Intervista a Stefano Rossa. Cybersicurezza e pubblica amministrazione

Stefano Rossa è Ricercatore a t.d. (tipo A) di Diritto amministrativo nell’Università degli Studi del Piemonte Orientale, in cui è titolare dei corsi di Diritto dell’ambiente, di Diritto dello sport (al Dipartimento di Giurisprudenza e Scienze Politiche, Economiche e Sociali) e di Diritto dell’ambiente e dello sviluppo sostenibile (al Dipartimento per lo Sviluppo Sostenibile e la Transizione Ecologica).

Dopo la laurea con lode in Giurisprudenza all’Università degli Studi di Torino, con una tesi che ha vinto il Premio Vittorio Bachelet (ed. 2015), e dopo essere stato studente della Scuola di Studi Superiori “Ferdinando Rossi” del medesimo Ateneo, nel 2020 ha conseguito il titolo di Dottore di ricerca presso l’Università degli Studi del Piemonte Orientale.

Ha svolto periodi di ricerca in Estonia, Irlanda e Germania, ed è stato relatore in convegni nazionali e internazionali. È autore di più di trenta pubblicazioni, di cui due monografie: Contributo allo studio delle funzioni amministrative digitali (CEDAM-Wolters Kluwer, Padova-Milano, 2021) e Cybersicurezza e Pubblica Amministrazione (Editoriale Scientifica, Napoli, 2023).

 

Il Dott. Stefano Rossa

 

 

Dott. Rossa, nel Suo volume Cybersicurezza e pubblica amministrazione ha analizzato quelle che Lei ha definito “dimensione verticale” e “dimensione orizzontale” della cybersicurezza pubblica. Potrebbe illustrare le differenze chiave tra queste due dimensioni e come influenzano la legislazione?

La cybersicurezza è contraddistinta da un altro livello di complessità e di eterogeneità: all’interno del suo perimetro agiscono numerosi e diversi attori che, giocoforza, interagiscono continuamente fra loro. Alcuni di essi sono soggetti pubblici – si pensi alle Istituzioni nazionali ed europee, e alle diverse Pubbliche Amministrazioni – mentre altri sono soggetti privati – come nel caso delle imprese fornitrici di tecnologia. Lo specifico quadro normativo in materia di cybersicurezza pubblica si innesta in tale contesto e ne disciplina la materia regolando di riflesso queste relazioni.

In quella che, nel volume, viene definita la “dimensione verticale” della cybersicurezza pubblica, le relazioni concernono principalmente i soggetti pubblici e, nello specifico, i diversi livelli di governo europei e nazionali. Come noto, infatti, l’ambito cyber è caratterizzato da azioni virtuali poste in essere nel cyberspazio, i cui effetti concreti si ripercuotono in uno territorio che coincide soltanto parzialmente con quello statale. A fronte della limitata capacità dei singoli Stati di governare fenomeni sovranazionali di portata generale, appaiono fondamentali strategie e azioni sovranazionali: e questa è proprio la ratio della disciplina di settore dell’Unione europea. Innanzitutto, la normativa europea sulla cybersicurezza stabilisce una cornice giuridica minima comune che deve essere attuata nei diversi ordinamenti nazionali, relativa all’istituzione di specifici organismi nazionali – le agenzie nazionali di cybersicurezza, come la nostra Agenzia per la Cybersicurezza Nazionale (ACN), istituita con Decreto-Legge 14 giugno 2021, n. 82, convertito con modificazioni dalla Legge 4 agosto 2021, n. 109 – e all’uniformazione dei processi e dei controlli di cybersicurezza, finalizzati a imporre comuni standard minimi di sicurezza informatica. In secondo luogo, svolge un ruolo di coordinamento dell’azione sinergica delle diverse Istituzioni europee e nazionali, dei soggetti di natura privata che operano in questo settore, nonché di condivisione delle informazioni e di good practices.

