L’Espresso: Intelligence e Security. Una intervista al Professor Umberto Saccone
di Giancarlo Capozzoli
Ho incontrato il professor Umberto Saccone nella sede della sua società IFI ADVISORY, a Roma, per discutere a partire del suo master presso la Link Campus University su questioni inerenti all’ Intelligence e alla Security. Le questioni emerse vanno oltre il mondo dell’intelligence in senso stretto per affrontare invece questioni delicate in termini di sicurezza aziendale e investimenti.
GIANCARLO CAPOZZOLI: Proprio qualche giorno fa, il premier, l’ex premier ormai, aveva lasciato la delega ai servizi…
Professor U. Saccone: Guardi la questione è semplice e nello stesso tempo complicata. La legge ha previsto che ci sia un sottosegretario. In questi anni passati è accaduto che hanno mantenuto la delega ai servizi alcuni Presidenti del Consiglio. Secondo me è una cosa abbastanza nefasta, per usare un termine forte. L’intelligence ha bisogno di un interlocutore politico, senza soluzione di continuità. Quello che voglio dire è che non è possibile che un direttore del servizio AISE o AISI che sia, per poter condividere delle informazioni strategiche con il vertice politico debba verificare se l’agenda del Presidente del Consiglio gli consente di avere un’interlocuzione veloce. Questo perchè purtroppo l’intelligente e le sue informazioni hanno bisogno di riscontri immediati e di autorizzazioni veloci. Dopo ventiquattr’ore informazioni acquisite, sono già vecchie. Quindi la questione della rapidità è fondamentale. Già si creano delle isteresi all’interno dei servizi, all’interno dei processi interni. Nel corso degli anni si è notevolmente allungata la catena di comando e le informazioni sono già logorate prima di arrivare al direttore del Servizio.
GC: …e quindi meno male che abbiamo una autorità delegata…
US: Assolutamente si. Forse è giunto addirittura il momento di mettere di nuovo mano alla legge costitutiva. In Italia diventa facilmente datato ogni tentativo di legiferare in questa delicata materia perché si vogliono normare ambiti che non possono esserlo ovvero sarebbe meglio che non lo fossero. Gli Agenti e le norme che li guidano devono continuamente adattarsi al contesto. Le riforme intervenute negli anni sono il frutto di riflessioni fatte nella ricerca di bilanciamenti e garanzie democratiche (legittime) piuttosto che incentrarle sulla professionalità e l’efficienza La questione si pone per esempio nel controspionaggio. Se questa attività viene tolta ad un servizio, come è stato fatto con la legge di riforma del 2007, per essere destinato ad un altro solo in base ad una suddivisione geografica emerge chiaramente come chi ha preso questa decisione forse non sa esattamente come si svolgono le operazioni. Per spiegarci meglio…dunque una “spia” di un altro paese, poniamo la Russia, svolge le sue attività in Italia o comunque al di fuori del suo territorio. Ho detto Russia ma questo vale per ogni paese. Se l’AISE monitora con i suoi agenti l’attività russa nel mondo come può passare l’attività al Servizio interno, l’AISI, quando le attività dell’SVR sono svolte in Italia? Come non si fa a capire che non è una mera questione geografica. Nel passato invece SID prima e SISMI poi erano loro che, in un quadro unitario, assolvevano hai compiti di controspionaggio.
GC: Quindi il controspionaggio era incardinato nel servizio esterno…
US: Esattamente e questo perchè le ambasciate, dove sono le Residenture straniere, in ragione della loro inviolabilità sono considerate parte del territorio dello Stato alle quali appartengono. In questo senso la suddivisione geografica è un problema. Ma lo è anche la suddivisione per materia. Controspionaggio e controterrorismo per esempio non sono così distanti. Oggi sappiamo bene che il terrorismo è uno dei veicoli attraverso il quale alcuni Stati veicolano la loro politica estera, la loro influenza. Pertanto mi viene da dire che questi ambiti non possono essere separati in maniera netta e forse sarebbe il caso di tornare al Servizio unico. Capisco ovviamente che ci debba essere un bilanciamento di interessi ma senza pregiudicare operatività e proiezione verso l’esterno. Per questa ragione il legislatore ha preferito dotarsi di due Servizi. Adesso dalle cronache mi sembra percepire che si è passati a tre e forse se ne voleva creare un quarto relativamente alla minaccia cibernetica.
GC: Per esempio il DIS? Il Dipartimento delle informazioni per la sicurezza?
US: Le chiedo io se secondo lei il DIS sia un coordinatore tra i Servizi o esso stesso un Servizio a parte. Penso che si è generata una certa confusione. Il DIS si è gonfiato notevolmente negli ultimi tempi, tanto da togliere risorse alle due agenzie. Per questo, secondo me, mi sembra che da una struttura di coordinamento, siamo scivolati in una struttura operativa a tutti gli effetti, che appare di tanto in tanto sulla scena erodendo spazio ai Servizi.
