Venerdì sera il governo italiano ha approvato un decreto contenente norme per il contrasto degli effetti economici e umanitari della guerra in Ucraina. Si è parlato tanto delle misure prese per cercare di contenere il caro bollette e l’aumento dei prezzi della benzina (scongiurato, a tempo, con il taglio parziale delle accise sui carburanti e altri provvedimenti di sostegno a famiglie e aziende), ma nel Consiglio dei Ministri si è discusso e si è approvata anche una nuova linea per quel che riguarda la cyber security, andando a toccare i software russi.
LEGGI ANCHE > Cosa vuol dire che il Garante per la Privacy ha aperto un’istruttoria sull’antivirus russo Kaspersky
E il giro di vite è arrivato. Lo aveva annunciato nei giorni scorsi il sottosegretario con delega ai servizi segreti Franco Gabrielli, parlando esplicitamente dal caso Kaspersky. Il noto software antivirus, la cui azienda madre ha sede a Mosca, è molto utilizzato all’interno della Pubblica Amministrazione, ma ora si chiede alle aziende – pubbliche e private – di diversificare l’uso di questo applicativo o di ogni altro programma strettamente collegato alla Federazione russa. E il comunicato stampa che ha accompagnato l’annuncio dell’approvazione del decreto legge approvato dal Consiglio dei Ministri spiega:
«Al fine di prevenire pregiudizi alla sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, queste procedono tempestivamente alla diversificazione dei prodotti in uso, anche mediante procedure negoziate. Le procedure di acquisto riguarderanno determinate categorie di prodotti e servizi sensibili quali applicativi antivirus, antimalware, endpoint detection and response (EDR) e web application firewall (WAF)».
Un giro di vite per dar luce a quella che Gabrielli aveva chiamato resilienza cibernetica. Un tema di strettissima attualità, collegato alla guerra in Ucraina.
Ma il tema principale, leggendo tra le righe della bozza del decreto (in attesa della pubblicazione in Gazzetta ufficiale della versione finale approvata nel tardo pomeriggio di venerdì 18 marzo) non è quello sanzionatorio. Si parla, infatti, di cyber security del Paese che potrebbe essere messa a rischio dall’utilizzo di software russi, perché le aziende di Mosca e dintorni potrebbero smettere di fornire aggiornamenti e, quindi, esporre i “clienti” italiani a maggiori rischi. Non c’è, dunque, nulla di legato alla mossa del Garante per la protezione dei dati personali ha aperto – sempre nella giornata di ieri – un’istruttoria per verificare la gestione dei dati dei clienti italiani da parte di Kaspersky.
Ma cosa dice esattamente il decreto sul tema del “Rafforzamento della disciplina cyber”? La risposta – parziale, ma leggendo il comunicato stampa di Palazzo Chigi non dovrebbero esserci state modifiche all’articolo sul tema – arriva dall’articolo 28 della bozza del decreto, che nello specifico recita nei suoi tre commi:
(Foto IPP/Fabio Cimaglia)