risultati nel contrasto dei reati consumati sul web, peraltro aumentati esponenzialmente durante il periodo di look-down imposto.
Tuttavia, già dieci anni fa si parlava del problema sollevato dal Prefetto Giannini, proprio nella relazione annuale 2012 del COPASIR, dove a pag. 30, nel quinto capoverso, si leggeva: …«È evidente, pertanto, l’esigenza di un costante dialogo tra il Sistema di informazione per la sicurezza e il mondo della sicurezza aziendale, anche in una logica di partecipazione e di divisione di compiti per gli obiettivi comuni o in funzione sussidiaria per determinate finalità specifiche. Perché ciò possa realizzarsi è indispensabile che la security aziendale sia dotata di adeguati requisiti di qualificazione ed affidabilità»…
Sin dalle prime battute di agenzia il nuovo Coronavirus ci apparve subito pericoloso e inquietante, ma tuttavia, quando cominciammo a preoccuparcene seriamente mai avremmo pensato che col passare delle settimane la faccenda avrebbe sconvolto il pianeta intero, trasformando la vita di ciascuno noi, sconvolgendo la sicurezza delle infrastrutture pubbliche, annullando persino i protocolli sanitari; insomma, ci siamo resi conto che, nonostante i falsi propositi di certe politiche sulla sicurezza, siamo ancora fortemente esposti, vulnerabili a diversi rischi!.
Dunque, siamo da capo?! Non è che dopo vent’anni siamo sempre li, fermi a quel 11 settembre dell’anno del Signore 2001 che ha segnato la svolta epocale nel modo della sicurezza mondiale?
D’altra parte, se non è per mano dei terroristi, stavolta ci ha pensato davvero la natura a mettere in luce tutte le vulnerabilità dell’intero sistema!
Le twin towers evidentemente non hanno fatto ben riflettere la politica su quel cigno nero che doveva condurci a considerare una circostanza tanto nuova, quanto dannatamente scontata: il world trade center non rappresentava solo il monumento dell’economia globalizzata, ma piuttosto la globalizzazione delle vulnerabilità, sottovalutate, di ogni singolo Sistema Paese.
E se è vero quanto detto sin ora, beh ecco allora spiegato il perché questa emergenza sanitaria causata dalla pandemia da SARS-2, sia stata una severa prova del nove!
Del resto, oltre alle criticità sanitarie, in questi mesi abbiamo fatto i conti con svariati attacchi cyber che hanno palesemente mostrato le macroscopiche vulnerabilità operativa dei sistemi (sanitario, amministrativo, istituzionale, etc), ad esempio, in condizioni di smart working; addirittura, in questi ultimi giorni è stato penosamente “bucato” il famigerato sistema di gestione del green-pass, ennesima figura barbina collezionata nel perimetro della cyber security!
Dunque, ci appare chiaro come gli aspetti della sicurezza globale del nostro Sistema Paese vadano esaminati attraverso una lente focalizzata sui tre punti centrali che lo compongono: cittadino, azienda e istituzione, tre elementi, che andranno sempre considerati interconnessi e interdipendenti, essendosi ormai estese le superfici delle singole vulnerabilità (cyber, finanza, economia, etc).
E proprio da questi ragionamenti che ci appare ancora più chiaro, come una tale risposta possa darla unicamente un manager della sicurezza, garantito, che funga da interfaccia Humint con gli apparati istituzionali, per concretizzare nei fatti, appunto, il concetto di quella sicurezza partecipata e integrata sin qui detta, a cui però andranno concesse tutte quelle garanzie funzionali previste nell’esercizio delle pubbliche funzioni, laddove esercitate, sulla falsariga di quanto accade oggi, ad esempio, nella magistratura onoraria, dove operano fattivamente figure professionali con competenze giuridiche pari a quelle dei ruoli ordinari.
Ecco perché, oggi più che mai, serve un intervento legislativo definitivo e non più rinviabile, per far si che l’istituzione obbligatoria del Security Manager presso le grandi aziende e le infrastrutture considerate strategiche diventi una realtà tangibile, e non come accade oggi, una mera posizione organizzativa.