GC: A proposito di territorio… Volevo chiederle qualcosa riguardo alla emergenza sanitaria e alla emergenza sociale. Discutendo con altri analisti ed esperti del settore mi sembra che emerga chiaramente il rischio concreto che il disagio sociale venutosi a creare in seguito alla crisi economica degeneri in una sorta di minaccia interna.
US: Penso che questa valutazione sia corretta. Non le nascondo che sono personalmente molto preoccupato del disagio sociale che si percepisce e che si amplifica attraverso il web contribuendo a generare anche un aumento delle attività criminali. Non solo della grande criminalità organizzata, che già sta raccogliendo tutti i vantaggi possibili che la crisi genera, ma a quel tipo di criminalità predatoria odiosa che colpisce le persone più vulnerabili. Sono certo che sicuramente ne registreremo gli impatti nei prossimi mesi proprio per quel senso di disperazione che si avverte nell’aria anzi nel web. Sembra una equazione matematica e anche senza l’ausilio dell’intelligence si può affermare che il disagio c’è, e la gente dovrebbe essere aiutata con azioni concrete e non con proclami generici che creano aspettative vaghe e tutt’altro che risolutive. Le persone iniziano ad aver fame. Non voglio fare riferimento a modelli diversi dal nostro, però mi sono confrontato con altre realtà europee e la reazione a supporto degli elementi fragili in questi paesi è stata immediata, concreta. Io non sono un negazionista, badi bene. Il governo ha fatto bene a prendere le misure di contenimento. Però contestualmente sarebbe necessario soddisfare quelle classi in crisi altrimenti il danno che subiremo sarà superiore a quello che abbiamo cercato in qualche modo di contenere.
GC: Diceva della criminalità comune…
US: Un’escalation direttamente proporzionata al disagio: più aumenta il disagio più cresce la necessità di delinquere per soddisfare i bisogni primari. C’è il rischio concreto che questa criminalità si trasformi in criminalità violenta. Sarà quello il momento in cui ci sarà davvero da preoccuparsi.
GC: Diceva anche che la criminalità organizzata in qualche modo già sta operando sul territorio…
US: La criminalità organizzata, come ben sa, si manifesta in forme diverse dalla criminalità comune. Opera in forme più sofisticate. Sono tutte situazioni che devono essere gestite in fretta perchè generano ulteriore disagio e conseguentemente comportamenti criminali. Pensi al fenomeno drammatico dell’usura, ad esempio.
GC: Parliamo della sua società, IFI ADVISORY.
US: IFI AD. è una società che è nata incentrando le proprie attività sui bisogni. Sui bisogni, intendo, di quelle aziende che operano nei mercati a rischio. Fino ad oggi questo settore era patrimonio di multinazionali americane britanniche e francesi. E così le aziende italiane dovevano avvalersi di queste società per tutelare i propri assets. Noi abbiamo pensato di creare una società di consulenza che potesse accompagnare le aziende in tutto il mondo e in particolare nei mercati critici. Come può vedere sulla parete dietro le mie spalle c’è una mappa del mondo che rappresenta bene il nostro network di partnership. Ormai riusciamo ad operare in tutte le nazioni.
GC: Lei dice… per favorire le aziende italiane che vogliono muoversi in sicurezza… In termini di studio del mercato e/o verifica reputazionale di eventuali partner…
US: Innanzitutto noi offriamo una verifica reputazionale alle nostre aziende per verificare, specialmente nelle aree dove i livelli di corruzione sono molto elevati, se fare business è eticamente sostenibile. Questo è un primo punto fondamentale. L’altro punto è quello che risponde a tutta una serie di norme nazionali volute dal legislatore per garantire la sicurezza delle persone che vanno ad operare in contesti critici.
GC: E che quindi devono essere supportate.
US: Noi le supportiamo direttamente attraverso la nostra attività di consulenza e attraverso i nostri partner coerentemente alla minaccia.
GC: Mi viene in mente il caso della ragazza Silvia Romano, rapita in Kenya, e poi fortunatamente rilasciata. Lei è stata un po’ lanciata all’avventura, se mi fa passare il termine…
US: In effetti è stata proprio lanciata all’avventura, perchè non è stata fatta dalla ONG Africa Milele, una reale valutazione del rischio. Se l’avesse fatta, la ragazza non sarebbe stata inviata in Kenia senza un adeguato sistema di sicurezza. Ora comunque sono state stabilite delle nuove norme. La commissione consultiva del Ministero del Lavoro è intervenuta affermando che le ONG devono comportarsi esattamente come si comportano le aziende: hanno la responsabilità delle loro donne e dei loro uomini senza se e senza ma. E quindi devono fare una corretta valutazione del rischio e operare di conseguenza con le corrette misure di abbattimento del rischio.