La “dimensione orizzontale”, invece, attiene nello specifico al rapporto che intercorre fra soggetti pubblici e soggetti privati che operano nel contesto della cybersicurezza. Questa dimensione viene in particolare rilievo nell’ambito degli appalti pubblici di forniture e servizi di cybersicurezza: un momento imprescindibile, posto che lo Stato e le Pubbliche Amministrazioni sono costrette a rivolgersi al mercato per acquistare beni o servizi ICT di natura cyber, nonché reti e infrastrutture digitali in assenza di una infrastruttura o rete ICT di proprietà pubblica.

In entrambe queste due “dimensioni” della cybersicurezza, il principio che dovrebbe guidare le interazioni fra i vari attori è quello della collaborazione. Tuttavia, se si osserva con attenzione il modo in cui tali rapporti vengono posti in essere, ci si accorge, soprattutto nella “dimensione orizzontale”, di come le relazioni fra soggetti pubblici e soggetti privati siano nel concreto perseguite con modalità tipiche della logica autoritativa, tradizionale, basata sull’imposizione di obblighi in capo al privato sui cui il soggetto pubblico vigila e interviene irrogando sanzioni.

La relazione fra soggetti pubblici e privati nell’ambito della cybersicurezza pubblica è dunque caratterizzata (quasi) completamente da un approccio autoritativo: i pochi esistenti spazi di collaborazione appaiono essere marginali, inconsistenti, in tal modo non dando attuazione a uno dei pilastri logici su cui si fonda la cybersicurezza pubblica.

 

Nel Suo volume sottolinea la necessità di una maggiore collaborazione tra attori pubblici e privati nella cybersicurezza pubblica. In che modo questa collaborazione potrebbe migliorare l’efficacia delle politiche pubbliche di cybersicurezza?

Come è noto, l’ambito della cybersicurezza pubblica si è storicamente sviluppato a partire da quello dei servizi di intelligence, ma da esso si è evoluto differenziandosi significativamente al punto da poter essere considerato distinto da esso (soprattutto in relazione alla sua declinazione di cyber-resilienza).

Uno dei tratti che contraddistinguono l’ambito dei servizi di intelligence è rappresentato dalla centralità del segreto: ivi la regola è la segretezza, mentre la condivisione delle informazioni è l’eccezione alla regola. E l’azione tipica di chi agisce in contesti di segretezza è connotata da unilateralità. Nella cybersicurezza, al contrario, la segretezza è l’eccezione, mentre la condivisione delle informazioni è la regola. Con la conseguenza che un agire condiviso è caratterizzato invece da multilateralità. Condivisione delle informazioni, e più in generale della conoscenza (tecnica e non), che è la precondizione all’attuazione del principio di collaborazione, il quale permea la cybersicurezza e ne rappresenta la logica di funzionamento.

La cybersicurezza presenta alcuni profili costitutivi che ne evidenziano la natura ICT-based: è in rapida ed esponenziale evoluzione, con un andamento costante nel tempo; richiede incessanti e ingenti investimenti di risorse; comporta una forte asimmetria informativa, di mezzi e di potere, fra le parti coinvolte, in una condizione riconducibile al c.d. lock-in effect. È chiaro, quindi, che in tale situazione sono i soggetti privati le parti avvantaggiate, in particolare le società produttrici di tecnologia (anche cyber), mentre quelle svantaggiate i soggetti pubblici – che scontano altresì gap sul piano organizzativo e, soprattutto, su quello delle competenze specifiche.

Se l’intento principale delle Istituzioni pubbliche, europee e nazionali, è governare il contesto della cybersicurezza pubblica in ragione degli importanti e sensibili interessi in gioco, tutelando così la sicurezza nazionale e le situazioni giuridiche soggettive degli individui, appare chiara la necessità di riequilibrare questa impari situazione. Per giungere a questo risultato vi sono quantomeno due strade: da un lato, una via autoritativa, in cui il privato viene sottoposto al controllo pubblico e “confinato” entro specifici obblighi la cui violazione comporta l’applicazione di sanzioni; dall’altro, una via collaborativa, in cui l’azione unilaterale pubblica viene sostituita da strategie multilaterali in cui tutte le parti coinvolte sono poste idealmente sullo stesso piano, in grado così di incentivare azioni di coinvolgimento bottom-up.

