Il giro di vite del governo sui software russi nella Pubblica Amministrazione (e non solo)

Venerdì sera il governo italiano ha approvato un decreto contenente norme per il contrasto degli effetti economici e umanitari della guerra in Ucraina. Si è parlato tanto delle misure prese per cercare di contenere il caro bollette e l’aumento dei prezzi della benzina (scongiurato, a tempo, con il taglio parziale delle accise sui carburanti e altri provvedimenti di sostegno a famiglie e aziende), ma nel Consiglio dei Ministri si è discusso e si è approvata anche una nuova linea per quel che riguarda la cyber security, andando a toccare i software russi.

LEGGI ANCHE > Cosa vuol dire che il Garante per la Privacy ha aperto un’istruttoria sull’antivirus russo Kaspersky

E il giro di vite è arrivato. Lo aveva annunciato nei giorni scorsi il sottosegretario con delega ai servizi segreti Franco Gabrielli, parlando esplicitamente dal caso Kaspersky. Il noto software antivirus, la cui azienda madre ha sede a Mosca, è molto utilizzato all’interno della Pubblica Amministrazione, ma ora si chiede alle aziende – pubbliche e private – di diversificare l’uso di questo applicativo o di ogni altro programma strettamente collegato alla Federazione russa. E il comunicato stampa che ha accompagnato l’annuncio dell’approvazione del decreto legge approvato dal Consiglio dei Ministri spiega:

«Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, queste procedono tempestivamente alla diversificazione dei prodotti in uso, anche mediante procedure negoziate. Le procedure di acquisto riguarderanno determinate categorie di prodotti e servizi sensibili quali applicativi antivirus, antimalware, endpoint detection and response (EDR) e web application firewall (WAF)».

Un giro di vite per dar luce a quella che Gabrielli aveva chiamato resilienza cibernetica. Un tema di strettissima attualità, collegato alla guerra in Ucraina.

Software russi, arriva il giro di vite anche dal governo italiano

Ma il tema principale, leggendo tra le righe della bozza del decreto (in attesa della pubblicazione in Gazzetta ufficiale della versione finale approvata nel tardo pomeriggio di venerdì 18 marzo) non è quello sanzionatorio. Si parla, infatti, di cyber security del Paese che potrebbe essere messa a rischio dall’utilizzo di software russi, perché le aziende di Mosca e dintorni potrebbero smettere di fornire aggiornamenti e, quindi, esporre i “clienti” italiani a maggiori rischi. Non c’è, dunque, nulla di legato alla mossa del Garante per la protezione dei dati personali ha aperto – sempre nella giornata di ieri – un’istruttoria per verificare la gestione dei dati dei clienti italiani da parte di Kaspersky.

Cosa è scritto nella bozza del decreto

Ma cosa dice esattamente il decreto sul tema del “Rafforzamento della disciplina cyber”? La risposta – parziale, ma leggendo il comunicato stampa di Palazzo Chigi non dovrebbero esserci state modifiche all’articolo sul tema – arriva dall’articolo 28 della bozza del decreto, che nello specifico recita nei suoi tre commi:

1. Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, derivanti dal rischio che le aziende produttrici di prodotti e servizi tecnologici di sicurezza informatica legate alla Federazione Russa non siano in grado di fornire servizi e aggiornamenti ai propri prodotti appartenenti alle categorie individuate al comma 3, in conseguenza della crisi in Ucraina, le medesime amministrazioni procedono tempestivamente alla diversificazione dei prodotti in uso.
2. Le stazioni appaltanti, che procedono ai sensi del comma 1, provvedono all’acquisto di un ulteriore prodotto o servizio tecnologico di sicurezza informatica di cui al comma 3 e connessi servizi di supporto mediante gli strumenti di acquisto messi a disposizione dalle centrali di committenza, ovvero, laddove non sussistano o non siano comunque disponibili nell’ambito di tali strumenti, ai sensi dell’articolo 63, comma 1, del decreto legislativo 16 aprile 2016, n. 50. Si applicano le disposizioni di cui al comma 5, secondo, terzo e quarto periodo del medesimo articolo 63.
3. Le categorie di prodotti e servizi di cui al comma 1 sono indicate con circolare dell’Agenzia per la cybersicurezza nazionale, tra quelle volte ad assicurare le seguenti funzioni di sicurezza: a) sicurezza dei dispositivi (endpoint security), ivi compresi applicativi antivirus, antimalware ed “endpoint detection and response” (EDR); b) “web application firewall” (WAF).

(Foto IPP/Fabio Cimaglia)