Sicurezza industriale, i rischi per le imprese e la strategia da adottare 

scritto da il 30 Agosto 2019

Post di Diego Bolchini, docente di analisi delle informazioni per la sicurezza presso l’Università di Firenze in sinergia con la PcM-DIS. Collaboratore dell’Istituto Affari Internazionali (IAI) con multipli e ignoti gradi di separazione da Ferruccio Bolchini, già Rettore della Università Commerciale “Luigi Bocconi” negli anni 1926-1930. 

Lo scorso 4 agosto, dalle pagine del Sole 24 Ore, il giornalista Marco Ludovico segnalava la prossima promulgazione di nuove direttive del Dis (Dipartimento delle Informazioni per la Sicurezza) rivolte alla tutela della sicurezza industriale in tempi di rischi cyber crescenti.
Questa nuova attività di stimolo alla protezione aziendale appare certamente meritoria, ponendo in essere le più opportune attività procedurali difensive e cautelative, ponendosi peraltro nel contesto di un quadro normativo-amministrativo ben disciplinato, come illustrato da apposita sezione informativa creata dal Sisr per la sicurezza degli operatori economici.

Pensare un sistema di difesa efficace ed efficiente – non creando eccessivo impatto sulle aziende destinatarie delle misure protettive da adottare – è infatti reso necessario da un sistema di minacce sempre più imprevedibili e dove l’infowarfare commerciale, industriale ed economico è oggi particolarmente insidioso e ubiquo in un contesto di aggressiva concorrenza internazionale. Appare altresì evidente che al di là di ogni tipo di valutazione e di contromisura squisitamente tecnica, elemento centrale e coessenziale rimane la risorsa umana e la sua lealtà al contesto organizzativo di riferimento. Sia essa una grande azienda o anche una PMI. Due esempi storici valgano tra i tanti.

In un suo testo del 2015 edito per G-Risk (Servizi Segreti, introduzione allo studio dell’intelligence) il prefetto e generale dell’arma dei carabinieri Mario Mori – già ufficiale del controspionaggio del SID e Direttore del SISDE – segnalava il caso storico di una azienda italiana oggetto di spionaggio industriale da parte del GRU, i servizi informativi militari dell’allora Unione Sovietica. Al tempo la vicenda riguardò microfilm relativi al sistema di navigazione del velivolo Tornado, all’epoca dei fatti (1983) avanguardia tecnologica occidentale. Nel caso specifico, la falla del sistema proveniva proprio dalla componente umana: l’ingegnere dirigente dell’azienda in parola era stato convinto a collaborare da un agente sovietico, ma fu bloccato da agenti dei carabinieri all’atto della consegna di materiale classificato mentre usciva da un negozio romano.

Un secondo esempio proviene invece da un fondo giornalistico. Nel 2004 un articolo apparso sul quotidiano La Stampa di Torino titolava emblematicamente: “Mette in vendita segreti militari su internet. Perito informatico chiedeva 200.000 euro”. Arrestato da Digos e antiterrorismo, il giovane perito informatico che lavorava per una azienda sensibile aveva proposto una vendita online di materiale riservato. Anche in questo caso il tentativo di cessione fu sventato, questa volta grazie all’intervento della polizia postale.

schermata-2019-08-29-alle-23-27-29

Al di là di questi casi di studio storici eclatanti, caratterizzati da una modalità reattiva di contrasto puntuale, solo una attitudine diffusa e consapevole ad una sicurezza partecipata può condurre ad una azione collettiva realmente efficace. Si pensi, in questo senso, ad un caso emblematico di comunicazione istituzionale tra governo e industria negli Stati Uniti.
Nell’ottobre 2001, subito dopo gli attentati alle torri gemelle dell’11 settembre, l’allora Under Secretary of Defense per il settore acquisizione, tecnologia e logistica Edward C. Aldrige si rivolgeva mediante lettera aperta agli “Industry Partners” del Paese, ricordando l’importanza nell’uso della discrezione in tutti i public statements, comunicati stampa e comunicazioni con sub-fornitori esterni a fronte del potenziale di sofisticazione esprimibile da trained intelligence collectors.

La lettera si chiudeva con la seguente affermazione rivolta ai funzionari alla sicurezza delle aziende e realtà industriali interessate: “Thank you again for your hard work and contributions, and for those of your respective work forces. Together we will prevail”.

Non resta quindi che aspettare le nuove iniziative che saranno condotte dal DIS dopo l’estate: ovvero il nuovo portale online del DIS-Ucse, diffondendo la migliore conoscenza tra le imprese a fini di sicurezza rispetto ad una ricerca economica ostile, e il roadshow sui rischi cyber e criticità affini rivolte alle aziende nazionali di interesse, contribuendo in tal modo all’avanzamento nella protezione del mondo produttivo e dei gruppi industriali caratterizzati da una composita geometria dimensionale.

Una nuova frontiera di ricerca in questo senso potrà essere, negli anni a venire, il ruolo che la sicurezza e la protezione economica giocherà nella crescita economica, incorporando nei modelli economici l’impatto quantitativo e qualitativo della protezione efficace di pregiata conoscenza “sensibile” aziendale/societaria per la comunità di riferimento.

L’attuale corsa all’innovazione tecnologica così come lo stesso concetto di “impresa digitale” rende oggi il senso della necessità di adeguare sempre più strategie collettive di intervento tra sfera pubblica e mondo privato sulla base delle condizioni al contorno e dei trends di sicurezza internazionale. Pena il rischio di compromissione dell’innovazione e di costi in termini di branding reputazionale.