In un’epoca in cui digitalizzazione e sicurezza sono due facce della stessa medaglia, comprendere il ruolo dei centri di competenza nazionali e delle strategie di resilienza è fondamentale per leggere il futuro del Paese. Per questo motivo, è stato intervistato il Professor Paolo Spagnoletti. Oltre a dirigere il corso di laurea in Economia e Management e numerosi programmi executive su innovazione digitale e governance, Paolo Spagnoletti è presidente di Cyber 4.0, il Competence Center nazionale per la cybersecurity.
Con alle spalle numerose pubblicazioni scientifiche ed una profonda attività di collegamento tra ricerca ed applicazione pratica, il Professor Spagnoletti ci guida in un dialogo ricco di spunti, fra policy, tecnologia e cultura della sicurezza negli scenari internazionali.
1. Qual è il ruolo specifico di Cyber 4.0 nell’ecosistema nazionale della cybersecurity e quali settori sono centrali nella vostra azione?
Cyber 4.0 è di fatto una piattaforma che consente un confronto continuo tra domanda, offerta e accademia, nascendo come istituzione per sua natura aperta, dove si affrontano queste dinamiche in maniera collaborativa. La questione di Cyber 4.0, definita poco dopo la sua istituzione, è quella di promuovere una digitalizzazione sicura. Quindi, sostenendo le imprese, sia quelle grandi che quelle di piccole dimensioni, nel dialogo con un ecosistema più ampio che è fatto anche di realtà pubbliche nel mondo accademico. Quindi, con il contributo delle università e l’expertise industriale dei soci, Cyber 4.0 cerca di seguire ed anticipare l’evoluzione tecnologica e di accompagnare l’adozione di soluzioni innovative proprio in questa logica collaborativa. Eravamo partiti anche da settori determinati, coordinandoci con le istituzioni, in particolare con la Regione Lazio, che all’epoca ci aveva indirizzato sui temi della sanità, dell’automotive e dello spazio, ma quello che abbiamo visto nei primi anni di vita del centro è che la digitalizzazione sicura poi non può essere confinata a settori specifici. Lo stesso perimetro, che poi si è ampliato con la direttiva NIS2, ci porta ad affrontare sfide sempre più trasversali, che toccano ambiti come la mobilità, le città intelligenti e la sicurezza delle infrastrutture nei settori più disparati.
2. Cyber 4.0 nasce come centro di competenza pubblico-privato: quali condizioni rendono davvero efficace questa cooperazione nell’ambito cyber?
Noi cerchiamo di valorizzare il meglio di questi due mondi. Dal pubblico, essendo composto prevalentemente da università, ereditiamo i principi ed i meccanismi di una democrazia rappresentativa con cui si governano queste istituzioni. Dal privato, invece, prendiamo di più la spinta all’innovazione e l’orientamento al risultato. Chiaramente, questa sinergia diventa efficace quando c’è una complementarietà che non è immediata. Si tratta di una complementarietà che sussiste sia tra discipline diverse, perché, in ambito accademico sono coinvolti sia dipartimenti di ingegneria che di scienze sociali, ma anche tra soggetti diversi (PMI, grandi imprese, pubbliche amministrazioni), che, quando riescono a mettere a sistema i propri interessi, raggiungono obiettivi che vanno oltre quelli raggiungibili dai singoli e possono quindi rispondere alle sfide della cyber security.
3. Quale contributo concreto sta offrendo Cyber 4.0 al recepimento ed all’attuazione della direttiva NIS2 in Italia?
Noi abbiamo seguito da vicino l’evoluzione della direttiva, affiancando le istituzioni fin dalle prime fasi del dibattito europeo, e ad oggi mettiamo a disposizione, all’interno del mercato, una serie di servizi che spaziano dalla formazione alla consulenza tecnica, che sono proprio pensati per supportare gli enti pubblici e privati nell’adeguamento ai nuovi obblighi. Abbiamo contribuito a progettare percorsi formativi per dirigenti pubblici e avviato iniziative di sensibilizzazione, proprio per dare segnali concreti di accrescere la maturità del mercato su questo tipo di necessità. Chiaramente, offrendo questo tipo di servizi, accumuliamo anche conoscenza, svolgendo un ruolo di osservatorio sull’impatto delle politiche e sull’evoluzione dei bisogni, e questo ci consente di offrire anche un feedback al decisore pubblico sull’efficacia delle proprie iniziative.
