L'invio della nota informativa al Cancelliere austriaco a conclusione del nuovo accordo in tema di finanziamento dell'Autonomia della Regione Trentino Alto Adige/Südtirol di questa settimana segna un nuovo passo avanti nella definizione della revisione dello Statuto di Autonomia che la regola. Tutto questo avviene in un periodo di gravi turbolenze economiche e sotto quello che, senza mezzi termini si configura come “un bombardamento” a più livelli avente ad oggetto le regioni a Statuto Speciale.
Con la definizione del un nuovo “sistema territoriale regionale integrato” è possibile delineare nuovi ambiti e nuove competenze? E tra queste è possibile definire la parte che riguarda la sicurezza informatica dello spazio cibernetico come chiamato dal legislatore italiano ma ormai da tutti indicato come Cyber Security?

Per rispondere a queste domande conviene guardare alla situazione in altri Paesi europei oltre che a quella italiana. Vivo ormai da molto tempo all'estero ed ho avuto modo di vedere nella mia professione gli effetti dei piani strategici in tema di Cyber Security della Svizzera e soprattutto della Germania sulle aziende in termini organizzazione e sicurezza informatica.

Italia, Germania e Svizzera

Per l'Italia la definizione dei modelli di riferimento in tema di sicurezza informatica nazionale è recentissima e passa dalla recente adozione (G.U: n.41 del 19 febbraio 2014) del “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e del “Piano nazionale per la protezione cibernetica e la sicurezza informatica”. Questi due documenti rappresentano il punto di arrivo di un percorso complesso ma sopratutto il punto di partenza di una strategia organica.

Consolidata da tempo è invece la situazione della Germania la quale già nel 2005 ha definito uno specifico piano nazionale a protezione dei propri sistemi informatici riformulato nel 2011 nel Cyber Security Strategy for Germany. Inoltre a partire dal 2012 ha promosso la “Allianz für Cyber-Sichereit” quale strumento operativo che coordina e promuove le attività di quasi mille soggetti tra privati, istituzioni ed accademia.
Accanto a questi strumenti ve ne sono altri segnatamente operativi quali la definizione di uno standard di sicurezza informatica per le aziende (IT-Grundschutz-Standard) promosso dal Bundesamt für Sicherheit in der Informationstechnik.
Anche per la Svizzera le norme in materia di sicurezza informatica sono state emanate nel 2004 e recentemente modificate con un piano di attuazione con termine il 2017.

Quello che appare evidente nelle esperienze citate è che la Cyber Security è anche un fattore decisivo per la competitività economica delle aziende. Così come lo è la diffusione della cultura della sicurezza informatica tra le aziende (ma anche tra i cittadini).

Gli imprenditori hanno ben chiare le implicazioni della sicurezza informatica per le loro aziende in termini di difesa del loro business così come hanno certamente chiaro che anche su questo terreno si giocheranno le sfide per mantenere un'elevata competitività.
Leggo in questo senso le parole del direttore di Assoimprenditori, Josef Negri, che in dicembre alla riunione con l'associazione VBW che rappresenta le aziende industriali bavaresi ha auspicato regole Europee efficaci e semplici in tema di privacy e tutela dei dati per le aziende.

Quali le possibilità in Trentino/Alto Adige Südtirol?

Per tornare alle competenze della Autonomia Speciale della nostra Regione è da rilevare come la Cyber Security è certamente una questione nazionale ma è altrettanto vero che lo è solo in misura del collegamento diretto alla funzione politica, gestionale nonché finanziaria delle infrastrutture.

Questo concetto è chiaramente espresso nel “Piano nazionale per la protezione cibernetica e la sicurezza informatica” approvato nel 2014, dove si prevede la responsabilità della Cyber Security in capo agli Stati in quanto: “Benché lo spazio cibernetico sia una realtà che trascende, sotto molti punti di vista, le frontiere nazionali, gli Stati ne sono, certamente, gli attori più rilevanti [..] Gli Stati, infatti, dispongono di adeguate risorse umane e finanziarie, oltre che della capacità di organizzare e gestire per lungo tempo organizzazioni complesse.”

Ora viene da chiedersi se il “sistema territoriale integrato” (composto dalla Regione Trentino/Alto Adige Südtirol e dalle due Province) definito dal modificato art. 79 dello Statuto possa configurare la possibilità di gestire in modo “autonomo” anche gli aspetti legati alla Cyber Security.

Infatti il nuovo dispositivo dell'art.79 recita infatti: “Spetta alle province la competenza al coordinamento della finanza pubblica provinciale, nei confronti degli enti locali, dei propri enti e organismi strumentali pubblici e privati e di quelli degli enti locali, delle aziende sanitarie, delle università, incluse quelle non statali di cui all’articolo 17, comma 120, della legge 15 maggio 1997, n. 127, delle camere di commercio, industria, artigianato e agricoltura e degli altri enti od organismi a ordinamento regionale o provinciale finanziati dalle stesse in via ordinaria. [..]”

Quindi, da questa lettura si potrebbe affermare che il “sistema territoriale regionale integrato” avrebbe tutte le caratteristiche per gestire le Cyber Security in modo autonomo.

Sono consapevole della portata provocatoria della mia risposta, non fosse altro per l'evidente semplificazione operata in una materia estremamente complessa oltre che per le implicazioni che avrebbe un autonomo sistema di difesa anche se solo informatico.

Ma quel che è certo è che la nuova stagione dell'Autonomia che è appena iniziata ha come cardine la capacità della Regione Trentino/Alto Adige Südtirol di produrre un PIL adeguato al sostenimento delle proprie prerogative e che quindi la creazione dei presupposti “ambientali” di sviluppo economico è un'obiettivo primario.
Ed è fuor di dubbio che la gestione della Cyber Security rappresenta certamente uno dei fattori principali per lo sviluppo della competività ed innovazione del settore economico come le esperienze del nord europa dimostrano.