La prima delle due strade, per quanto in ogni caso complicata, è senz’altro la più facile da percorrere, in particolare nel breve periodo, come d’altronde è dimostrato dall’impostazione di fondo della stessa disciplina della cybersicurezza pubblica. Ciononostante, la seconda strada è sì più complessa da realizzare ma è quella che potrebbe condurre a una disciplina della cybersicurezza pubblica più compiuta e maggiormente in linea con i suoi principi teorici fondanti. E, a ben guardare, l’ordinamento (europeo e italiano) prevede già istituiti giuridici atti a implementare questa via, in particolare nel contesto degli appalti pubblici: gli appalti innovativi. Sotto questo punto di vista, la “dimensione orizzontale” della cybersicurezza pubblica potrebbe rappresentare un ideale ambito di applicazione.

 

Ha menzionato l’importanza degli “appalti innovativi” come strumento per migliorare la collaborazione tra pubblico e privato nella cybersicurezza. Potrebbe spiegare in dettaglio come funzionano questi appalti e quali vantaggi offrono?

Gli appalti innovativi, come si intuisce dal nome, sono appalti pubblici in cui l’innovazione riveste un ruolo centrale. Secondo la ricostruzione della dottrina, queste tipologie di appalti possono riguardare l’acquisto di beni o servizi innovativi, oppure l’acquisto di beni o servizi non innovativi ma tramite a una procedura innovativa, nonché l’acquisto di un bene o un servizio innovativo attraverso una procedura innovativa o comunque non istituita appositamente per quello specifico obiettivo.

Fra gli appalti innovativi, previsti esplicitamente dalla disciplina sul public procurement europea e italiana, appare particolarmente interessante – almeno per quanto attiene la cybersicurezza – il partenariato per l’innovazione.

Si ricorre a tale procedura innanzitutto per far sviluppare e acquistare beni o servizi innovativi in grado di soddisfare fabbisogni pubblici che lo stato attuale del mercato non è ancora in grado di soddisfare. Senza entrare troppo nello specifico (ragion per cui si rimanda all’art. 31 Direttiva 2014/24/UE e all’art. 75 d.lgs. n. 36 del 2023), il partenariato per l’innovazione racchiude in sé l’ambito di applicazione dell’appalto pre-commerciale, nel quale è ricompresa la fase di ricerca e sviluppo del bene o del servizio innovativo ma non quella della sua commercializzazione, e l’ambito dell’appalto di soluzioni innovative, in cui invece vi è la fase di commercializzazione del bene o del servizio innovativo ma non quella di ricerca e sviluppo.

Questa procedura è articolata secondo una struttura multifase progressiva: una prima fase di qualificazione degli operatori economici e di loro selezione da parte della stazione appaltante, la quali inviterà quelli ritenuti idonei a presentare offerta in merito a progetti di ricerca e innovazione volti a soddisfare il fabbisogno espresso; una seconda fase (eventualmente composta da sottofasi), su invito, concernente la co-progettazione della soluzione innovativa, volta ad affinare la qualità delle varie offerte selezionate grazie a negoziazioni e alla presentazione di varianti tecniche alle offerte iniziali presentate; infine, una terza di fase di individuazione della migliore soluzione progettuale (cioè dell’offerta) e commercializzazione del bene o del servizio sviluppato nelle fasi precedenti.

Nel partenariato per l’innovazione (e più in generale negli appalti innovativi), lo spazio di autoritatività dell’azione pubblica è notevolmente ridotto rispetto agli appalti tradizionali – si pensi alla procedura aperta – mentre è ampliato lo spazio di collaborazione fra l’acquirente pubblico (la stazione appaltante) e il venditore privato (l’operatore economico fornitore): l’Amministrazione contraente, infatti, interagisce con i fornitori, co-elabora insieme ai privati la soluzione progettuale, si pone sul loro stesso piano.

