Le sfide nascoste dell'Agenzia per la cybersecurity

La futura struttura di governo dell'intelligence digitale diventerà il guardiano delle tecnologie dell'informazione. Un grande potere, ma con grandi responsabilità rispetto al mercato e alla sovranità digitale. Che fine faranno software libero e open source?
2 minuti di lettura

Il decreto-legge 82/2021 pubblicato il 14 giugno 2021 in Gazzetta Ufficiale ha istituito l'Agenzia per la cybersicurezza italiana che avrà il compito principale di predisporre la strategia per tutelare l'infrastruttura tecnologica del nostro Paese. Questo nuovo attore sulla scena dell'intelligence italiana incarnerà diversi ruoli, che sono specificati dall'articolo 7 del decreto. Alcuni di questi ruoli - come quello di destinatario delle notifiche degli "incidenti" che capitano alle nostre infrastrutture tecnologiche - sono stati già ampiamente commentati. Altri, forse anche più importanti, invece, meno. È il caso, in particolare dei poteri di certificazione di sicurezza di prodotti ed apparati che potranno essere utilizzati nella prestazione di servizi di comunicazione elettronica.

 

L'Agenzia assorbe le competenze del MISE e del Centro nazionale di valutazione e certificazione (la struttura che originariamente aveva il compito di certificare la sicurezza degli apparati utilizzati sulla rete). In altri termini, l'Agenzia è il guardiano che deciderà quali prodotti - ma sopratutto quali produttori - potranno varcare le nostre frontiere digitali che separano le infrastrutture critiche dal resto del mondo. In linea di principio l'idea è tuttaltro che sbagliata, perché lo strapotere dei produttori di tecnologia ha sostanzialmente privato gli esecutivi della possibilità di compiere scelte basate sull'interesse dei Paesi che governano, dovendo fare i conti con soggetti privati che però negoziano da pari a pari con gli Stati. Il tema, che nei circoli degli esperti è in discussione da tempo, non riguarda solo le tecnologie dell'informazione. Più in generale e come ha dimostrato la vicenda della negoziazione con le Big Pharma sui vaccini, la riflessione si estende al rapporto strutturale fra industria e potere politico, tanto che alcuni studiosi hanno teorizzato la fine dell'ordine basato sul Trattato di Vestfalia e la nascita di un "neo-medievalismo" dove i poteri sovrani non coincidono più con gli Stati. Il recupero della sovranità digitale passa, in altri termini, attraverso la Reconquista del controllo istituzionale sulle tecnologie dell'informazione strappandolo dalle mani di chi le gestisce (legittimamente, peraltro) in modo non trasparente ed esclusivo.

 

Se, dunque, l'Agenzia dovrà garantire la sicurezza delle infrastrutture tecnologiche del nostro Paese è chiaro che la scelta sugli strumenti che utilizzerà internamente e quella sui prodotti dei quali consentirà l'utilizzo sono importanti non solo per raggiungere gli obiettivi istituzionali ma per creare un nuovo mercato nazionale. Attualmente, gli attori industriali di settore sono in gran parte stranieri,  in gran parte extra-comunitari e con il totale controllo tecnico e giuridico sui prodotti che vendono allo Stato italiano. Come insegnano il caso Google-Huawei e il meno conosciuto ma altrettanto rivelatore Adobe-Venezuela, l'intersezione fra un modello industriale basato sul software-as-a-service e sul controllo a distanza dell'attivazione dei software è in grado di paralizzare intere nazioni.

 

Nel primo caso, la revoca dei diritti d'uso dei servizi offerti da Google e che si appoggiano ad Android ha seriamente compromesso l'operatività di una multinazionale in concorrenza diretta con le imprese statunitensi. Nel secondo, il divieto di offrire servizi in Venezuela imposto nel 2019 dall'allora presidente USA Trump ha comportato la sospensione (poi revocata) degli account Adobe, indispensabili per accedere ai contenuti "in cloud" e ai software pur regolarmente pagati. In altri termini, per bloccare un Paese non c'è bisogno di sganciare bombe o scatenare attacchi informatici: basta revocare una licenza d'uso e disattivare il funzionamento di milioni di copie di un programma.

 

Vista la criticità degli interessi in gioco, è chiaro che non possiamo permetterci nemmeno remotamente di correre il rischio di finire come la Cina o il Venezuela. Di conseguenza, è irrinunciabile privilegiare i modelli di gestione della proprietà intellettuale basati su approcci non proprietari alla base dell'operatività dei sistemi informatici dell'Agenzia e dei prodotti dei quali consentirà la commercializzazione in Italia. Questo significa, da un lato, definire una strategia e un percorso anche normativo che conducano in tempi ragionevoli a una de-proprietarizzazione delle infrastrutture critiche italiane e, dall'altro, potenziare lo sviluppo e l'utilizzo di software non proprietari nel settore delle telecomunicazioni e delle piattaforme.

 

È, dunque, giocoforza chiedersi quale sarà il ruolo che l'Agenzia attribuirà al software libero e all'open-source, due approcci alla gestione della proprietà intellettuale che hanno consentito la diffusione dell'internet, l'enorme sviluppo della concorrenza nel mercato del software e lo sviluppo di prodotti e servizi di altissimo livello collegati alla sicurezza delle informazioni. A seconda di come verranno esercitati, infatti, questi poteri potranno avviare l'Italia verso l'indipendenza tecnologica e potenziare l'industria nazionale della sicurezza o consegnare il Paese nelle mani di governi e industrie straniere (temporaneamente) alleate, ma non per questo "amiche per sempre".