Gli ultimi anni hanno visto un evidente incremento da parte delle entità internazionali a noi più vicine (in particolare Nato e UE) nella protezione dei sistemi cibernetici, con l’obiettivo di stimolare, attraverso finanziamenti a programmi di ricerca o di sviluppo capacitivo, l’industria ad avere un approccio coerente e coordinato alla realizzazione di sistemi efficaci di sicurezza e di monitoraggio dello spazio cibernetico.
Indubbiamente la volontà politica espressa sia dall’Unione Europea che dalla Nato nel volersi ritagliare un ruolo di leadership in questi ambiti ha permesso di strutturare o di ottimizzare l’organizzazione di bandi e relativi fondi: mi riferisco in particolare all’ambito della sicurezza cibernetica che coinvolge il mondo della difesa.
Cybersicurezza: la strategia Ue per una difesa comune, tra lacune normative e pochi fondi
I programmi europei PADR e EDIDP
L’Unione europea, con un percorso che sta trovando la sua forma definitiva in questi mesi, ma che prima con il Preparatory Action on Defence Research (PADR) e poi con lo European Defence Industrial Development Programme (EDIDP), ha gettato le basi per lo sviluppo di sistemi che possano essere un vantaggio competitivo per le nazioni europee. Come vedremo queste due azioni hanno avuto il loro naturale sfogo nei fondi EDF, che ritagliano sulla sicurezza cibernetica e le tecnologie dirompenti afferenti al cyber, circa 300 milioni di euro solo per il 2021.
Per dare un quadro della situazione, questa è l’evoluzione dei fondi dalla PADR a EDF fino al 2027:
Nell’ormai lontano 2017, l’avvio della PADR ha permesso di iniziare ad implementare i primi sistemi europei di difesa cibernetica. La PADR è stata presa come azione preparatoria, come avvio del sostengo da parte dell’Unione Europea all’industria della difesa in generale. Da quel primo esercizio di stile che però ha generato progetti come EXCEED, che ha impattato per 12 milioni di euro nella capacità di sviluppare processori e sistemi di sicurezza ad essi correlati siamo arrivati al 2019 pronti per una prima, nuova azione tramite i bandi relativi a EDIDP.
L’ambizione mostrata dai bandi proposti per EDIDP anche nell’ambito cibernetico ha permesso di mettere a disposizione delle aziende europee circa 30 milioni di euro per il 2019 (circa il 15% del totale). Le gare proposte nel 2019 e ora in fase di esecuzione sono state sviluppate per generare degli strumenti condivisi e distribuibili di sicurezza cibernetica e per definire degli standard di sicurezza sulle reti e stanno consentendo di raggiungere quel livello di autonomia che in queste settimane è sulle agende di tutte le cancellerie europee. Nell’anno successivo, il 2020, si è visto un notevole incremento di fondi relativi al cyber. Infatti, questi sono passati a quasi 20 milioni di euro. I bandi sono ora in fase di definizione e troveranno avvio entro la fine di quest’anno.
Da quest’anno l’introduzione dei programmi EDF ha consentito la definizione di ulteriori programmi sul mondo cyber e sulle tecnologie emergenti e dirompenti. La data ultima di presentazione delle applications per i bandi è il 9 dicembre e, al netto di un affanno dovuto all’elevato numero di aziende coinvolte e al robusto finanziamento dei progetti (circa 100 milioni), ad oggi possiamo dire che sono presenti i seguenti ambiti:
- Improving cyber defence and incident management with Artificial Intelligence
- Improved Efficiency of Cyber Trainings and Exercises
- Quantum technologies
Inoltre, sono stati implementati una serie di bandi anche mirati alle piccole e medie imprese per circa ulteriori 70 milioni di euro, specificamente mirati allo sviluppo di nuove tecnologie e alla loro sicurezza.
La scommessa per il 2022 per l’Italia e non solo
Quella che è la scommessa per il 2022 e per gli anni a venire, anche da un punto di vista politico, è la costruzione di un percorso di EDF coerente che garantisca la finalizzazione di progetti e sistemi, così da avere al termine di EDF una serie di prodotti con marchio europeo acquisibili dai singoli stati e, ove possibile, commercializzabili su scala internazionale. Colmare il gap con gli Stati Uniti e con la Cina, nonché solo da un punto di vista di sicurezza cibernetica, con la Russia, è l’obbiettivo di questo sostegno all’industria europea della difesa e della sicurezza.