Tramite questo strumento, la Pubblica Amministrazione diviene essa stessa un soggetto attivo del processo innovativo: non si limita ad aggiudicare beni o servizi “già pronti”, ma agisce ab origine in modo attivo e strategico insieme agli operatori economici. Il ricorso agli appalti innovativi, inoltre, consentirebbe altresì di recuperare la funzione pianificatoria pubblica – una funzione da sempre considerata il riflesso della centralità dello Stato. Quest’ultimo, infatti, non si troverebbe più nella situazione di “subire” le scelte del fornitore, ma avrebbe la possibilità di confrontarsi con le imprese e di indirizzarne l’operato verso il raggiungimento dei fini decisi proprio dal soggetto pubblico: attuare, dunque, quella che, a ben guardare, può essere definita come “collaborazione orientata”.

Se tutto ciò lo si inserisce all’interno del contesto della cybersicurezza pubblica, allora si può ipotizzare senza utopie un impiego concreto di uno strumento, già in possesso delle Pubbliche Amministrazioni e fisiologicamente conciliabile con il sistema di centralizzazione delle committenze, con cui, da una parte, rendere il soggetto pubblico un player centrale della cybersicurezza, in grado di liberarsi dall’effetto lock-in tramite un dialogo “alla pari” con i fornitori; dall’altra parte, orientare lo sviluppo tecnologico (della cybersicurezza, in tal caso) proprio sull’esatto fabbisogno pubblico, come può essere in particolare la tutela della sicurezza nazionale (evitando ingerenze di imprese di Paesi ostili) orientando tale rapporto collaborativo con il privato sulla base del modello dell’Entrepreneurial State, già teorizzato da Mazzucato.

 

Perché a Suo avviso c’è la necessità di un maggiore alfabetismo digitale nella società civile e nella Pubblica Amministrazione: quali azioni specifiche ritiene siano necessarie per promuovere questa cultura ICT e la consapevolezza della cybersicurezza?

Come si può facilmente intuire, uno dei limiti più rilevanti che frenano il generale ricorso agli appalti innovativi attiene all’alto livello di competenze richieste per la loro gestione, tanto nella fase amministrativa quanto in quella esecutiva. E questa criticità si acutizza ulteriormente se l’impiego di tali appalti avviene nell’ambito tecnologico, essendo imprescindibile che i soggetti pubblici siano in grado di possedere le medesime conoscenze dei privati onde orientarne l’attività a fini generali.

Tale oggettiva difficoltà deve peraltro essere contestualizzata nell’attuale situazione italiana, in cui il livello di alfabetizzazione digitale è fra i più bassi di tutta l’Unione europea; il quale necessariamente si riflette anche all’interno della stessa Pubblica Amministrazione italiana, caratterizzata da un’età media dei dipendenti superiore ai 50 anni.

Dato che, come già affermava Vittorio Emanuele Orlando, il diritto è uno strumento concreto che deve servire innanzitutto alla vita dell’uomo, non si può dunque prescindere dalle persone stesse e dalle loro conoscenze. È da qui che bisogna partire per riuscire tradurre nella quotidianità gli obiettivi che gli istituti giuridici si prefiggono di raggiungere, ed è qui che bisogna investire sforzi e risorse, pena, altrimenti, l’aver delineato ottimi strumenti teorici ma inutili sul piano pratico.

Le Istituzioni pubbliche sono consce di questa situazione e stanno attuando specifici piani strategici finalizzati a incrementare il livello di alfabetizzazione digitale del Paese grazie allo stanziamento di apposite risorse finanziarie (es. Strategia Nazionale per le Competenze Digitali; Strategia per l’innovazione tecnologica e la digitalizzazione del Paese 2025; Fondo per la Repubblica Digitale). I cui effetti, tuttavia, potranno intravvedersi soltanto nel breve-medio periodo. Nel breve periodo, invece, potranno realizzarsi risultati positivi anche grazie al verificarsi di altri fattori “di sistema”, come nel caso del turn-over dei dipendenti pubblici e dell’ingresso nella Pubblica Amministrazione della generazione dei c.d. nativi digitali.

Tale direzione pare essere quella corretta, come emerge altresì dall’importante attività di sensibilizzazione e formazione specifica che viene effettuata dal mondo della Scuola e delle Università, oltre che da specifiche autorità, in primis l’Agenzia per la Cybersicurezza Nazionale proprio in relazione alla cultura cyber.

 

 

a cura di

Valeria Montani