TL;DR Una recente puntata di Presa Diretta dedicata alla cybersecurity nazionale è stata di stimolo per pubblicare una lettera aperta al Direttore dell’Agenzia Nazionale Cybersecurity, dott. Baldoni, stigmatizzando la (pessima) situazione delle pubbliche amministrazioni italiane in ambito ICT.
Qualche giorno fa, sul social network LinkedIn, in risposta al servizio della trasmissione Presa Diretta in merito allo stato della Cybersecurity nazionale, ho scritto una lettera aperta al direttore dell’ACN, il dott. Baldoni:
Egregio dott. Roberto Baldoni,
Michele Pinassi
l’ultima puntata di Presa Diretta, nella quale lei stesso è stato intervistato, ha nuovamente evidenziato la tragica situazione –in ambito cybersecurity– del nostro Paese, alla quale non fa eccezione neppure la pubblica amministrazione.
Gli esempi citati nella puntata, una delle poche realizzata bene (sarà che, finalmente, hanno intervistato figure competenti?), hanno evidenziato come non vi sia solo un problema di risorse economiche quanto di competenze e professionalità.
Le scrivo questa brevissima lettera aperta perché nel suo intervento, in qualità di direttore dell’ACN –Agenzia per la Cybersicurezza Nazionale– ha sottolineato la necessità di fare una bella “iniezione” di competenze nelle pubbliche amministrazioni italiane, trascurando –sicuramente per questione di tempo– chi nelle PA italiane già lavora, spesso con estrema difficoltà e con ristrettezze e vincoli che mettono a repentaglio la sicurezza dei sistemi e, di conseguenza, i dati dei cittadini italiani. Il Comune di Gorizia, attaccato da un ransomware e citato nella puntata, è solo uno delle migliaia di esempi nelle oltre 20.000 PA italiane.
Ben vengano, come da lei sottolineato, le nuove giovani professionalità in ambito cyber (mi chiedo se avranno stipendi dignitosi, almeno loro…) nelle PA italiane ma temo che questo intervento richiederà almeno un paio di anni –ottimisticamente parlando– per iniziare. Nel frattempo, in piena cyberguerra, cosa facciamo? Restiamo a guardare mentre i sistemi ICT delle PA italiane vengono costantemente violati e i loro dati sottratti e usati per scopi illeciti?
La mia modesta e incompleta visione della PA italiana, che non si discosta così tanto da quanto evidenziato dalla “dimenticata” Commissione d’Inchiesta parlamentare sulla Digitalizzazione della PA, mi porta a pensare che le professionalità, sicuramente poche ma comunque meglio che niente, nella PA ci sono. Solo che, spesso, sono fortemente sottopagate e equiparate a livelli professionali che umiliano le competenze richieste per svolgere questo lavoro con passione e dedizione. Il tutto, probabilmente, per la mancanza cronica di consapevolezza ai livelli più alti della PA, che vede nel professionista ICT poco più di un “ragazzo smanettone e un po’ nerd che aggiusta i piccì“. Non è così, come Lei sa bene, e credo sarebbe opportuno, prima che sia troppo tardi, che le poche competenze ICT rimaste negli Enti italiani trovassero, finalmente, la loro dignità professionale.
Ah, per finire: forse è opportuno non guardare solo i titoli di studio e iniziare a valutare seriamente le competenze acquisite negli anni di lavoro. Spesso, infatti, a pareti piene di titoli e certificati non corrisponde una adeguata preparazione “sul campo”, che -a mio modesto parere- è ciò che ora serve.
Attendo (sempre meno) fiducioso.
Al quale, dopo poche ore, il Dott. Baldoni ha risposto:
Grazie per la lettera e, che dire, sono completamente d’accordo con lei. Queste professionalità presenti nella PA vanno valorizzate sia da un punto di vista della “visibilità” gerarchica sia del salario. L’ho dichiarato pubblicamente e scritto diverse volte da anni. Anche perche altrimenti i tecnici della PA trovano altre opportunità e se ne vanno, lasciandole ancora più indifese mentre organizzano un altro concorso con esiti incerti. Sulla consapevolezza della dirigenza, con il Ministro Brunetta e la Presidente Severino abbiamo organizzato i primi corsi per dirigenti PA sull’argomento. Nel frattempo l’agenzia sta mettendo in campo, attraverso il PNRR, azioni con le PA centrali e locali progetti per il rafforzamento delle difese cyber e molte altre iniziative che saranno sempre più pervasive con il rafforzarsi in termini di personale dell’agenzia. E’ un percorso lungo e duro che dobbiamo tutti insieme intraprendere. Non abbiamo alternativa. Rispetto a tredici mesi fa il fatto di avere una istituzione, l’Agenzia, che mette al centro queste azioni e se ne fa motore e cassa di risonanza nazionale seguendo strettamente un progetto strutturato, come la strategia nazionale di cybersicurezza, mi rende fiducioso per il futuro.
Roberto Baldoni, Direttore ACN
Il mio (ennesimo) rant voleva essere solo un (piccolo) stimolo a reagire ad una situazione che reputo sempre più imbarazzante e sempre meno sostenibile, nell’ottica di migliorare la cyber-resilienza del sistema Paese, rappresentato dalle PA.
Qualcosa sembrerebbe, pian piano, cambiare ma i tempi biblici dell’Italia mal si concicliano con la velocità dell’evoluzione degli attacchi informatici, rendendo i sistemi degli Enti pubblici italiani vulnerabili alle gang cybercriminali.
Penso ci sia poco da aggiungere, se non sperare in un fulmine sulla via di Damasco e una rapida inversione di rotta per tamponare il drammatico scopolamento di personale tecnico competente, formato e motivato, nelle Pubbliche Amministrazioni italiane. Personale tecnico necessario anche e soprattutto per favorire la transizione digitale, compresa la migrazione dei servizi sul Cloud. Oltre, ovviamente, a dover gestire la sicurezza cyber delle postazioni informatiche, sempre di più presenti ed essenziali per l’operatività degli uffici.
Qualcuno dirà che stanno facendo concorsi per assumere informatici nelle PA. Vero, peccato che gli stipendi offerti sono del tutto inadeguati rispetto al mercato e, soprattutto, rispetto al costo della vita nelle città dove sono le sedi di assunzione (di smart working, come saprete, se ne parla poco e in malavoglia). Il risultato è, come testimoniato da svariate fonti stampa, una forte percentuale di rinunciatari, con il risultato di non riuscire a coprire neanche il numero di posti disponibili.
E’ necessario, pertanto, che la PA comprenda il bisogno di restituire una solida dignità professionale al settore ICT, poiché ormai rappresenta la base di qualsiasi attività amministrativa dello Stato. E’ impensabile, e strategicamente deprecabile, pensare di delegare a terzi la gestione del “sistema nervoso” digitale nazionale (non dimentichiamo che chi ha le “chiavi” dei sistemi informatici ha accesso a tutto ciò che vi è dentro…), oltre al fatto che le competenze ICT, come già sottolineato, sono necessarie anche per l’analisi dei fabbisogni e la valutazione delle soluzioni.
Penso, e concludo, che una rivalutazione forte del settore ICT all’interno della Pubblica Amministrazione sia strategicamente una priorità che il comparto pubblico deve affrontare. Lo abbiamo visto, ad esempio, all’INPS, dove il Responsabile della Transizione Digitale Vincenzo De Nicola ha permesso all’Ente di compiere un impressionante balzo in avanti come qualità del servizio offerto in pochissimi mesi.
Un sempre (meno) speranzoso Responsabile della Cybersecurity in una PA, Michele P.