PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione del Direttore dell'Agenzia per la
cybersicurezza nazionale, Bruno Frattasi:

PRESIDENTE. L'ordine del giorno reca l'audizione del direttore dell'Agenzia per la cybersicurezza nazionale, Bruno Frattasi, nell'ambito dell'indagine conoscitiva sulla difesa cibernetica: nuovi profili e criticità.
Saluto e do il benvenuto al dottor Frattasi, accompagnato dal Capo di gabinetto, dottor Gianluca Ignagni, dal direttore e dal responsabile dei rapporti istituzionali dell'Agenzia, dottor Francesco Carioti e dottor Marco Mazzi.
Dopo l'intervento del nostro ospite darò la parola ai colleghi che intendano porre domande o svolgere osservazioni, cui il dottor Frattasi potrà replicare. A tal proposito chiedo, dunque, ai colleghi di far pervenire fin d'ora al banco della Presidenza la propria iscrizione a parlare.
Do, adesso, la parola al dottor Frattasi, per il suo intervento.

BRUNO FRATTASI, Direttore dell'Agenzia per la cybersicurezza nazionale. Signor presidente, ringrazio lei e anche gli altri componenti di questa Commissione. La ringrazio per l'opportunità che viene offerta all'Agenzia di poter avere questo incontro con una Commissione, come quella Difesa, che ha un peso determinante per quanto riguarda la conoscenza dei meccanismi di difesa cibernetica del Paese e delle policy che in questa materia devono essere applicate in attuazione della strategia nazionale di cybersicurezza.
Accennerò brevemente, anche per dare spazio alle domande, all'impostazione generale che il Sistema Paese si è dato, anche con la strategia che richiamavo prima, per la prevenzione e il contrasto della minaccia cibernetica nel nostro Paese.
Il sistema si impernia, da qualche anno, su un soggetto che ha il coordinamento generale di tutte le attività e le iniziative che si collegano al principale pilastro su cui si appoggia la stessa strategia, cioè assicurare la resilienza del Paese nel processo di transizione tecnologica, quindi digitale, del sistema Paese. Questo vale per l'amministrazione pubblica, che – come sappiamo – è interessata da un crescente, potrei anche dire tumultuoso, processo di informatizzazione che stiamo seguendo, i cui cardini potremmo anche illustrare laddove ve ne fosse necessità. Non si ferma e non si limita, tuttavia, soltanto alla Pubblica amministrazione, ma investe e coinvolge le piccole e medie imprese, i grandi player nazionali e coinvolge, naturalmente, anche cittadini professionisti che possono essere interessati e minacciati dal rischio cyber.
Infatti, uno dei fattori abilitanti della strategia nazionale sta, appunto, nel promuovere la consapevolezza della comunità nazionale rispetto al rischio cyber. Quella che, in altri termini, viene chiamata «awareness» dalla strategia o da altri documenti, che null'altro è se non la promozione di campagne di sensibilizzazione, che Pag. 4noi stiamo portando avanti anche nei confronti di attori settoriali del nostro Sistema Paese. Lo stiamo facendo con riguardo, per esempio, alle piccole e medie imprese, avendo partecipato, insieme a Confindustria, a Generali e con l'Osservatorio del Politecnico di Milano, a una campagna informativa che ci porterà in giro per il Paese (i dirigenti dell'ACN sono stati a Firenze nei giorni scorsi e continueranno questo tour) per avere un contatto, attraverso Confindustria, con le piccole e medie imprese e dare loro un apporto in termini di consapevolezza innanzitutto del rischio cyber e come affrontare, come prepararsi al rischio cyber.
Naturalmente, un pilastro del sistema difensivo contro il rischio cibernetico del nostro Paese è rappresentato dallo strumento militare. Per altri versi, è rappresentato, per il cybercrime e per il contrasto e la prevenzione del cybercrime, dall'apparato di polizia, in particolare dalla Polizia postale.
Esiste, poi, la raccolta informativa – il quarto pilastro della strategia nazionale – e la cyber intelligence, che sono appannaggio del nostro sistema di Intelligence, quindi dei colleghi del comparto di Intelligence, delle due agenzie e del Dipartimento delle informazioni per la sicurezza. Questo per dare un'idea del modo quadripartito – potremmo dire – in cui il sistema cyber in Italia si articola.
