Luigi Rebuffi è Segretario Generale e fondatore di ECSO (European Cyber Security Organisation). Dopo essersi laureato in Ingegneria Nucleare al Politecnico di Milano (Italia) e aver ottenuto un dottorato di ricerca in Francia, ha lavorato in Germania allo sviluppo di sistemi a microonde ad alta potenza per il prossimo reattore a fusione termonucleare (ITER).
Ha continuato la sua carriera in Thomson CSF / Thales in Francia dove ha assunto crescenti responsabilità per gli Affari Europei (R&S) in diversi settori.
Nel 2007 ha suggerito la creazione dell’Organizzazione Europea per la Sicurezza (EOS) e ne ha coordinato l’istituzione, essendone per 10 anni l’Amministratore Delegato. Nel 2016 ha contribuito alla creazione ed è stato fondatore di ECSO, firma con la Commissione Europea del cPPP sulla cybersecurity e nel 2019 ha creato la Fondazione Women4Cyber.
Con lui ci siamo confrontati sui rischi cibernetici e le nuove sfide che attendono gli Stati sul fronte delle azioni di contrasto agli attacchi hacker e per la creazione di un ecosistema digitale sempre più inclusivo, democratico e sicuro.
- Ingegner Rebuffi, quali sono le prossime sfide che l’Organizzazione Europea per la Sicurezza Cibernetica (ECSO) dovrà affrontare?
Le sfide sono molteplici e di ordine diverso.
Una sfida interna: ECSO sta crescendo rapidamente a cause della velocità di evoluzione della cyber e della crescente richiesta dei membri e partners che vedono con soddisfazione i nostri risultati concreti. Ma questo sviluppo richiede risorse e capacità umane crescenti.
Una sfida esterna: in Europea c’è ancora molta frammentazione tra il pubblico (anche tra gli stati membri e le istituzioni europee) e il privato dei diversi paesi. Le ragioni sono molteplici: livello di maturità, interessi politico / economici; legacy, ecc.
Una sfida intrinseca: la natura burocratica delle istituzioni pubbliche che spesso affrontano i temi cyber come gli altri temi (a dire la verità, un po’ più velocemente, ma non sufficientemente) quando la natura specifica del settore, la velocità e l’impatto delle minacce richiederebbe una maggiore attenzione e comprensione dei bisogni operativi e del mercato se veramente si considera la protezione della trasformazione digitale come un fattore chiave dello sviluppo della società e dell’economia.
Una sfida di credibilità: senza voler essere paragonati alla Sibilla Cumana o alla Pizia, in ECSO abbiamo una buona visione dei probabili scenari futuri, non perché ci serviamo di palle di cristallo, ma perché da un lato siamo specializzati nel settore cyber e dall’altro passiamo il nostro tempo a raccogliere informazioni e ad integrarle sulle dinamiche del mercato, delle policies e degli attori. I nostri membri e partners possono dedicare solo qualche minuto del loro tempo a questa ricerca, ma possono essere restii ad accettare le nostre conclusioni perché complesse. Noi cerchiamo sempre di più di involvere gli attori nelle nostre analisi per sviluppare la fiducia tra noi e nelle conclusioni comuni. Non sempre questo è facile poiché se nell’ambito di un paese ci può essere una buona comprensione dell’ecosistema nazionale, spesso purtroppo manca la visione aldilà dei propri confini e la comprensione di come cooperare per un muto beneficio: la costruzione dell’ecosistema cyber europeo ha ancora molta strada davanti a sé!
- Ci parli del progetto ECCO – European Cybersecurity Community Support project. Com’è nata l’idea, quali sono gli obiettivi che vi proponete di raggiungere?
Per avere un quadro più chiaro della situazione dobbiamo rimontare alle origini della cosa.
Nel 2011 alcune società europee dell’ICT (la parola cybersecurity era appena nata) cominciavano a discutere con la Commissione la possibilità di creare un PPP sulla cybersecurity. Questo PPP, dedicato innanzitutto a identificare le priorità di ricerca, si è realizzato solo a metà 2016 con la creazione di ECSO. Un anno la Commissione ha proposto un nuovo modello che è poi evoluto nel 2020 nella creazione del European Cybersecurity Competence Centre (ECCC), nei National Coordination Centres (NCCs) e nella “Community”. Per definire questo sviluppo, la struttura e le azioni possibili, la Commissione ha finanziato con 65 milioni di euro 4 piloti, mentre ECSO ha continuato in parallelo il suo lavoro di sostegno alle policies e allo sviluppo di iniziative concrete (ex: incontri tra startups e investitori europei).