GC: Come la fornite voi appunto…
US: La nostra valutazione del rischio è tecnicamente corretta. L’abbiamo costruita con il Consiglio Nazionale delle Ricerche creando un modello quali-quantitativo che attraverso modelli algoritmici conferisce all’analisi un valore scientifico difficilmente contestabile. Utile e fondamentale per redigere il documento di valutazione del rischio e per mitigare allo stesso tempo gli effetti delle minacce che si manifestano nelle aree più disparate del mondo. E’ in questo modo che accompagniamo le nostre aziende con un supporto continuativo attraverso gli analisti della nostra sala operativa.
GC: Il rischio in alcune aree è anche legato alla sottovalutazione evidentemente di una minaccia…
US: Guardi il discorso è molto semplice. Bisogna tener presente che nella percezione del rischio esiste una discrepanza tra la percezione soggettiva del rischio e la valutazione oggettiva. Capita che le persone a volte temano delle attività che non sono in realtà pericolose e non temano, invece, delle attività che potrebbero avere conseguenze molto drammatiche. Noi con le nostre attività cerchiamo di fornire una valutazione oggettiva che correttamente possa orientare comportamenti corretti.
GC: Lei ha portato questa sua expertise anche all’interno del Master su Intelligence e security che tiene presso la Link Campus
US: Ho insegnato alla Link Campus, alla Luiss, alla Cattolica ed in altre Università. Trasferire il proprio know how, frutto dell’esperienza e di un percorso di vita è sempre qualcosa di interessante. Portare le conoscenze è molto gratificante. Conoscenze acquisite in 40 anni di attività tra pubblico e privato. E’ in questa ottica che l’Università Link Campus mi ha chiesto di strutturare un master. Sono convinto che dopo l’università e prima di entrare nel mondo del lavoro ci debba essere un’area di decantazione nella quale i problemi tendono ad assumere proporzioni più chiare e dove si possa fornire agli studenti gli strumenti reali di professionalità e competenza in modo che il passaggio università – azienda diventi un passaggio virtuoso e utile per risultare appetibili ed interessanti per il mercato. Ma ho pensato che dovesse essere necessario anche qualcos’altro. Al di là della strutturazione di questo master universitario abbiamo studiato la possibilità di offrire agli studenti l’opportunità di ottenere tutta una serie di certificazioni dell’Ente Italiano di Normazione (“UNI”) che permettono agli studenti di poter acquisire, al di là del master appunto, alcune qualifiche che ne certificano professionalità e competenza. Penso alla norma UNI 10459 relativa alla professione di Security Manager o la UNI 11697 per la qualifica di Data Protection Officer.
GC: Chi sono i docenti del master, a parte lei?
US: Una serie di docenti che si sono formati in aziende private e quindi hanno acquisito competenze sul campo o sono cultori di determinate materie che possono dare effettivamente un valore aggiunto a questo master. Una parte del corso, ad esempio quello che riguarda la sicurezza della navigazione, lo facciamo con ufficiali del Comando Generale delle Capitanerie di Porto.
GC: Master Intelligence e Security. In che modo c’entra l’intelligence e come?
US: Sintetizzando potremmo dire che l’intelligence ha più facce. Da una parte può rappresentare una minaccia e allora chi lavora in una azienda e gestisce la sicurezza deve conoscere come si comportano i Servizi o come le società di intelligence private sono a caccia di know how strategici. Quindi tenere un corso sull’intelligence è una maniera per garantire all’azienda di governare questa tipologia di rischio. Poi c’è l’altro aspetto dell’intelligence: quello in cui si insegna a sfruttare adeguatamente le opportunità, a verificare chi sono i nostri competitor, ed acquisire sul mercato vantaggi competitivi. E’ o non è una attività di intelligence poter sapere se un nostro fornitore o un nostro potenziale cliente hanno delle vulnerabilità?
GC: Perchè altrimenti si espone l’azienda a quei danni reputazionali a cui faceva cenno prima…
US: Dunque: l’aspetto informativo è sicuramente cruciale. E le chiedo chi lo può svolgere bene. Le rispondo io: chi ha un minimo di competenza e metodologia per portare avanti questa attività.
GC: Scusi la provocazione: non c’è il rischio di voler sembrare di formare agenti segreti?