La resilienza è un po' il sale, ciò che deve dare l'impronta dell'intero sistema. Intendo per «resilienza» la capacità di opporsi efficacemente alla minaccia cibernetica, nel senso di resistere all'impatto cibernetico, che accade e può accadere su qualunque tipo di superficie digitale. Naturalmente, il rischio digitale – lo dico qui per incidence – è un rischio sensibilmente cresciuto. Ci sono stati eventi storici che, in qualche modo, hanno determinato questo innalzamento del rischio (mi riferisco alla crisi pandemica e anche ai recenti sviluppi delle crisi geopolitiche), che, per un verso o per un altro – poi potremo anche scendere nel dettaglio – hanno contribuito all'innalzamento della minaccia cibernetica.
Durante la crisi pandemica, lo sappiamo tutti, la remotizzazione dei rapporti di lavoro, dei rapporti economici, ma anche dei rapporti privati e dei rapporti interpersonali ha portato a un uso incrementale dei mezzi e dei dispositivi di carattere digitale. Questo ha portato a una maggiore esposizione di quella superficie a rischio cyber e a un'attività ostile verso i vari Paesi (mi riferisco, in particolare, alle democrazie occidentali) che hanno, poi, conosciuto l'ondata di attacchi cyber determinata o collegata, in qualche modo, alle crisi internazionali, prima relative all'invasione dell'Ucraina e poi, successivamente, al 7 ottobre, all'attacco di Hamas a Israele, che ha portato la temperatura del sistema euromondiale a un innalzamento tale che ha comportato, certamente, come conseguenza, l'incremento della minaccia cyber.
Questo lo abbiamo visto anche noi, come Agenzia, in relazione alla campagna, per esempio, che il Paese ha subìto di attacchi DDoS, che sono inscenati a danno di amministrazioni pubbliche, ma non solo, anche di istituzioni finanziarie, bancarie, e anche a danno di aziende sanitarie locali, in particolare. Lo si è visto prima nel Lazio e poi con riferimento all'Abruzzo, per richiamare due casi abbastanza noti di questi attacchi che si sono abbattuti su entità che si occupano di dati sensibili, perché detengono dati che attengono alla salute dei nostri cittadini, quindi particolarmente a rischio, nel caso di esfiltrazione, come pure è capitato, da parte dell'attaccante.
Ripeto, la campagna che ha fatto più rumore, anche sui media, è stata quella legata ai DDoS. I DDoS sono attacchi informatici che determinano l'esaurimento della capacità di erogare servizi da parte del soggetto attaccato, perché subissato da una mole straordinaria di accessi, di istanze di accesso, che portano rapidamente all'esaurimento della sua capacità di performance, della sua capacità di risposta e di erogare, naturalmente, servizi digitali in relazione al subisso di istanze da cui viene preso di mira. Questo porta, naturalmente, al down del sito che viene impattato dall'attaccante.Pag. 5
Naturalmente, ci sono implicazioni geopolitiche in questi attacchi. Qui voglio ricordare – ma credo sia circostanza già nota agli onorevoli parlamentari – che queste campagne, poi, vengono rivendicate dagli attaccanti, che possiamo considerare dei proxy ad attori statuali ostili alle democrazie occidentali, in questo momento di antagonismo che vive la situazione geopolitica internazionale. Sappiamo, infatti, che molti di questi attacchi DDoS che si sono abbattuti sulla superficie digitale del nostro Paese in questo scorcio di tempo – adesso c'è una mitigazione e, in qualche modo, c'è un calo di questa specifica forma di attacco – sono stati appannaggio di una organizzazione (possiamo chiamarla così), la NoName057, russofona, vicina alle posizioni della Russia, che rivendica questi attacchi con enfasi proprio per accreditare l'ipotesi, la credenza dell'opinione pubblica nazionale nel fatto che questi attacchi abbiano portato a una grave crisi cibernetica del Paese. Quindi, oltre al danno, che non è tanto informatico, ma funzionale, reputazionale della superficie digitale che viene impattata dal DDoS, c'è anche un'ulteriore forma di danno, che è quello di disinformare. La disinformazione è un altro tema del rischio cibernetico, oggi accentuato – e domani ancora di più – dall'uso di strumenti più sofisticati della tecnologia e dirompenti. Alludo all'uso dell'intelligenza artificiale, quindi alla minaccia di avere una pervasività ancora maggiore rispetto a quella che conosciamo attualmente.