Inizio 2020 il Regolamento per l’ECCC è stato approvato e la sua organizzazione si è messa lentamente in moto (il COVID non ha aiutato). La creazione degli NCCs è forse l’aspetto più importante di questo approccio perché obbliga gli stati, anche quelli meno maturi, ad organizzarsi attorno all’amministrazione pubblica e a identificare quali sono i membri a livello nazionale della comunità cyber. Purtroppo, per diverse ragioni, siamo alquanto in ritardo in questo processo e si ritiene ci vorrà un certo tempo per avere un sistema funzionante come previsto nel regolamento. In questo contesto in cui sono presente ancora molti aspetti da chiarire, ECSO ha preso la direzione del progetto ECCO, finanziato dalla Commissione, un progetto che, come dice il titolo, si vuole a supporto della Comunità Cyber ma che in realtà ha come priorità attuale il sostegno agli NCCs, al loro sviluppo e alla loro cooperazione. Il sostegno allo sviluppo della comunità verrà in seguito (in realtà è una attività continua in ECSO). ECCO (“ecco” qui la comunità cyber!) dovrebbe essere il progetto per far cooperare le migliaia di attori europei (pubblici e privati) interessati alla cybersecurity.
La Commissione e gli NCCs sono ancora alla ricerca di come costruire la casa comune europea per la cyber, soprattutto in un’ottica amministrazione pubblica. Il ruolo di ECCO è anche quello di attirare l’attenzione e l’interesse del settore privato a diventare membro della comunità ECCC e ad investire nei progetti comuni. Ma quali sono i benefici reali? Sono i progetti proposti a finanziamento veramente quelli che il mercato europeo richiede urgentemente (a parte i progetti di R&I che sono a più lungo raggio)? Stiamo lavorando per rispondere a queste domande, anche attraverso la creazione di gruppi di lavoro di esperti che devono sostenere l’Agenda Strategica dell’ECCC e il lavoro degli NCC.
I suggerimenti per investimenti strategici derivano anche da un lavoro di ECCO sull’analisi del mercato e delle sue tendenze, del bisogno per una più grande autonomia strategica dell’Europa, dei suoi attori. Inoltre, ECCO fornisce molte opportunità di incontro tra i diversi attori sia lato ricerca che lato mercato (fornitori / utilizzatori) ma anche a livello sociale, lavorando intensamente sulla competenza (skills).
- In considerazione dei tempi molto lunghi necessari in Europa per arrivare ad un quadro normativo Europeo in tema di sicurezza online, ritiene sia davvero possibile parlare di un ecosistema europeo di cybersecurity?
L’ecosistema europeo di cybersecurity esiste. È strutturato dalle Direttive e Regolamenti che trattano della cybersecurity. Si può parlare del GDPR, del Cyber Security Act, dell’eIDAS, della DORA, la NIS2 (senza contare i recenti AI Act e Data Act), il Regolamento ECCC e le discussioni in corso per quello che sarà una legislazione fondamentale per il futuro dei prodotti e servizi: il Cyber Resilience Act.
Questa base legale fornisce il substrato su cui costruire e sviluppare l’ecosistema della cyber a livello europeo, nazionale e locale. Non tutti i paesi dell’Unione sono allo stesso livello di maturità e di implementazione di queste legislazioni. Anche i paesi più avanzati (soprattutto i più grandi) conoscono delle diversità nel loro ambito.
Roma non fu fatta in un giorno. La cybersecurity europea sarà costituita da decisioni prese in 27 capitali diverse. L’approccio ECCC / NCC, ancora in fase di definizione / implementazione, vuole ridurre il tempo necessario alla convergenza verso questo ecosistema europeo[1] per ridurre il divario con gli attori US, cinesi e presto indiani.
[1] È un po’ come il Piano Seldon nei romanzi della Fondazione di Asimov.
- Ci parli di Women4Cyber Foundation. In che modo le donne possono fare la differenza nel campo della sicurezza informatica a livello europeo?
Non so quanto sia coretto parlare di “differenza” quando allo stesso tempo si parla di “uguaglianza” tra uomo e donna. I due termini sono apparentemente contraddittori. L’idea della Women4Cyber (W4C) Foundation è nata a settembre 2017 in una discussione con l’Ing. Donatella Sciuto, ora Rettore del Politecnico di Milano. Si discuteva come riuscire a colmare il bisogno di più di 300.000 esperti cyber che la Commissione prevedeva per il 2022. La risposta era semplice, da ingegneri quale siamo, e lapalissiana: bisogna portare alla cybersecurity più persone e per questo non bisogna trascurare il 50% della popolazione, cioè le donne. Bisogna far capire soprattutto ai più giovani che interessarsi alla matematica, all’informatica, e alla cybersecurity può generare prospettive di carriera interessanti.
Dunque, il messaggio era quello di portare più “persone” (maschi o femmine) alla cybersecurity, ma per spingere il settore femminile, c’era bisogno di dare visibilità a questo messaggio specifico di “inclusione” (parola preferita a “parità” o simili).