US: Assolutamente no. Noi formiamo con questo master persone che devono affacciarsi al mondo del lavoro. Da parte nostra non c’è nessuna presunzione di formare agenti segreti. L’intelligence italiana ha delle modalità di reclutamento che sono proprie dell’intelligence. Non è un mercato al quale rivolgersi per dare un’opportunità agli studenti. La nostra formazione è finalizzata al mondo del business e della sua internazionalizzazione. Nel nostro ambito, nel nostro master alla Link Campus, l’intelligence viene trattata come materia di studio in riferimento a quanto le ho detto prima. Non vogliamo creare aspettative che non verranno mai realizzate. Il mondo dell’intelligence ha la sua scuola per i suoi agenti e la sua formazione con modalità che sono propri delle agenzie.
GC: Il master invece vuole fornire reali opportunità agli studenti. In che termini dunque?
US: In Italia la figura del Security manager sta emergendo molto, tanto per fare un esempio. Le aziende oggi sanno che devono dotarsi di risorse e che abbiano determinate competenze. Noi vogliamo fornire delle opportunità in questo mercato in forte crescita. Il nostro master dà la chiave d’accesso ad un mondo del lavoro di nicchia e altamente specializzato.
GC: Quale è il percorso di studi migliore secondo lei per formarsi in questo senso?
US: Abbiamo studenti provenienti da diverse facoltà. Sicuramente Giurisprudenza, Economia, Scienze Politiche. Ma non le nascondo che facoltà come Ingegneria e Matematica, forniscono un percorso di studi importanti per alcune tematiche che la Security è chiamata a sviluppare come le analisi per la valutazione del rischio.
GC: Rischi sul campo intende?
US: Ovviamente si. La famiglia dei rischi è molto ampia e la misurazione del rischio segue dinamiche logico matematiche che partendo dalla minaccia definisce le modalità con le quali si cerca di mitigare il rischio. In primis dunque conoscere i contesti e saperli analizzare con competenza per saper governare adeguatamente il rischio.
GC: La questione della probabilità per studiare il livello di rischio è fondamentale…
US: Si studia a partire dall’esame dei trend. Se ad esempio, hanno attaccato sempre una certa ambasciata ogni anno negli ultimi anni, è estremamente probabile che continueranno ad attaccarla. Se non è mai stata attaccata la valutazione è che quel posto è abbastanza tranquillo. Eppure ciò non esclude ovviamente che un evento straordinario possa effettivamente accadere. Noi formiamo gli studenti su questi temi e insegniamo, oltre a prevedere i rischi con la giusta competenza, anche a gestirli e sfruttare, se ci sono, le opportunità che ogni rischio può generare.
GC: …ad ogni cambiamento bisogna rifare il documento di valutazione dei rischi…
US: Ad ogni variazione della funzione di rischio, minaccia probabilità impatto e vulnerabilità, bisogna rifare il documento perché sono cambiati i parametri di riferimento.
GC: Tra i clienti di IFI Advisory ci sono le maggiori aziende italiane, Eni Enel Cassa depositi e prestiti, Bonatti, Banche. Tanti clienti.
US: Tutti i maggiori player italiani sono nostri clienti. La nostra azienda è centrata sui bisogni e la precedente esperienza in una multinazionale mi ha fornito gli strumenti per rispondere alle varie richieste che pervengono dal mondo industriale. Comunque ancora tanta strada da fare sia sotto il piano formativo sia sotto quello normativo. Una delle battaglie che mi piacerebbe poter vincere è quella della defiscalizzazione degli oneri della sicurezza. Non possiamo pretendere che una azienda investa in sicurezza surrogando quelle che dovrebbero essere le competenze dello Stato senza che questo ne condivida gli oneri. In un sistema virtuoso lo Stato ti impone di avere un sistema di sicurezza idoneo ma contemporaneamente ti offre delle opportunità fiscali che ti consentono di poter fare investimenti talvolta molto onerosi. Credo che sia un aspetto importante che il legislatore deve capire.
GC: Come è strutturata la vostra azienda?
US: Cerchiamo di migliorarci come imprenditori, sempre. Oggi siamo proprietari di due piattaforme e di una sala operativa dove degli analisti forniscono supporto ai nostri clienti in ogni angolo del mondo. Forniamo senza soluzione di continuità alert di sicurezza, intelligence tattica e personale di supporto in area.
GC: I vostri analisti sono ragazzi e ragazze multilingue…
US: Le nostre persone sono ovviamente multilingue molto skillati e in grado di supportare le aziende in tutte le aree del mondo. I nostri partner invece mettono a disposizione e forniscono uomini sul territorio e seguono le attività in loco. Non abbiamo contractor italiani e la nostra sicurezza è affidata a partner stranieri con requisiti di grande affidabilità che verifichiamo in continuità. Pronti a sostituirli nel momento che non soddisfino più i nostri requisiti.
L’Espresso – Blog “Fino a prova contraria” di Giancarlo Capozzoli