Prima di diventare Segretario Generale e fondatore di ECSO (European Cyber Security Organisation) si è laureato in Ingegneria Nucleare al Politecnico di Milano. Come si è affacciato al mondo della cybersecurity?
Cominciamo dall’inizio, dal Politecnico di Milano. Avevo deciso con altri amici di anticipare il corso di informatica. Era circa il 1978. A quei tempi si usavano carte perforate e le stampanti erano a nastro. Si usava il Fortran 77 e il Cobol (ho poi creato un software per la gestione degli esami al “Poli” in Cobol che mi hanno detto essere stato usato per anni).
L’informatica mi riusciva naturale, molto più che la fisica che amavo. Ma l’obiettivo era lavorare per la fusione termonucleare e l’informatica è diventata solo uno strumento e non un obiettivo. Durante la tesi di laurea al CNR di Milano, sono stati introdotti i primi terminali IBM (tastiera e schermo): tutt’altra cosa che le schede perforate! Quasi logicamente ci si divertiva tra laureandi ad entrare nelle backdoors dei ricercatori e fare scherzi. Non lo sapevamo ancora, ma eravamo degli hackers!
Ricordo che subito dopo la tesi, nel 1983 dovendo finire un lavoro di progettazione di un’antenna microonde, mi hanno concesso di lavorare su un nastro magnetico con ben 10 MB di memoria, come i veri ricercatori! L’uso del computer è continuato ad essere un uno strumento di lavoro. Ricordo ancora l’investimento fatto nel 1989 per uno dei primi “portabili” (non portatili, visto che pesavano circa 4 kg) Toshiba, con uno schermo piatto al plasma (di colore arancione).
Lasciato poi la ricerca per l’industria, ho usato i computers, ma solo per scrivere testi o presentazioni, pur avendo una parte attiva nel finanziamento per lo sviluppo di schermi piatti per società europee.
Nel 2007 ho creato EOS, l’organizzazione europea per la sicurezza dove trattavamo i diversi temi legati alla sicurezza: controllo frontiere, crisi ambientali, sicurezza dei trasporti (9/11/01 era ancora molto vicino), e anche sicurezza informatica (non esisteva allora il termine cybersecurity). Nel 2009 con qualche collega abbiamo scritto dei white papers visionari, con suggerimenti che abbiamo poi visto essere presi in considerazione solo dieci anni dopo.
Nel 2011 ho cominciato a cercare di persuadere la Commissione Europea della necessità a creare un PPP sulla cybersecurity (abbiamo incominciato ad usare quel termine quell’anno). Ci sono voluti diversi anni di discussione per arrivare al 2016, quando la Commissione ha dato l’OK per creare un PPP europeo e su questo tema e il suo “veicolo” di supporto: ECSO. Non ero un esperto tecnico del settore, e il mio obiettivo era di mettere insieme gli attori del pubblico e del privato. Non così facile farlo come dirlo. Inoltre, non si voleva ridurre l’iniziativa ad una discussione sulle priorità della ricerca, come voleva la Commissione, ma andare verso il mercato, andare verso delle attività concrete.
Nel 2017, durante una discussione con quella che oggi è il Rettore del Politecnico di Milano, l’ing. Sciuto, si era reso evidente che al cospetto del crescente bisogno di esperi nel settore cyber, non si poteva trascurare 50% della popolazione. È così che ho avuto l’idea di creare Women4Cyber, una fondazione che oggi ha 32 capitoli nazionali e più di 70.000 ‘followers’.
Il resto è ancora a venire e il bello è che ogni giorno si impara qualcosa di nuova, nuove sfide e si creano nuove soluzioni o approcci. Anche questo è lo charme della cybersecurity.
Può spiegare brevemente quali sono le azioni concrete svolte dalla European Cyber Security Organisation?
ECSO è nata grazie al PPP con la Commissione ma è diventata rapidamente un PPP tra tutti gli attori privati e pubblici (incluse le amministrazioni pubbliche nazionali, che sono anche rappresentate al Consiglio di Amministrazione di ECSO). Il fatto di essere riusciti a creare, sviluppare e consolidare ormai da nove anni questo PPP è già un risultato concreto, poiché ha contribuito alla costituzione di un network europeo di attori rappresentanti tutti gli aspetti della comunità e dei diversi ecosistemi, nelle sue diverse fasi di maturità e di interessi locali. Una Torre di Babele che progressivamente ha incominciato a parlare la stessa lingua con obiettivi convergenti.
