La sinergia tra chi si occupa di sicurezza nelle istituzioni pubbliche e nelle aziende private è oggi decisiva per prevenire i pericoli e forse, in un prossimo futuro, predirli. Ne parliamo con Andrea Chittaro, Presidente di AIPISA e Senior Vice President Global Security & Cyber Defence di SNAM.
Per fronteggiare le minacce ibride di infiltrazione criminale nella società, dalla manodopera al soldo del caporalato agli attacchi cyber, occorre una risposta sinergica e coordinata tra privato e pubblico. È quanto emerge dalle ultime riflessioni dell’Aipsa (Associazione Italiana Professionisti Security Aziendale) nel corso del recente evento “Investigare 4.0”.
«Il rapporto tra operatori della sicurezza aziendale e istituzioni deve diventare sempre più sinergico», sottolinea Andrea Chittaro, Presidente di Aipsa e Senior Vice President Global Security & Cyber Defense di Snam. «Bisogna parlare sempre più di partenariato: partendo dal rispetto dei ruoli, diventa necessario convergere rispetto a emergenze e fronti molto complessi, come il rischio di infiltrazione della criminalità organizzata nel tessuto economico delle aziende e la cyber security». Si tratta, per di più, di sfide che arrivano in un momento storico significativo, caratterizzato dalla transizione ecologica e digitale supportata dalle ingenti risorse del Pnrr (Piano Nazionale di Ripresa e Resilienza), di fatto una grande occasione di ripresa per l’economia sana. «Purtroppo offre delle opportunità anche per l’economia criminale», segnala Chittaro.
Dalla prevenzione alla predizione
Oggi non solo biologia e chimica sono funzionali per identificare il colpevole o trovare le tracce di un reato; al contrario, l’approccio alle scienze forensi può essere trasversale e olistico. Se il prefetto Vittorio Rizzi, vicedirettore generale della pubblica sicurezza e direttore centrale della polizia criminale, proviene dal mondo dei security manager, l’università “La Sapienza” ha un lungo percorso di collaborazione con le forze di polizia, attraverso le sue capacità di ricerca e formazione. «Una delle più recenti iniziative è la nascita di un corso di laurea in “Psicologia giuridica, forense e criminologica” - racconta Anna Maria Giannini, professore ordinario e capo del Dipartimento di Psicologia della Sapienza, Università di Roma - Un esempio di proficua sinergia con realtà esterne all’università, al fine di offrire agli studenti le professionalizzazioni effettivamente richieste, così come competenze veramente operative».
«Lo scenario attuale è completamente nuovo», spiega Rizzi, «il cyber crime è in questo momento l’unico crimine con una crescita impressionante, anche a tre cifre, ulteriormente aggravata durante il periodo della pandemia. La minaccia oggi riguarda le piattaforme criptate, dove le quantità di informazioni e di pericoli sono allarmanti, tanto per il pubblico quanto per il privato». L’era quantistica ventura presenterà altre sfide ancora, persino azzerando lo scenario attuale. «Molte aziende stanno lavorando con emulatori quantistici nel campo della trasmissione dei dati e delle immagini», aggiunge Rizzi. «Di fronte alle nuove minacce, bisognerà attrezzarsi tecnicamente e normativamente».
I security manager saranno chiamati a meglio declinare i loro compiti e competenze. «Probabilmente dovranno sganciarsi della loro origine come forza di polizia, perché sono diventati qualcosa di completamente diverso», rimarca Rizzi. «Oggi i temi sono molteplici, da quelli riferibili al D.Lgs. 231/01 sulle responsabilità del datore di lavoro e dell’azienda in caso di illeciti a quelli della responsabilità penale dell’impresa, passando per la corruzione internazionale nelle multinazionali e le migliaia di aziende sotto attacco cyber. In effetti, oggi, parlare di ransomware e attacchi cyber è quasi diventato qualcosa di ordinario».
Da qui la necessità di coniugare sicurezza e protezione dati e l’importanza della nascita dell’Agenzia per la resilienza informatica, fortemente voluta da Franco Gabrielli, autorità delegata per la sicurezza della Repubblica. «In qualunque convegno di forze di polizia a livello mondiale, oggi i temi sono spazio cyber security, intelligenza artificiale, machine learning perché il futuro è la predizione», sottolinea Rizzi.
Cultura e dialogo
All’interno di uno scenario tanto complesso, come possono dialogare le istituzioni e l’economia privata? «La cultura della legalità dev’essere una delle basi fondanti del fare impresa», afferma Marco Reggiani, presidente di Stogit, principale operatore italiano ed europeo nello stoccaggio di gas naturale. «Tuttavia bisogna andare oltre, avendo gli imprenditori a disposizione risorse, dati e informazioni che, in ottica di collaborazione, possono essere messi a disposizione delle autorità o della potestà pubblica, per aiutare e farsi aiutare. L’imprenditore chiede solamente di poter competere a pari condizioni ed essere protetto dalle autorità. Da qui si possono dipanare tutti i rivoli, come il contatto con un criminale: sarà necessario uno strumento interno, così come risorse e competenze funzionali a prevenire il rischio di infiltrazioni. L’osservanza della legge dev’essere una forza non passiva, ma proattiva».
