OGGETTO: Richiesta di estensione dell’Indennità per il Settore Cyber al personale coinvolto nella
sicurezza informatica del Dipartimento.

Preg.mo Direttore,
in vista dell’imminente avvio delle trattative per il rinnovo contrattuale del Comparto Sicurezza/Difesa, questa Segreteria nazionale, riconoscendo il ruolo preminente assunto dalle tecnologie digitali in ogni aspetto dell’attività di Polizia, ritiene prioritario affrontare la questione dell’indennità per il settore cyber, introdotta ai sensi del D.P.R. n. 57/2022. L’istituzione di tale emolumento ha rappresentato un iniziale e positivo segnale di riconoscimento verso le figure di alta specializzazione. Tuttavia, l’analisi obiettiva delle attuali dinamiche operative dimostra che il rischio e la responsabilità connessi al dominio cibernetico sono ormai diffusi e non più circoscritti, coinvolgendo figure al momento non incluse tra i beneficiari di tale istituto.
Bisogna, infatti, ricordare che l’organizzazione attuale prevede una distribuzione delle competenze e responsabilità connesse al dominio cibernetico ai seguenti soggetti (elenco non esaustivo):

• Amministratori locali (cosiddetti ADNL2): sono responsabili del software installato sulle
  postazioni di lavoro, dell’applicazione di policy locali, della segnalazione di eventuali incidenti
  di sicurezza e del ripristino degli eventuali PC compromessi; essendo i tecnici più a contatto con
  gli utenti promuovono le buone prassi e la cultura della sicurezza;
• Amministratori centrali che operano sui server (cosiddetti ADNL1): sono responsabili della
  gestione, manutenzione, aggiornamento dei server che trattano spesso dati personali e/o sensibili,
  della rilevazione di eventuali incidenti di sicurezza su tali server e, come previsto dai Piani della
  Sicurezza, dell’esecuzione delle azioni previste in risposta a tali incidenti
• Project Manager/DEC di contratti di sviluppo, gestione e manutenzione di sistemi informativi:
  sono responsabili della progettazione e dello sviluppo, gestione e manutenzione di sistemi
  informativi in uso alla Polizia di Stato e quindi anche della loro sicurezza a livello logico, e
  collaborano alla stesura ed implementazione dei piani della sicurezza svolgendo un ruolo attivo
  all’interno di tali piani;
• Redattori di capitolati in ambito ICT e/o di documentazione tecnica (piani della sicurezza, piani
  di business continuity e disaster recovery, Data Protection Impact Assessment): sono a pieno
  titolo coinvolti nei processi di sicurezza informatica, fornendo il proprio contributo in fase di
  acquisizione di servizi e apparati in ambito ICT, interfacciandosi con le relative autorità preposte
  (ACN, AGID) per i pareri di competenza e con il CVCN, elaborando piani o analizzando rischi
  e valutazioni di impatto sulle misure di sicurezza adottate o da adottare.

Ognuno dei sopra citati profili, indipendentemente dalla funzione e dalla qualifica, sono ormai intrinsecamente connessi alla sicurezza cibernetica e sono già adesso chiamati a fronteggiare quotidianamente le diverse minacce cyber.

Precisiamo inoltre che, sebbene all’interno dell’utenza ADNL1/ADNL2 esistano profili differenziati e gruppi di sicurezza che conferiscono accesso a sistemi critici o di natura amministrativa elevata (i c.d. accessi funzionali), l’identità digitale di base richiede comunque un livello di diligenza e vigilanza costante che trasforma de facto ogni operatore nel primo, essenziale presidio di difesa contro le minacce informatiche del Dipartimento.

Negare tale estensione vorrebbe dire ignorare la responsabilità diffusa che grava su tutti i sopracitati profili, deresponsabilizzando la platea di operatori ad oggi esclusi, in controtendenza a quanto delineato dalle moderne metodologie e standard (vedasi al riguardo DevSecOps¹ ).

Pertanto, questa Segreteria nazionale avanza la ferma richiesta che, nell’ambito del prossimo negoziato, i criteri di corresponsione dell’indennità per il settore cyber vengano ampliati a tutti i predetti profili.

Tale ampliamento non ha origine da motivazioni prettamente economiche, ma rappresenta un necessario investimento sulla resilienza operativa e un atto dovuto di riconoscimento della accresciuta responsabilità digitale che, nella moderna architettura di sicurezza, grava in maniera determinante su diverse figure tecniche.

Sarebbe, infatti, l’occasione per consolidare l’organizzazione della sicurezza informatica del Dipartimento, individuando in maniera chiara ed inequivocabile tutti gli attori coinvolti nel processo, riconoscendone il relativo contributo e responsabilità, e promuovendo attività di formazione continua obbligatoria non più rinviabile per i profili sopra citati.

Confidando che questa proposta, basata su criteri di efficacia operativa, resilienza strategica e giustizia retributiva, trovi il dovuto e prioritario risalto nel tavolo negoziale, si porgono distinti saluti.

1. DevSecOps è un approccio alla cultura, all’automazione e alla progettazione di piattaforme che integra la sicurezza in ogni fase del
ciclo di vita dello sviluppo software, invece di lasciarla solo alla fine. In sintesi, unisce sviluppo, sicurezza e operazioni per rendere la
sicurezza una responsabilità condivisa. L’obiettivo principale è rendere più veloce il rilascio di software sicuro, riducendo i rischi e i
costi legati alle vulnerabilità.