La legge 133/2019 sul Perimetro di sicurezza nazionale cibernetica (Psnc) ha stilato una lista di aziende identificate come Osf, Operatori di servizi fondamentali, interessate da adempimenti per quelle aree e tecnologie sottese ai servizi interni al Perimetro stesso. È evidente che alcune Pmi sono parte della lista, tuttavia la ricaduta principale non è legata tanto alla diretta appartenenza a tale categoria, ma soprattutto alla supply chain. La norma impone infatti una serie di adempimenti che non possono essere rispettati se non si impone anche alla supply chain un comportamento sicuro. Tutti gli appartenenti alla lista del Psnc stanno già lavorando per stringere contratti con i fornitori critici, più attenti ai requisiti di sicurezza. Molti di questi fornitori critici sono Pmi che risultano quindi molto interessate da quanto previsto dalle norme, seppur indirettamente e con un ritardo temporale. Ci aspettiamo, quindi, che le Pmi diventino più attente alla cybersecurity come risultato diretto o indiretto dell’applicazione del Psnc. Questa maggiore attenzione dovrà necessariamente comportare alcuni investimenti in sicurezza rispetto ai quali il mercato delle Pmi non sembra avere chiarezza e, tanto meno, determinazione. Lo scenario descritto evidenzia come queste aziende si trovino di fronte a nuove sfide legate alla costante evoluzione del ruolo ricoperto dalla dimensione cibernetica. L’analisi del panorama normativo europeo e nazionale mette in luce il recente interesse delle istituzioni governative verso il tema della sicurezza informatica, considerata ormai elemento fondamentale per il funzionamento del sistema-Paese e dell’Unione europea. Dal punto di vista nazionale i recenti sforzi per concretizzare il Perimetro di sicurezza nazionale cibernetica e istituire l’Agenzia per la cybersicurezza nazionale (Acn) si configurano come pietre miliari della nuova architettura nazionale di sicurezza cibernetica, volte a garantire presidi adeguati alle nuove sfide. Tuttavia, la concreta applicazione di quanto previsto dall’apparato normativo sinora costruito, nelle realtà di piccola e media dimensione, resta una sfida aperta. A tale complessità si aggiungono le esigue risorse impiegate da queste realtà per formare il personale e inserire risorse qualificate. Con questi presupposti non è da escludere che possano comparire forme estorsive con logiche simili al “pizzo” della criminalità organizzata traslate nella dimensione cyber. Tale fenomeno potrebbe configurare scenari molto critici per le Pmi. Vogliamo ripristinare un’autonomia nazionale in tema digitale. L’autonomia hard implica una capacità autonoma di produzione che copra tutto il flusso della catena del valore, comprese materie prime e logistica, così come le fonderie dei microchip, e non può che essere contestualizzata a livello regionale europeo. L’autonomia digitale soft è invece nazionale, italiana e riguarda le professionalità. Purtroppo, però, le grandi aziende giocano al rialzo continuo degli stipendi, di fatto “rubandosi” l’un l’altra gli esperti in un fenomeno che abbiamo definito di “mecenatismo”. Questa dinamica impedisce però a tutte le Pmi di poter assumere personale con competenze cibernetiche. Se non iniziamo a produrre cervelli, anche mediocri, in tema di cyber-security, questa disciplina resterà un privilegio di pochi.
Luisa Franchina
