La sfida del progetto SERICS (Security and Rights in CyberSpace) e della sua Fondazione per rilanciare la ricerca italiana in cyber security ha raggiunto un primo traguardo costituito da tanti risultati specifici in 10 aree tematiche del settore.

Un traguardo che può diventare il primo passo di un cammino di innovazione nella sicurezza informatica tutta italiana. “L’invito è considerare i risultati come inizio di un percorso condiviso verso un’Italia e un’Europa digitalmente resilienti – ha spiegato Vincenzo Loia, presidente della Fondazione SERICS – in cui la sicurezza sia un diritto per tutti e un fattore abilitante per lo sviluppo sostenibile e inclusivo”.

D’altra parte, sono i numeri a parlare per primi, come evidenza dell’imponente sforzo della ricerca italiana: 27 progetti di ricerca, 684 ricercatori coinvolti, 23 enti partner tra università, centri di ricerca e grandi aziende, 113 milioni di euro di investimento del PNRR, 54 bandi a cascata, 1450 partecipanti ai percorsi di formazione erogati a soggetti pubblici e privati. Tutto in 3 anni di attività.

La due giorni della ricerca italiana

La manifestazione SERICS dedicata alla disseminazione e divulgazione dei risultati ottenuti dai ricercatori nelle 10 aree tematiche (SPOKE) della sicurezza informatica si è svolta il 12 e 13 novembre: aspetti umani, sociali e legali; disinformazione e fake news; attacchi e difese; sicurezza dei sistemi operativi e della virtualizzazione; crittografia e sicurezza dei sistemi distribuiti; sicurezza del software e delle piattaforme; sicurezza delle infrastrutture; gestione del rischio e governance; messa in sicurezza della trasformazione digitale; governance e protezione dei dati.

Di fatto, l’evento SERICS è stato un momento di dialogo e approfondimento dedicate al futuro della cybersicurezza nazionale e internazionale, con la partecipazione di rappresentanti delle istituzioni, del mondo scientifico e del sistema produttivo chiamati a raccogliere l’opportunità di fruire dei significativi risultati ottenuti.

Risultati che hanno la forma tangibile di prototipi, brevetti, piattaforme e strumenti destinati a imprese, pubbliche amministrazioni e cittadini. Tra questi ci sono CallTrust, sistema per autenticare le comunicazioni telefoniche e contrastare le truffe di tipo vishing; la piattaforma Ida – Information Disorder Awareness, che utilizza l’intelligenza artificiale per analizzare e prevenire la disinformazione online; CryptoAC, framework di crittografia distribuita per la protezione dei dati nel cloud; CyberTour, il percorso formativo che ha portato la cultura della sicurezza digitale.

Ma i risultati passano anche per scoperte di vulnerabilità e per collaborazione fattiva con i proprietari dei sistemi per la risoluzione, come nei casi che hanno interessato il sistema PosteID e le vulnerabilità TCAS.

La sfida ora è raccogliere tutti questi semi di innovazione, di proprietà intellettuale umana (non artificiale) e trasformarli in un “profitto nazionale”.

I valori guida e il modello collaborativo

Il prefetto Bruno Frattasi, direttore generale dell’Agenzia per la cybersicurezza nazionale (ACN), intervenuto nella prima giornata, ha suggellato proprio durante la manifestazione il protocollo di intesa già firmato con la SERICS rinnovando l’impegno alla collaborazione. “Il sapere insieme come segno di una comunità che lavora in sintonia e l’impegno al trasferimento tecnologico sulla sicurezza digitale per il Paese, che è come il sale per il nostro futuro”, ha detto. “Il sale si butta nell’acqua e non si vede, ma esiste e da’ sapore; così la conoscenza in sicurezza tutela i nostri diritti. Di fatto, il binomio fra sicurezza e diritti è inscindibile”.

Un impegno quello sulla sicurezza che da sempre fa il paio con i diritti, senza che l’uno sovrasti l’altro, per poter essere reciprocamente abilitanti. “Affinché la sicurezza possa continuare ad essere elemento di tutela per i diritti servono tre elementi: alleanze, per continuare a costruire reti di relazione con il resto del Paese; inclusività, per non lasciare indietro nessuno; futuro, per avere un orientamento e indirizzo che sia una bussola di navigazione”, ha concluso Frattasi.

Il richiamo al modello SERICS viene anche dal vicepresidente della Fondazione, il professor Rocco De Nicola, che ha ricordato il consistente “coinvolgimento dei ricercatori per creare una casa comune della ricerca, un luogo inclusivo fatto di: conoscenza, come infrastruttura critica, di collaborazione, come metodo e di valori, come guida”.

Un tema quello collaborativo richiamato più volte durante la giornata. In particolare, il presidente della Fondazione, prof. Vincenzo Loia, ha spiegato che “si è vista e si continuerà a vedere una trasformazione ed evoluzione della cyber security attraverso tutte le forze della comunità di ricerca, per arrivare a dei risultati effettivi, non senza complessità, ma con una forte determinazione”.