Determinare, quindi, nell'opinione pubblica la credenza che questi attacchi effettivamente abbiano avuto un effetto devastante sul Paese e che si siano abbattuti rispetto a un Paese che non ha sufficienti difese cibernetiche di fronte a questo tipo di minaccia, cosa che naturalmente non è così, naturalmente, o lo è in parte, perché – e questo va detto – effettivamente dobbiamo registrare, e lo abbiamo anche detto, un ritardo nella risposta cibernetica alla minaccia dell'Italia.
Ci sono stati, in questi anni, investimenti non certamente cospicui nell'attrezzarsi al confronto con questa minaccia, che ha avuto una maggiore incidenza – come dicevo – negli ultimi tre-quattro anni. Sappiamo che i tempi di risposta possono essere anche lunghi, in questo caso, perché gli investimenti in sicurezza informatica sono complessi, onerosi e, naturalmente, determinano non soltanto una risposta di tipo tecnico, tecnologico, ma richiedono una risposta anche di tipo organizzativo e procedurale.
Di questo in qualche modo si è tenuto conto, presidente, nell'ultimo intervento che è stato proposto dal Governo, a cui ha messo mano anche la mia Agenzia. Faccio riferimento al disegno di legge C. 1717, che credo arriverà presto all'attenzione, anzi è già arrivato all'attenzione delle Commissioni riunite Affari costituzionali e Giustizia. Da questo punto di vista, questo provvedimento prende proprio a spunto gli ultimi sviluppi che ci sono stati della minaccia per ampliare la capacità di contrastare e, innanzitutto, conoscere la minaccia. Una cosa che va detta è che la conoscenza della minaccia è la condizione preliminare per poterla prevenire e contrastare nella maniera più efficace.
Quindi, l'obbligo di notifica degli incidenti, cioè degli impatti, a cui fa riferimento l'articolo 1 del disegno di legge C. 1717, mira proprio a ottenere questo risultato, cioè a fare in modo che questa minaccia che si abbatte – sappiamo che riguarda gran parte della Pubblica amministrazione locale, comuni, aziende sanitarie locali, come dicevo, società di trasporto pubblico, società in house, che erogano servizi ai cittadini – venga conosciuta dall'Agenzia, venga, cioè, a emergere. Oggi noi la conosciamo indirettamente. Dal monitoraggio del web, che pure viene fatto dalla mia Agenzia (esiste un apposito servizio presso l'Agenzia, lo CSIRT, come esiste nelle altre agenzie e negli altri centri di competenza informatica presenti in Europa) è possibile, appunto, monitorare la minaccia e avere contezza degli incidenti che accadono nel Paese. Sicché, indirettamente, noi possiamo avere notizie di questi incidenti e andare a supporto, quando ci viene richiesto, e spesso accade, dalle amministrazioni impattate. È tutt'altra cosa, però, avere una immediata conoscenza della minaccia e poterPag. 6 immediatamente interloquire in maniera competente con l'amministrazione che è stata impattata.
Da questo punto di vista, il disegno di legge fa un passo in avanti in riferimento a tutte le amministrazioni ricomprese in questo allargamento del perimetro. Ne ha parlato anche l'onorevole Mantovano quando è stato qui in audizione qualche giorno fa. Questo allargamento del perimetro ci consente di poter interloquire con il responsabile per i servizi ICT della Pubblica amministrazione impattata e con il responsabile della cybersecurity, perché il contatto immediato tra la struttura colpita e la nostra Agenzia avvenga immediatamente e nel modo più competente e pertinente possibile.
