Nel nuovo codice appalti entra per la prima volta la cybersicurezza. Cosa è previsto?
“Un articolo del codice stabilisce che le stazioni appaltanti pubbliche, quando comprano beni e servizi informatici per la pubblica amministrazione, nella valutazione complessiva dell'offerta devono tenere sempre in considerazione gli elementi di cybersicurezza. Con uno specifico rilievo nei casi in cui l'utilizzo di questi beni o servizi è connesso alla tutela degli interessi nazionali strategici. Si cerca, insomma, di valorizzare — spiega Bruno Frattasi, da poche settimane direttore generale dell'Agenzia per la cybersicurezza nazionale — la componente degli elementi di cyber sicurezza di ciò che viene acquistato dalle varie strutture della pubblica amministrazione. L'obiettivo è migliorare la loro capacità di difesa e protezione da attacchi malevoli”.
Per chi vale la norma?
“Per le amministrazioni pubbliche, i concessionari di opere pubbliche, le società partecipate e le centrali di committenza come, per esempio, Consip. La regola si applicherà a enti e società vulnerabili dal punto di vista cibernetico”. Un ulteriore tassello in materia di sicurezza. “È una novità che va a interagire con le altre misure della strategia nazionale in materia di cyber sicurezza. Una strategia che si pone un orizzonte operativo fino al 2026 e il raggiungimento di 82 misure, legandosi così anche all'attuazione del Piano nazionale di ripresa e resilienza”.
Cosa resta cruciale?
“Uno dei temi cruciali è irrobustire la capacità preventiva di protezione e risposta del nostro Paese rispetto alle minacce cibernetica. Perciò è un passo in avanti porre una specifica attenzione nell'ambito del 'attività di acquisizione di beni che possono rilevare una vulnerabilità o una criticità nelle diverse strutture delle nostre amministrazioni. Una norma che, tra l'altro, avrà un effetto positivo anche sul mondo privato».
Perché?
“Una disposizione del genere svolge un ruolo di stimolo sul versante dei vari soggetti privati che lavorano con le amministrazioni pubbliche. Perché verrà chiesto loro di dotarsi dei medesimi standard di protezione della PA”.
In questo scenario qual è il compito dell'Agenzia che lei dirige?
“L'Agenzia muove dalla consapevolezza acquisita nel corso della pandemia, ossia l'esigenza di accrescere e sviluppare una cultura della sicurezza e della protezione dai rischi cyber. Un pericolo che riguarda ambiti nevralgici come difesa, sicurezza, sanità, trasporti e il mondo finanziario. Serve un ecosistema con standard condivisi, aumentando la capacità di innovazione tecnologica del Paese con programmi di investimento che l'Agenzia sta portando avanti con risorse nazionali e con i fondi del Pnrr”.
Quante risorse avete a disposizione?
“Oltre ai 2 milioni di euro provenienti dal Pnrr, l'Agenzia dispone, per il 2023, di altri 2 milioni. A questi si aggiungono le risorse che arriveranno dal Mef, che gestisce un fondo sulla cyber sicurezza per l'attuazione della strategia nazionale, che vale 70 milioni. Infine, ci sono io milioni per la gestione ordinaria”.
Intervista di Andrea Ducci uscita sull'edizione cartacea del Corriere della Sera il 5 aprile 2023