Oltre a continuare l’obiettivo inziale per l’identificazione delle priorità di ricerca finanziata in Europea e il Roadmap tecnologico, sostenendo la ricerca e l’innovazione nel campo della cybersecurity, ECSO coopera con ENISA e con CEN-CENEC ed ETSI alla definizione di standard e certificazioni europee per prodotti e servizi di cybersecurity, al fine di garantire un livello elevato di sicurezza e interoperabilità.
Altre attività concrete sviluppate negli anni da ECSO includono gli incontri tra startups e investitori, e una iniziativa che dovrebbe raggiungere tra poco il suo obiettivo: la creazione di un fondo europeo, pubblico – privato, specifico alla cybersecurity. Connesso a questa attività c’è anche il sostegno alle PMI, sia dal punto di vista visibilità delle società e dei loro prodotti con la piattaforma Cyberhive (un marketplace), che con attività di sostegno per l’implementazione di legislazioni europee (per esempio il Cyber Resilience Act) ed attività a livello locale / regionale di accelerazione.
ECSO ha anche creato un network di CISO (Chief Information Security Officer) rappresentanti i diversi settori e i diversi paesi europei. Oggi questa comunità conta circa 600 membri che si scambiano giornalmente best practices e altre informazioni legate agli attacchi cyber.
Importante è anche l’attività nel settore della sensibilizzazione dei cittadini e dei “decision makers”, ma anche l’iniziativa dedicata ai più giovani (Youth4Cyber) che, partendo dalla igiene cyber vorrebbe stimolarli verso una carriera nel settore. Per sostenere l’educazione e il training di esperti e aiutare le persone nelle diverse fasi di crescita fino a trovare lavoro nella cybersecurity, un settore a forte domanda di personale, ECSO ha sviluppato la piattaforma Road2Cyber. Inoltre, ECSO è stato il punto di partenza per la meravigliosa avventura di Women4Cyber.
Grazie al suo network, ECSO facilita la creazione di reti e collaborazioni tra aziende, centri di ricerca, università e istituzioni governative per rafforzare l’ecosistema europeo della cybersecurity.
ECSO contribuisce attivamente alla definizione di politiche europee in materia di cybersecurity per tutti i settori di applicazione, fornendo suggerimenti e supporto alle istituzioni dell’UE.
ECSO organizza eventi, conferenze, webinar e workshop per sensibilizzare l’opinione pubblica, le aziende e le istituzioni sui rischi e le opportunità della cybersecurity, nonché per promuovere le migliori pratiche, e per promuovere le attività concrete con i suoi membri e partners.
ECSO continua a rappresentare oggi gli interessi del settore europeo della cybersecurity a livello europeo e internazionale, dialogando con istituzioni, organizzazioni e altri stakeholder, senza però essere una entità di lobbying, poiché tutti gli attori sono presenti, sia pubblici che privati. Questa posizione di indipendenza permette ad ECSO di essere un interlocutore privilegiato delle Istituzioni Europee.
Cosa possono fare i cittadini per avere maggiore tranquillità in rete?
Vivendo e viaggiando in Europa, posso vedere la situazione in diversi stati, con diversi livelli di maturità ed interessi economici.
Cominciamo da un esempio. Un regolamento come il GDPR che, essendo un Regolamento europeo dovrebbe essere applicato in tutti i paesi in modo uguale, è interpretato nei suoi termini secondo la maturità o la sensibilità del paese. L’Italia ha una sensibilità verso la privacy che altri paesi europei non hanno. Forse dovuta all’influenza dei media? Il fatto è che c’è veramente molta differenza. Così come c’è molta differenza tra l’“aggressività” (o forse dovrei dire “onnipresenza invadente”?) delle pubblicità sui siti italiani rispetto a quelli esteri. Uno dei risultati, penso, sia l’opposto di quello ricercato: invece di attirare lettori o spettatori in un certo modo perché paghino un abbonamento, li fanno “scappare” così che vanno su siti di streaming illegali e magari pericolosi.
Parliamo appunto di pericolo. Tutti gli italiani, così come altri cittadini europei, non hanno una educazione informatica elevata, soprattutto per quanto riguarda la cybersecurity. E allora cosa fanno? Non usano l’informatica per molti pagamenti (e parlo anche di carte bancarie ecc.). Nei paesi anglosassoni non si usa quasi più il contante. In Italia conosco ancora tanta gente che non si fida. Né delle carte di credito, né dell’acquisto su siti web. Quanto gioca in questo l’atavica diffidenza rispetto l’autorità e il sistema? Quanto la paura dell’ennesima truffa in cui gli italiani si ritengono “esperti”?