Per l’Italia, ma devo dire non solo per l’Italia, è necessario che vi sia una consapevolezza sull’opportunità di raggiungere un adeguato livello di capacità organizzativa. I tempi e la burocrazia europea sui bandi sono adamantini: gli affanni a cui facevo riferimento precedentemente, non provocheranno perturbazioni nelle scalette definite dalla direzione generale della difesa e dello spazio (DG-DEFIS). Questo implica che sia le strutture istituzionali (Difesa, Esteri, Sviluppo Economico) che quelle industriali (piccole, medie e grandi), dovranno tararsi su questa ulteriore sfida: allocare maggiori risorse umane per vincere più bandi possibile e per risultare più competitivi nei confronti degli altri paesi europei.
Questa sfida è stata vinta fino ad adesso: l’Italia nell’EDIDP 2020 ha raggiungo un ragguardevole 15% di fondi recuperati, a fronte di un 13,5% di contribuzione nazionale al bilancio europeo. Questo significa che la nostra offerta industriale è di ottima qualità e che siamo un paese capace di offrire strumenti e tecnologia all’avanguardia. Questo però non basta: il livello di competizione che stiamo vivendo nell’EDF è proporzionale all’incremento dei fondi. Gli appetiti delle industrie europee sono sempre più grandi e per questo è necessario il cambio di passo a cui facevo riferimento prima, sia da parte delle istituzioni che delle industrie.
L’approccio Nato alla cybersecurity
Relativamente all’ambito Nato, va detto che si ha un approccio più strutturato e solido, in quanto segue percorsi ormai consolidati, ma, sulla base di una volontà precisa da parte degli stati alleati, si sta utilizzando l’entità Nato per definire una serie di standard in un mondo, come quello sulla cybersecurity, che ad oggi non ha una dottrina chiara.
Infatti, l’aver creato nel 2007 il Centro di Eccellenza Cyber in Estonia – e negli anni anche attraverso agenzie come NCIA – tentato di rendere omogeneo e coordinato il processo di armonizzazione dei sistemi di sicurezza cibernetica, è un chiaro messaggio dell’alleanza della volontà di essere leader nella definizione delle procedure necessarie.
Con maggiore efficacia si sta costituendo una nuova struttura: il Chief Information Officer e la sua struttura sta lavorando per definire:
- Procedure di armonizzazione e di standardizzazione per tutta la Nato della sicurezza cibernetica;
- Nuovi strumenti informatici mirati a colmare i gap capacitivi segnalati dalle varie agenzie e strutture Nato;
La nascita di DIANA
Oltre a questo, dopo il 14 giugno, con una precisa volontà dei capi di governo degli Stati alleati è stata costituita DIANA, che ha nelle sue intenzioni quelle di essere un ente con funzionalità analoghe a quelle della DARPA americana, ma che riesca a coinvolgere, facendone crescere le capacità tecnologiche. Le singole nazioni partecipanti all’alleanza.
In questo ambito, con particolare riferimento alle tecnologie dirompenti applicate alla sicurezza cibernetica, si stanno strutturando sia le modalità di finanziamento nuove, oltre quelle già esistenti e messe in pratica da NCIA, NSPA e Defence Investment (entità di Nato).
Infatti, le agenzie sopra citate già investono nella difesa (in generale) oltre 3 miliardi di euro l’anno. Con particolare riferimento a NCIA, che fa da service provider dei servizi informatici della Nato, circa 1,5 miliardi di euro l’anno sono investiti nella sicurezza cibernetica.
L’obbiettivo dei capi di governo e della struttura della Nato è quello di raggiungere un ulteriore capacità di coordinamento e armonizzazione non solo fra le strutture della Nato ma anche tra i paesi alleati, con la definizione, come dicevo degli standard Nato.
Infine, la Nato sta studiando nuove modalità di finanziamento per le tecnologie dirompenti a servizio dei sistemi di sicurezza dell’ambito cyber. In particolare, lo spazio finanziario potrebbe superare i 5 miliardi di euro tramite un sistema innovativo di public venture che metta nelle mani di startup e industrie la possibilità di sviluppare tecnologia in tempi rapidi e con risultati allo stato dell’arte.
Conclusioni
Per concludere, gli ultimi anni ci hanno mostrato la volontà dei governi, attraverso le istituzioni internazionali euro-atlantiche, di mantenere e aumentare il vantaggio strategico sulle tecnologie di sicurezza cibernetica. La sfida più grande sarà pianificare come affrontare i prossimi anni, come rendere complementari e non sovrapposte le attività di Nato e UE per evitare inutili sprechi. La concorrenza dell’attore cinese è sempre più importante sia da un punto di vista di strategico che commerciale: non possiamo pensare di mantenere il nostro livello di superiorità tecnologica senza un’attività coordinata di progresso nel campo industriale e non solo.