È così nata W4C e a gran sorpresa si sta diffondendo velocemente in Europa (e oltre). Oggi contiamo più di 20 capitoli nazionali e altri sono in arrivo, con più di 35.000 membri. Le donazioni che riceviamo ci permettono di finanziare attività di mentoring, una accademia cyber, presto una piattaforma per la ricerca di lavoro, delle borse di studio ecc. Ricevere i ringraziamenti di ragazze che dopo aver seguito un nostro mentoring hanno travato un buon lavoro è il più grande successo che uno possa avere dal punto di vista umano.
Vorrei però portare una considerazione personale che contraddice la mia prima frase. Le donne sono differenti dall’uomo, sono complementari e hanno una visione e una sensibilità delle cose che, pur avendo la stessa formazione degli uomini, è diversa e che arricchisce il risultato comune e non solo a livello subordinato, ma anche a livello manageriale.
- Il divario di genere nel mondo del lavoro è ancora forte in Italia. Come sta andando il lavoro in Women4Cyber Italia, quali le maggiori criticità che, a distanza di due anni, avete riscontrato inserendo l’organizzazione nel panorama nazionale?
Uno dei problemi maggiori dei capitoli nazionali non è quello di reclutare donne (e uomini) interessate a questo tema, ma di avere risorse sufficienti a sviluppare l’attività e di avere una struttura semplice e rapida di presa di decisioni. A volte, come è successo per la nostra Fondazione a livello europeo, è stato sufficiente cominciare con una persona giovane a tempo pieno, ben pilotata da persone seniors, per sviluppare i concetti, le attività e i finanziamenti.
In diversi paesi la volontà di strutturare i capitoli nazionale con regole di associazione complesse ha rischiato di soffocare le finanze e dunque la capacità di azione. Bisogna anche dire che in Europa non c’è la stessa mentalità di finanziamento di Fondazioni come negli US e questo fa una grande differenza. Il constato è che in Europa, la nostra Fondazione W4C è spesso sostenuta da società non europee che sono alla ricerca di esperti cyber (femminili o maschili) e che finanziano questa ricerca e lo sviluppo della competenza, mentre molte società europee sono ancora troppo spesso “solamente” alla ricerca di esperti cyber.
Per quanto riguarda W4C Italia (W4C-IT) mentre è vero che, come Ente del Terzo Settore, fa fatica a decollare per mancanza di risorse e una struttura decisionale complessa, la creazione di un comitato tecnico scientifico ha portato nuove interessanti attività dando un sostegno culturale e l’affidabilità necessaria ad essere riconosciuti nel settore. In questo ambito, si sono quasi conclusi tre accordi con Università importanti (Luiss, Campus Biomedico e Università di Pisa). W4C-IT ha presenziato a moltissimi eventi, alcuni dei quali co-organizzandoli, e sta continuando con i webinar (il prossimo il 6 luglio co-organizzato con UNI sulla certificazione di genere).
W4C-IT sta facendo partire il programma degli Ambasciatori e sta partecipando all’iniziativa della Presidenza del Consiglio REPUBBLICA DIGITALE, sul divario di genere, a cui porta contributi scritti così come sono stati pubblicati articoli sul tema di genere su diverse riviste. La Presidente, l’ing. Domitilla Benigni, ha rilasciato interviste importanti, ha partecipato di recente al Festival della Diplomazia e lo staff sta collaborando con un programma in Tour per l’Italia di diversi festival. W4C IT è stata presente a diversi eventi con stands. Prossimamente premierà il lavoro di una ragazza a Venezia in occasione di una conferenza scientifica I-EEE… L’Ing. Selene Giupponi, Segretario Generale di W4C-IT è anche estremamente attiva, presenziando settimanalmente in Italia o all’estero, a eventi a nome didel capitolo italiano.
L’adesione all’Associazione W4C-IT di molte personalità eccellenti in qualità di soci onorari testimonia la vicinanza e l’occhio di riguardo delle Istituzioni verso questa iniziativa.
Il Comitato tecnico- scientifico, sotto la guida della dottoressa Rita Forsi, altrettanto privilegia personalità tipo Professori Universitari, professionisti, persone in servizio presso Istituzioni, quali Ministeri, Garante Privacy etc.
Nell’associazione stanno entrando aziende, e riceviamo richieste di iscrizioni di altrettante personalità di elevato valore che ci chiedono di fornire collaborazioni. Si tratterà quindi in un prossimo futuro di armonizzare e gestire questa crescente disponibilità di risorse eccellenti (lavoro un po’ faticoso all’inizio ma foriero di grandi e soprattutto qualificati risultati) per far sempre più conoscere W4C-IT e attirare supporto.