A proposito di infiltrazioni della criminalità organizzata, i fondi legati al Pnrr hanno già creato diverse fibrillazioni. «Il livello di rischio, secondo le nostre percezioni, è elevato», commenta Alessandra Dolci, procuratore aggiunto direzione distrettuale antimafia Milano. «La criminalità è riuscita già ad accaparrarsi parte delle risorse economiche messe a disposizione dal governo durante il primo lockdown. Ora con il Pnrr dobbiamo riflettere sulle contromisure adeguate, per esempio attraverso le interdittive antimafia e l’albo teorico dei prestanome».
In contrasto ai fenomeni criminali di ogni giorno, poi, interviene anche la questura. «Il confronto con il privato», afferma Giuseppe Petronzi, questore di Milano, «è un momento nel quale aumenta la consapevolezza della responsabilità nella preservazione di un ambiente - quello milanese - che ha un peso molto importante nella generazione del prodotto interno nazionale. Come un metronomo della sicurezza, il questore deve fornire risposte pratiche rispetto a piazze reali ma anche virtuali, attraverso una capacità di lettura che sia foriera di pronte risposte».
Certamente, la collaborazione di chi si occupa di sicurezza nel settore privato, supportando il mondo istituzionale, può migliorare la sicurezza dell’intero sistema Paese. «Questa è una responsabilità di tutti, non solo del prefetto, del questore e del procuratore della repubblica, ma anche delle aziende, chiamate a fare la loro parte», conclude Chittaro.
L'esempio di A2A
Parla Alessandro Manfredini, direttore Group Security e Cyber Defence A2A e vicepresidente di Aipsa
In un contesto come quello di oggi, caratterizzato da tante sfide che riguardano non solo lo spazio fisico, ma anche quello cyber, un security manager deve disporre di mezzi aggiornati e all’altezza. «Gli strumenti, in realtà, non sono mai adeguati, per definizione, all’obiettivo di fronteggiare le minacce che ci troviamo a gestire quotidianamente», racconta Alessandro Manfredini, direttore Group Security e Cyber Defence A2A e vicepresidente di Aipsa. «Certo è che gli sforzi che mettiamo in campo sono numerosi».
Sicuramente, le imprese dispongono di diversi strumenti per orientarsi in modo opportuno nella gestione dei rischi. «Per esempio, A2A possiede un albo fornitori di 6.000 persone giuridiche con un turnover di 2.000 fornitori all’anno» prosegue Manfredini. «Già applicare delle logiche di screening, nell’ottica di un approccio proattivo, permette di creare logiche di mercato virtuose attraverso un processo di qualificazione dei fornitori che non si ferma solo alle loro capacità tecniche. D’altra parte, ormai, vi sono strumenti di intelligence che consentono anche ai privati di fare uno screening da fonti aperte per acquisire informazioni che consentono di tracciare un profilo delle aziende. Esistono algoritmi di intelligenza artificiale che addirittura sono riusciti a tracciare, interpretando i bilanci, quale sia la propensione di una determinata azienda a commettere reati».
Si tratta di una sorta di campanello d’allarme, che si rivela assolutamente prezioso, considerato il fatto che le aziende devono operare in massima trasparenza e in contraddittorio con le proprie terze parti. «È necessario un processo attraverso il quale il prospect, ovvero il potenziale fornitore che entra in contatto con l’azienda, sappia che saranno effettuati degli approfondimenti, andando oltre la visura camerale o il bollino di qualche ente di certificazione che fornisce determinate garanzie tecniche», precisa Manfredini. «Diventa decisivo capire le ragioni di eventuali incidenti o vicende giudiziarie del prospect, per un confronto che sia trasparente e porti a scelte realmente consapevoli».
Altri strumenti sono l’interdittiva e il codice degli appalti che, lavorando in un mercato regolamentato, consentono di preservare una parte di business sano. «Se tutte le aziende si comportassero in questo modo, in maniera fisiologica non ci sarebbe più spazio per l’imprenditore criminale. Come fornitori, infatti, sarebbero qualificate solo le imprese sane, che fanno business in maniera etica e lecita, senza creare distonie che inficiano sulla libertà di mercato», ha sottolineato Manfredini.
Un processo, questo, che non riguarda solo il tema delle infiltrazioni criminali, ma anche gli ambienti cyber. «Qui applichiamo le stesse logiche di screening della robustezza delle terze parti che, il più delle volte, di fronte a un attacco cibernetico, rappresentano l’anello debole della catena. La sfida qui consiste nel trovare degli indicatori che ci possano garantire, in maniera preventiva, di poter andare a misurare la postura di sicurezza della nostra supply chain», conclude Manfredini.