4. Lei parla spesso di resilienza digitale: quali sono, secondo lei, le leve strategiche per costruirla nel sistema Paese? Quali azioni, strumenti o politiche ritiene fondamentali per rafforzare la capacità dell’Italia di resistere e reagire a minacce digitali, come cyber attacchi, disinformazione, crisi infrastrutturali ecc.
La resilienza digitale, quello che ci dice anche la letteratura, non avviene puntando solo su azioni a posteriori di risposta, ma va pensata dall’inizio. Tutto sta a disegnare architetture che considerano la sicurezza, l’integrità e l’affidabilità dei sistemi come dei requisiti fondamentali e non negoziabili, intorno ai quali costruire le soluzioni. Però resilienza significa anche capacità di risposta e adattamento, quindi da questo punto di vista, significa anche rafforzare le capacità di comando e controllo, utilizzando la tecnologia per questo. Potenziare lo scambio informativo tra attori pubblici e privati sulle minacce e sulle buone pratiche, e formare dei professionisti che siano in grado di agire. Oggi si parla spesso di Human in The Loop, facciamo riferimento al fatto che oggi l’Intelligenza Artificiale ci porta ad esplorare nuove frontiere dell’automazione, aumenta la capacità dell’individuo, ma può anche sostituirlo in alcune scelte, quindi c’è la tentazione di costruire sistemi che, in maniera automatica, classifichino e facciano avanzare dei processi completamente automatizzati. Ora, questo in alcuni casi è vietato dalla normativa per evitare che automatizzino processi decisionali in cui non è opportuno procedere in questo modo. Quindi, quello che si tende a fare è obbligare sempre la presenza di un decisore umano che poi possa valutare, sulla base di dati ed informazioni, e dare l’okay alla macchina per procedere in una direzione piuttosto che in un’altra. Dunque, a questi umani “in The Loop”, che aumentano sempre di più a mano a mano che cresce l’automazione, e quindi questi umani vanno formati, o meglio informati, sull’importanza del loro ruolo all’interno di sistemi complessi.
5. Come vede il livello attuale della cybersecurity in Italia e dove si concentrano oggi le principali vulnerabilità?
L’Italia ha fatto passi importanti. Siamo stati tra i primi Paesi in Europa a dotarci di un framework nazionale per la cybersicurezza ed abbiamo anche delle eccellenze industriali nel settore della difesa ed una tradizione nel mondo delle telecomunicazioni che stanno già contribuendo in maniera significativa alla produzione delle infrastrutture critiche del Paese. Però allo stesso tempo il nostro sistema produttivo presenta dei ritardi nei percorsi di digitalizzazione soprattutto nelle PMI ed in alcuni casi anche nella PA e questi ritardi creano degli spazi di vulnerabilità che possono essere sfruttati dagli attori malevoli. Quindi serve uno sforzo per colmare questo gap digitale e rendere la sicurezza una priorità strategica in tutti i settori.
6. Cyber 4.0 lavora anche sul fronte della formazione e del trasferimento tecnologico: di quali risultati andate maggiormente fieri e quali sono le priorità per il futuro?
Noi siamo orgogliosi di aver costruito un’infrastruttura in grado di erogare servizi per la digitalizzazione sicura e che oggi rappresenta una risorsa concreta per il Paese. Abbiamo realizzato ambienti di sperimentazione avanzati (ad esempio sull’operation technology o il 5G), abbiamo costruito processi operativi in grado di supportare la formazione ed il trasferimento tecnologico. Con il progetto Secure, attivato recentemente, Cyber 4.0 si colloca addirittura in quinta posizione al livello europeo tra gli enti finanziati con il programma Digital Europe (sopra di noi ci sono altre realtà in Germania, Belgio e Francia). Quindi, questo conferma un po’ la fiducia delle istituzioni nel valore del nostro contributo e nella qualità del nostro operato. Se guardo al futuro, anche se il mio mandato è appena iniziato, un elemento distintivo che il centro ha dimostrato di possedere è la capacità di trasferire conoscenze e tecnologie dal mondo della difesa agli altri settori economici. Quindi, ritengo che le tecnologie dual use possano assumere un ruolo importante nel futuro.
7. La sua esperienza accademica internazionale la pone in contatto con modelli diversi: quali pratiche estere ritiene che si potrebbero replicare in Italia?
