5 min lettura

Nonostante dagli attentati di Parigi dello scorso novembre Matteo Renzi non faccia che parlare di "cybersecurity", la risposta del suo governo in materia di sicurezza informatica resta vaga, piena di punti da chiarire. Ciò che sappiamo è la logica di fondo: «per ogni centesimo investito nella difesa, un centesimo investito in cultura». Che uno degli obiettivi è "taggare i terroristi", qualunque cosa significhi. E che i fondi destinati allo scopo sommano a 150 milioni di euro.

Quello che invece non sappiamo è per quale motivo al vertice della cybersicurezza nazionale dovrebbe stare il suo fedelissimo, Marco Carrai. L'indiscrezione, nata sulle pagine del Fatto Quotidiano il 16 gennaio, prevedeva la nascita di una «Agenzia per la sicurezza informatica» situata «al vertice del nostro sistema dei servizi segreti» - con Carrai e i suoi dotati addirittura della «qualifica di agente segreto». Una svolta «stabilita direttamente dal presidente del Consiglio», aggiungeva la Repubblica il giorno seguente.

E perseguita con ostinazione. Secondo l'Huffington Post «il premier non molla» nemmeno di fronte al montare delle polemiche: la «nuova unità di missione del governo sulla cybersecurity» deve essere di Carrai. Nelle scorse ore, tuttavia, il ministro Maria Elena Boschi ha cercato di ridimensionare la vicenda in un question time alla Camera, sostenendo si tratti semplicemente di una possibile "consulenza tecnica". Ma sarebbe ben strana, visto che non si capisce quali sarebbero le competenze di Carrai indispensabili alla sicurezza nazionale, specie in un momento così delicato.

L'uomo del presidente

Guardando nella sua biografia, infatti, si trova un'infinità di legami con il presidente del Consiglio, di ruoli e iniziative imprenditoriali. Ma poco o nulla che abbia a che vedere con la sicurezza informatica. Scrive Repubblica Firenze:

«Quando Renzi divenne segretario della Margherita, volle Carrai tra i consiglieri comunali di Palazzo Vecchio. Quando fu eletto presidente della Provincia, nel 2004, lo chiamò nei propri uffici come capo di segreteria. Quando poi Renzi, nel 2009, divenne sindaco di Firenze, chiese a Carrai di rimettere a posto i conti di Firenze Parcheggi, partecipata dal Comune. E poi della società dell’aeroporto, su cui Renzi aveva scommesso la partita del rilancio e del potenziamento: l’uomo fidato per le situazioni difficili».

Carrai poi diventa "consigliere dell'Ente Cassa di Risparmio di Firenze, amministratore delegato di Firenze Parcheggi, presidente di Aeroporto di Firenze Spa", ma anche "membro del Cda della Banca di Credito Cooperativo di Impruneta e della Banca di Credito Cooperativo del Chianti fiorentino". Quando il sindaco Renzi, suo testimone di nozze, ha bisogno di una casa a Firenze, è Carrai a ospitarlo.

Ma niente di tutto ciò giustifica il ruolo attualmente ipotizzato. Per quanto sia il Fatto, dando notizia della possibile nomina, sia il Corriere della Sera del 20 gennaio lo definiscano un "esperto di sicurezza informatica", è difficile rintracciare nella sua biografia fatti che legittimino la qualifica.

Chiedo anche al @Corriereit, che dice che Carrai è un "esperto di sicurezza informatica": cosa lo dimostra? pic.twitter.com/EX4FfDKxW1 — Fabio Chiusi (@fabiochiusi) January 20, 2016

"Un inno al conflitto di interessi"

Secondo Emiliano Fittipaldi dell'Espresso, piuttosto, Carrai «non ha alcuna competenza specifica nel settore dei crimini informatici». In compenso, «il suo profilo relazionale e professionale è un vero inno al conflitto di interessi». L'unica traccia di cybersecurity nel curriculum è infatti Cys4, un'azienda da lui co-fondata insieme all'ex Eni, Leonardo Bellodi, e la cui sola comunicazione online è che il sito sarà "presto disponibile". Ma che ha fatto Cys4, nel settore? Secondo il docente di sicurezza informatica a Milano, Stefano Zanero, sostanzialmente nulla:

«Oserei dire che la Cys4 è praticamente sconosciuta. Non ha nessuna storia, è nata ad agosto del 2015. Ho guardato per curiosità il sito web, una singola pagina statica senza neanche un numero di telefono. In tutta franchezza, non mi risulta che abbiano mai fatto nulla in questo campo».