Anche Luca Tagliaretti, direttore esecutivo dell’European Cyber security Competence Centre (ECCC), ha elogiato “le idee come un superpotere e il modello SERICS, come esempio che dovrebbe fare scuola anche in Europa per il valore della comunità”.

Guardando al futuro

Un valore che affinché generi un cambio di passo a livello nazionale ha bisogno, come ha ricordato Mario Nobile, direttore dell’Agid, “di decidere cosa fare da grandi, sviluppando alleanze per il salto di qualità, abbandonando la logica dei silos ed iniziando a produrre per davvero, con meno burocrazia e più idee”.

Occorre quindi “intervenire sulla normativa senza barattare innovazione e diritti, investire nel fattore umano per capitalizzarlo nel post PNRR, e lavorare sugli investimenti per realizzare un credito fiscale per le imprese che investono”. Investimenti che dovrebbero riguardare proprio i risultati della SERICS, delle tecnologie italiane, di brevetti e prototipi che, dall’attuale livello di TRL possono essere aiutati a crescere e a ‘scalare’ a livello di prontezza di mercato.

Su questo Luca Tagliaretti ha auspicato un “supporto da parte della SERICS per lo ‘scale up’ delle startup e dei rispettivi prototipi, per arrivare anche alla dimensione europea e da lì crescere ancora nel mercato unico”.

Sul modello più adatto per garantire un efficace trasferimento di conoscenza in ambito cyber security dall’accademia all’industria, è stato Leonardo Querzoni, prorettore alle Tecnologie digitali e alla Cyber security della Sapienza di Roma, a affrontare il confronto con le aziende: “Il modello del co-sviluppo è chiaramente vincente, dato che permette alla realtà industriale di guidare in modo più diretto l’attività di ricerca verso gli obiettivi di suo maggiore interesse, anche supportando i team accademici con la propria conoscenza del dominio applicativo”.

Un approccio alternativo pure esiste, ha continuato il docente, “è comunque anche di interesse un approccio alternativo incentrato sul capitale di rischio (esercitato attraverso incubazione o acquisizione di spin-off universitari, ndr) laddove si identifichino opportunità allineate con le strategie dell’impresa.

Questo secondo approccio, almeno in Italia, trova comunque ancora un’applicazione limitata, anche per questioni legate ad una cultura imprenditoriale che solo di recente ha visto l’introduzione nel nostro Paese di iniziative di venture capital assimilabili, nella forma, se non nella capienza, a quelle tipiche del mondo anglosassone”.

Conclusioni critiche della ragion pura e auspici

Quindi se accademia e istituzioni si trovano d’accordo, il modello di partnership con le aziende è evidentemente ancora ‘in itinere’.

Le quattro big company intervenute – Fincantieri, ENI, Telsy e Leonardo – in tema di ideale modello di sviluppo non hanno indicato una via unica da seguire impegnandosi in prima persona (giuridica). Piuttosto hanno sottolineato esigenze dettate dall’esigenza commerciale richiedendo: che i ricercatori si adeguino alla ricerca industriale, distinguendola dalla ricerca accademica; che la ricerca di soluzioni a problemi e i correlati prototipi possano tenere conto di vincoli di integrabilità in azienda e infine che i ricercatori possano sbagliare meno, perché sbagliare costa.

Sull’ultima esigenza, non sbagliare, non può sfuggire ad un osservatore attento come si verrebbe a snaturare la natura essenziale del processo di ricerca, che sta proprio nel provare ripetutamente fino a trovare la strada giusta e in cui l’errore è solo uno step intermedio.

Ma la cultura della perfezione e del non sbagliare mai, perché costa, è forse, proprio quella che impedisce di crescere. Proprio ciò che insegnava lo psicologo americano Abraham Maslow con il suo binomio del “rischiare per crescere”, per il quale, se non ci si misura con l’ignoto non si può imparare a fare cose nuove in modo nuovo.

E nel business, se si investe poco, si ottiene poco. O meglio senza investire davvero non si arriva a risultati. Allora in fin dei conti, il tema in questione non sembra essere tanto, il solo ritorno economico, quanto maggiormente il tema dell’approccio: per crescere davvero, sembra necessario un radicale cambiamento culturale da attuare sia nelle politiche industriali, sia nell’imprenditorialità, sia nel management dell’innovazione.

In tutti e tre i casi sembrano necessari: una concreta valutazione del profilo di rischio di business, una pianificazione di lungo termine coniugata a cicli agili di quick win e un aumento delle competenze tecnologiche e specialistiche dei manager decisori e C-level affinché possano davvero conoscere e capire dove investire e come trarre vantaggio dalla ricerca e profitto dai prototipi, brevetti e start up per le loro aziende e di riflesso per il Paese.

Alessandro Armando, Presidente del Comitato Scientifico SERICS. Rocco De Nicola, Vice Presidente Fondazione SERICS