Un funzionario esperto nello scambio informativo con le altre istituzioni, che raccolga, analizzandoli, tutti quegli elementi necessari per progettare procedure e protocolli di sicurezza (cyber, security, safety, emergency, etc), che vanno dall’utilizzo di tecnologie specializzate applicabili al perimetro della sicurezza logica, fino all’uso di infrastrutture tecniche e risorse umane che garantiranno il perimetro della sicurezza fisica.
Solo così si elimineranno, avendo un unico referente a stretto contatto con il management, quei pericolosi errori comunicativi provenienti dai diversi settori, che parlano linguaggi diversi!
E la prova di quanto detto fin qui è nei risultati tangibili conseguiti da tutte quelle organizzazioni – ancora poche in verità – che hanno scelto questo percorso, dimostrando come l’approccio unitario sia l’unico che consenta di ottenere risultati estremamente efficaci, con ricadute positive sulla sicurezza globale di sistema.
Per questa ragione, immediatamente dopo l’esplosione epidemica, siamo tornati – con altri professionisti del settore – a riparlare per l’ennesima volta della figura del manager della security all’interno delle infrastrutture critiche (IC) pubbliche e private; una risorsa che andrà resa obbligatoria, giacché in questi mesi emergenziali, ad esempio, l’assenza di una tale professionalità nella gestione dei protocolli di security all’interno delle aree strategiche si è fatta sentire: pochi dirigenti conoscevano le procedure di sicurezza che gestissero al meglio le operazioni e i dipendenti da remoto, o quelle per un normalissimo assetto di vigilanza, o semplicemente interfacciarsi con gli stessi IVP, con le FF.OO., gli uffici della Prefettura o del Dipartimento di protezione civile!
Sul punto, sottolineo ancora una volta: già sette anni fa il problema fu posto all’attenzione del ministero competente; esattamente nel gennaio 2014 alla Camera fu presentata all’allora ministro dell’Interno, a firma dell’On. Villarosa, una interrogazione sulla mancata integrazione della figura del manager della sicurezza nella filiera del sistema informativo della sicurezza della Repubblica.
Ma oltre a ciò, proprio durante i mesi di lock-down del 2020, parlando della tematica con l’attento On. Righini, del Consiglio regionale del Lazio, gli spiegavo appunto, quale delicata e importante professionalità rimaneva ancora scoperta, e in un momento pericoloso come quello di una emergenza pandemica, proprio all’interno delle caselle che compongono l’architettura gestionale della sanità ospedaliera regionale.
Elaborammo così un testo di mozione da portare in aula per la discussione di rito, e dopo un’ampia condivisione dei consiglieri, fu approvato all’unanimità!
Ricapitolando: in un contesto storico come quello che stiamo attraversando, dove l’interconnessione tra scienza umana, matematica, cibernetica, crittografia delle reti, cifratura delle comunicazioni, insomma, dove tutto ciò rappresenta, non già un paradosso fantascientifico, ma piuttosto il prodotto reale dall’evoluzione tecnologica, ebbene, non possiamo più permetterci un simile vuoto professionale, peraltro in settori vitali dove le minacce economiche e politiche sono direttamente proporzionali al numero delle fake news, degli attacchi cyber, e non ultimo, della guerriglia web sulle informazioni!
Quindi, proprio prendendo spunto da quanto detto sin qui, dagli incidenti di sicurezza cyber accaduti negli ultimi mesi in Italia, dai rischi derivati da politiche settoriali inadeguate, ma soprattutto sulla scorta delle riflessioni fatte dieci anni or sono, tanto dal COPASIR quanto dagli analisti del DIS, il governo dovrà prendere delle decisioni risolutive, introducendo definitivamente tale funzione, non fosse altro per evitare una curiosa quanto singolare “distonia” istituzionale, come ad esempio, quella di rendere obbligatoria con un decreto interministeriale la figura del Mobility Manager – già prevista dagli accordi di Kyoto 97 e resa oggi esecutiva dalla legge n.77/2020 – non considerando altrettanto quella del security manager, ahimè, riferimento ormai inderogabile per la tenuta e la sicurezza delle istituzioni, tutte!
Concludendo: non esiste un rischio Zero certo, questo è pacifico; ma esiste però la possibilità di calcolarlo a priori, con concrete analisi predittive.
E già sarebbe un bel passo in avanti!