Oppure è solo la conferma di quanto detto a Formiche.net dal Senior Advisor di Cys4, Andrea Stroppa: «Bisogna essere in grado di non pubblicizzare quello che si fa o per chi lo si fa». Nel settore, si sa, «la riservatezza è sempre gradita». Stroppa, del resto, nella stessa intervista rivendicava: «nessun rapporto con il settore pubblico». Sufficiente per sventare il rischio, ventilato da Fittipaldi e non solo, che la Spa miri «ai futuri appalti che il governo potrebbe bandire dopo la creazione del 'nucleo' per la sicurezza cibernetica»?

@Andst7 dichiarava "Non abbiamo nessun interesse per il settore pubblico" intervistato alla nascita di Cys4 #Carrai https://t.co/c8cvNFg1iW — Pasquale Stirparo (@pstirparo) January 18, 2016

No. E infatti Boschi, nel Question time in Parlamento, si è affannata a precisare che «non è prevista alcuna forma di partecipazione di strutture private». Nemmeno di soggetti che vi siano coinvolti? Staremo a vedere.

Nel frattempo un gruppo di esperti del settore – esperti davvero – ha alzato la voce, chiedendo in una lettera aperta a Renzi proprio di mettere al centro meritocrazia e competenze, piuttosto che conoscenze e rapporti di fedeltà:

«Abbiamo in Italia numerosi esperti in materia di Sicurezza Cibernetica di assoluto rilievo, che magari non fanno proclami ma lavorano nell’ombra per il bene delle aziende e delle istituzioni, stimati nel mondo e richiesti da aziende nazionali e multinazionali: perché non coinvolgere questi talenti preziosi in modo sistematico, strategico, invece di farli fuggire all'estero per mancanza di spazi e di adeguati riconoscimenti? Perché mortificare sempre la competenza, l'esperienza, il sacrificio, la serietà, il merito? Data la criticità dell'argomento sarebbe auspicabile agire al di fuori degli schemi politici, anche perché il giorno in cui l'Italia dovesse essere malauguratamente colpita da un cyber attacco su larga scala (cosa che naturalmente nessuno auspica), tutti i nodi verrebbero immediatamente al pettine».

Quello che il governo non dice

Difficile insomma basti il soprannome "intelligence" con cui, secondo David Allegranti, Carrai è identificato all'interno del "Giglio magico". Perché le domande a cui Renzi dovrebbe rispondere sono serie, e finora inevase:

1. Perché Carrai?

2. Per fare cosa esattamente?

3. Bastano davvero i 150 milioni stanziati per garantire la sicurezza informatica del paese? In Francia, per esempio, si parla di un miliardo in tre anni.

Diversi esperti, poi, parlano sottovoce dei rapporti tra Carrai e Israele, e di cosa ciò potrebbe voler dire per la nostra cybersecurity. E non solo perché è Carrai, per esempio ad accompagnare il premier Benjamin Netanyahu durante la sua visita a Firenze. Scrive Fabio Natalucci:

«La società Cys4 oltre a collaborare attivamente con Israele ha al suo interno personale esperto in sicurezza informatica che apparteneva alle forze armate israeliane. Il legame con Israele è dato dalle innumerevoli conoscenze di Marco Carrai, che per Eni ha avuto a che fare con Tel Aviv e che durante quei tempi sembra essersi avvicinato a personaggi di spicco sia a livello imprenditoriale che a quello politico».

Insomma, il timore è che la nostra sicurezza informatica finisca per dipendere eccessivamente da Israele. In un clima in cui si attendono le nomine dei nuovi vertici dell'intelligence italiana, a breve. E in cui le pressioni interne al settore sono già ora fortissime:

[ITA] Influencers della sicurezza informatica italiana ricevono pressioni da ambiente #carrai con invito a "non infierire” . #semprepeggio — Fabio Pietrosanti (@fpietrosanti) January 19, 2016

Non è un caso il Copasir ci voglia vedere più chiaro, già a partire dall'incontro della prossima settimana con il direttore del Dis, Giampiero Massolo.

Di questa vicenda tutto o quasi resta insomma da spiegare. E, vista la posta in ballo, sarebbe bene il governo rimedi al più presto.