La pirateria informatica si fa sempre più aggressiva e insidiosa e purtroppo sia ha netta la sensazione che sia ancora sottovalutata nella sua capacità di colpire e di produrre gravi danni non solo economici a enti e aziende, pubblici e privati, a grandi gruppi e a piccole e medie imprese. Questa in sintesi l’introduzione allarmante di Luigi Merlo, presidente di Federlogistica, chiamato dal presidente Giorgio Bucchioni del Propeller Club dei porti della Spezia e di Marina di Carrara all’incontro mensile dedicato alla cybersecurity nello shipping. Merlo ha subito dopo indicato i cinque principali danni che, oltre ai ricatti e riscatti sempre più onerosi nell’ordine di milioni, rilevati dai report aggiornati, sul questo fenomeno criminale, danni che vanno dal blocco o dalla chiusura delle attività a incidenti, dal furto di dati sensibili a disastri ambientali fino ai danni di reputazione, prima di passare in rassegna i casi più gravi di cyber attacchi che hanno comportato non solo il pagamento di ingenti somme come riscatto ma anche oneri altrettanto ingenti per ripristinare la normalità. Tra i casi più eclatanti perché noti sono stati ricordati Maersk, Psa di Voltri. Ferrovie, Rina, Sanità del Lazio, anche se gli attacchi alla vulnerabilità sono ormai giornalieri e non risparmiano nessuno, grande o piccolo che sia. Quantificarli non è comunque agevole perché si paga il pirata ricattatore senza denunciare l’accaduto anche, come detto, per motivi di reputazione.
Affrontando lo stato della consapevolezza della gravità del pericolo nello shipping Merlo ha riconosciuto che mentre nel settore marittimo si sta cercando di correndo ai ripari, non ci sono invece indicazioni per i porti, realtà strategiche, complesse e vulnerabili nelle quali basta colpire anche un solo soggetto o operatore che può andare in tilt l’intero sistema. Ora l’occasione per intervenire c’è con i 170 milioni del Pnrr che dovrebbero però coinvolgere non solo le Autorità portuali e gli enti pubblici ma anche gli operatori privati, dai terminal alle aziende marittime, delle spedizioni e doganaliste. Si tratta, si intuisce, di investimenti importanti come inserire nell’organico il cyber manager, di assumere nuove figure che peraltro non si trovano
ancora facilmente, della formazione continua del personale. Tenuto conto che l’evoluzione criminale richiede per neutralizzarle capacità professionali elevate impiegate in turni h24 perché si calcola che ci sia un attacco informatico ogni tre minuti e che arrivi nei giorni feriali e nei festivi, di giorno e di notte. Come dire che “la capacità di attacco è ormai esponenziale” e che comunque “si è mediamente protetti perché la sicurezza al cento per cento non esiste”.
Resta il vuoto di queste figure professionali testimoniato da due casi emblematici che Merlo ha citato: Msc ha aperto un centro di cybersecurity a Torino prospettando un organico di 650 unità, ebbene si fatica a completarlo tanto che ne mancano ancora 250. La stessa Agenzia Nazionale della cyber sta cercando il suo personale nelle aziende private. E’ a questo punto che Merlo si è rivolto a Piergino Scardigli, fondatore e presidente della Scuola Nazionale Trasporti e Logistica, per invitarlo a valutare al più presto l’avvio anche questi corsi professionalizzanti per rispondere, come fatto in trent’anni, alle esigenze del mondo portuale e logistico. Il tema ha indotto interventi a cascata, da Paolo Bertetti per gli attacchi e le difese nella nautica con il Sanlorenzo che è dovuto ricorrere ad una società olandese mentre un altro grande gruppo ha subito danni devastanti, fino a Federica Montaresi che ha elencato le difficoltà di intervento nelle Authority. Finché Salvatore Avena, segretario generale delle associazioni degli operatori del porto delle Spezia , ha concluso che di fronte a sistemi complessi da trattare diversamente, la cybersecurity deve essere considerata una questione strategica per la sicurezza nazionale e a tale scopo sarebbe anche opportuno un intervento normativo con incentivi a favore delle imprese private per finanziare progetti di sicurezza informatica.