Possiamo notare come il modello scandinavo rappresenti una potenziale forma di ispirazione per il nostro modello, perché la progettazione dei sistemi digitali, in quel caso, è molto incentrata sull’uomo e sulle sue esigenze. Le strutture sociali che caratterizzano il contesto italiano risultano invece fuorvianti, perché noi siamo il prodotto di istituzioni molto più complesse, con una storia più ricca che ci ha lasciato tanta esperienza, ma anche tanti vincoli da quel punto di vista. Invece, la società scandinava è nota per essere più orientata alle esigenze dell’uomo. Quindi, la sicurezza, letta in quest’ottica, non è soltanto bilanciamento tra bisogno di protezione ed esperienza d’uso(perché si vede la sicurezza come un ostacolo all’usabilità dei sistemi), in realtà, la sicurezza, letta in quest’ottica, è la garanzia di realizzare sistemi in cui, proprio dall’analisi dei requisiti, si mette al centro la fiducia, la trasparenza, la responsabilità nel rapporto tra tecnologia, sviluppatori e utenti. Quando si progetta un sistema, ad esempio, di governo del dato in forma distribuita, bisogna tenere a mente che non si tratta soltanto di realizzare un sistema usabile e proteggerlo da attacchi esterni, ma si tratta di costruire un sistema che socialmente sia accettabile e che favorisca il raggiungimento di questi obiettivi; può essere di ispirazione anche per il nostro contesto.
8. Cyber 4.0 copre un ruolo a livello europeo. Quali sono le opportunità o i percorsi che presenta in questa direzione?
Noi siamo frutto di un’iniziativa presa a livello europeo, perché Cyber 4.0 nasce nell’ambito dell’industria 4.0. Però, Cyber 4.0 è andata a farsi carico di un aspetto un po’ trascurato: le imprese, infatti, si sono dotate di macchinari interconnessi e soluzioni software di vario tipo, ma gli investimenti in cyber security non sono stati significativi, questo, in quella prima ondata di contributi e di incentivi. Ora si ribaltano un po’ le cose, perché, a questo punto, il focus e il lavoro che ha svolto e sta svolgendo Cyber 4.0 per far maturare il bisogno di una digitalizzazione sicura (non di una digitalizzazione che metta a rischio i valori della nostra società) possono dare a Cyber 4.0 e all’Italia modo di fare da traino anche sugli altri Paesi rispetto a questo approccio: mettere la sicurezza e l’uomo al centro. Quindi, in ambito europeo, possiamo sia sul versante della ricerca sia anche sulla capacità di portare sviluppo a livello internazionale; infatti, l’ultimo aspetto che mi preme citare è che Cyber 4.0 ha anche avviato delle collaborazioni internazionali, partecipando a processi di Cyber Capacity Building, cioè di portare digitalizzazione sicura anche in Paesi terzi, dove la digitalizzazione può portare a una rapida trasformazione che crea sviluppo e, allo stesso tempo, la rapidità di queste trasformazioni nei Paesi che partono da situazioni più svantaggiate mette ancora di più a rischio la possibilità di una crescita. Quindi, le esperienze che stiamo maturando nel nostro Paese e le esperienze dei soci di Cyber 4.0, quando sono messe al servizio di queste azioni di Cyber Capacity Building, così come stiamo facendo con l’Africa e l’America Latina, possono portare alla costruzione di uno spazio Cyber sicuro, inclusivo e aperto mondiale, e questo avrà ricadute anche sul fatto che sarà l’Europa stessa, che attraverso questo genere di azioni, riuscirà a costruire un Mediterraneo più sicuro e a spaziare in nuovi scenari economici globali.
Il futuro della Cybersecurity in Italia
L’Italia si trova ad un crocevia nella sua evoluzione digitale. Le politiche pubbliche, le iniziative private e i centri di competenza come Cyber 4.0 stanno lavorando fianco a fianco per migliorare la sicurezza del Paese. La sfida futura, come ben evidenziato dal Professor Paolo Spagnoletti, risiede nella capacità di integrare tecnologia, competenze umane e governance per garantire una resilienza che non solo protegga, ma stimoli l’innovazione.
Siamo chiamati ad un cambiamento culturale che veda la cybersecurity non come un ostacolo ma come un abilitante per il progresso digitale, un obiettivo che può essere raggiunto solo con un approccio collettivo e multidisciplinare.