Non usare l’informatica e l’e-commerce per ragioni di vera o falsa sicurezza può aiutare il commercio locale a sopravvivere ma certo non aiuta il commercio globale ad espandersi. E in ogni caso, che ci piaccia o no, progressivamente tutte le operazioni amministrative si stanno informatizzando, con grandi problemi per gli anziani, per quelli che non hanno sempre accesso ai computer, per quelli che temono gli attacchi cyber e la frode.
I media non dovrebbero martellare, come fatto in passato per fare sensazione, la pericolosità dell’informatica senza chiarire i problemi e proporre soluzioni. La sicurezza informatica è un problema vero, ma deve essere trattato in modo adeguato. Non serve fare lo struzzo, bisogna tirare fuori la testa e affrontare il problema.
Il problema della sensibilità e dell’educazione dei cittadini, dai più giovani ai più vecchi, all’igiene e alla sicurezza informatica è un problema in cui siamo tutti attori: utilizzatori e fornitori.
La sensibilizzazione e l’educazione dei cittadini prende tempo.
I giovani devono essere educati con corsi di igiene cyber (e magari anche con un patentino rilasciato dalla scuola).
I senior o aventi altre difficoltà, possono seguire semplici corsi di informatica e di cybersecurity, possibilmente sostenuti da strutture locali (regioni, municipalità, società, scuole, organizzazioni varie e perché no, visto che siamo in Italia, parrocchie).
Ma non è facile per i cittadini da soli imparare o aggiornarsi. E’ per questo che, oltre all’aiuto famigliare (spesso i giovani aiutano i più anziani in questo campo, ma sanno veramente i giovani i problemi e le soluzioni legati alla cyber?) si dovrebbero creare delle attività legate a diverse comunità per aiutare i cittadini verso la trasformazione digitale, poiché questa non concerne solo le macchine o l’industria, ma anche l’umano.
L’Intelligenza Artificiale è in grado di reperire una grossa quantità di informazioni, qual è la posizione degli organismi della cybersecurity in merito?
In seguito al buzz creato recentemente da Deepseek, il Garante italiano lo ha bloccato in Italia per capire come tratta i dati degli italiani. Una misura di precauzione, come aveva fatto all’apparizione di Chat GPT a fine 2022. Un approccio che conferma quanto esposto prima rispetto alla premura del Garante di preservare gli interessi dei cittadini, una premura che non si vede però, al momento, in altri stati europei.
L’informazione trattata dall’IA è enorme, inimmaginabile. È preferibile non entrare qui nel merito su chi ha fornito i dati, visto che tutti hanno “aspirato” dati da tutti, anche quelli che hanno criticato gli ultimi arrivati. Non penso che qualcuno possa scagliare la prima pietra …
L’IA è come Giano bifronte. Da un lato ha un ruolo cruciale nella protezione e nel miglioramento della cybersecurity, grazie all’analisi di grandi quantità di dati, l’identificazione di minacce complesse e l’automazione dei processi di sicurezza. Dall’altro lato presenta delle sfide e dei rischi specifici come l’utilizzo malevolo dell’IA per automatizzare attacchi informatici, la creazione di malware sofisticati e la diffusione di disinformazione.
Per poter sostenere gli aspetti positivi dell’IA, è necessario definire standard etici e tecnici che favoriscano l’utilizzo responsabile dell’IA nella cybersecurity, garantendo al contempo la protezione dei dati personali e la trasparenza degli algoritmi.
Inoltre, la condivisione di informazioni sulle minacce e sulle vulnerabilità tra aziende, istituzioni e ricercatori è fondamentale per migliorare la capacità di difesa collettiva.
È necessario continuare ad investire nella ricerca e nello sviluppo di nuove tecnologie di IA per la cybersecurity, a livello nazionale ed Europeo, al fine di anticipare le evoluzioni delle minacce e sviluppare contromisure efficaci.
Infine, è importante formare professionisti della cybersecurity in grado di utilizzare l’IA in modo efficace e consapevole, nonché sensibilizzare gli utenti sui rischi e sulle opportunità dell’IA.
Solamente con un approccio integrato e collaborativo si potrà sperare in un utilizzo sicuro e responsabile dell’IA nella protezione del mondo digitale.