Su un altro piano, infatti, in attuazione di una direttiva della Presidente del Consiglio dei ministri, che in qualche modo si collega al provvedimento di cui sto parlando, stiamo sottoscrivendo – lo faremo presto – delle intese speditive con le amministrazioni del perimetro di sicurezza nazionale cibernetica, proprio per rafforzare la capacità d'intervento dell'Agenzia nel momento in cui vi è un impatto, nel momento in cui vi è un incidente, stabilendo, cioè, un protocollo di attività che deve essere seguito sia dai nostri operatori che, soprattutto, dagli operatori dell'amministrazione che subisce l'attacco cibernetico.
Dal punto di vista della metodologia degli attacchi, ve ne sono di diversa maniera, di diverso tipo, più o meno aggressivi e più o meno dirompenti per quello che riguarda la superficie attaccata. Devo dire che non abbiamo registrato attacchi che abbiano potuto, almeno nel periodo di osservazione dell'Agenzia, mettere le infrastrutture critiche nazionali che riguardano il perimetro di sicurezza nazionale cibernetica nelle condizioni di discontinuità tali da mettere in pericolo il bene primario che siamo tenuti a salvaguardare, cioè la sicurezza nazionale, quindi la continuità della vita sociale, civile, economica, politica del Paese. Questo non è avvenuto. Non è avvenuto anche per la robustezza – lo dobbiamo dire – che ha già raggiunto, un traguardo non definitivo e ultimo, ma certamente intermedio. Occorrerà portare ancora avanti il processo di crescita e di robustezza della superficie digitale del Paese in tutti i suoi vari aspetti (Pubblica amministrazione, imprese, professionisti, comunità civile, eccetera).
Da un certo punto di vista, però, non è un risultato su cui possiamo riposare. Sappiamo che la minaccia è in evoluzione, in affinamento e può determinare una sua crescita sia in termini di numeri assoluti, cioè degli attacchi che potrebbero essere scatenati nei confronti del nostro Paese, sia in termini di offensività, cioè in termini di pericolosità della minaccia. Come ho detto, ci può essere, in questo, un intervento dei sistemi di intelligenza artificiale, che può rendere ancora più offensiva la pericolosità dell'attaccante.
Noi stiamo operando, come Agenzia, anche sul terreno della maggiore coesione con l'apparato militare. Questo lo stiamo facendo nella considerazione che il dominio cibernetico – che è il quinto dominio, come ormai viene chiamato, cioè un dominio che ha la dignità dei primi quattro domini che erano stati individuati dalla dottrina europea e dalla dottrina NATO – è un ambito nel quale, naturalmente, un fattore fondamentale è l'interdipendenza delle azioni che vengono svolte dai vari attori del Paese.
L'interdipendenza è un concetto strategico nella dottrina NATO. Si è affermata già con il summit di Varsavia del 2016. È stata ribadita nel concetto strategico del 2022, se non sbaglio, della NATO. «Interdipendenza» vuol dire aver presente la necessità di un approccio olistico, di un approccio multifattoriale al rischio cyber, proprio perché nel dominio cyber è molto più elevata, rispetto a tutti gli altri domini, la necessità che, di fronte alla minaccia, non solo si possa fare una escalation di tipo orizzontale, ma si debba e si possa fare anche una escalation di tipo verticale e laterale, nel senso che si debbano e si possano mettere in campo azioni che riguardano sia il dominio fisico, sia il dominio mare, sia il dominio cibernetico, magari insieme, magari a supporto l'uno dell'altro Pag. 7e magari con un rapporto di reciprocità e interdipendenza, come dicevo prima, che nasce proprio dalla multifattorialità del tipo di minaccia di fronte alla quale oggi ci troviamo a ragionare e a dover contrastare, che viene sinteticamente definita come minaccia «ibrida».
Questa ibridazione della minaccia allude proprio alla multifattorialità, alla possibilità, cioè, che ci sia incidenza della minaccia, con effetti a cascata, con effetti domino su vari ambienti, su vari strategic environments, come vengono definiti nella dottrina NATO gli ambienti che possono essere oggetto della minaccia secondo questo principio di threat multiplier, che è affermato ormai da qualche anno.
Nell'ultimo scorcio dell'anno scorso e agli inizi di quest'anno abbiamo portato a termine positivamente un'iniziativa che era già nel sistema dell'ACN: chiudere l'intesa con la Difesa per un apporto dell'apparato militare anche all'ACN, sia in termini di risorse competenziali, cioè di maggiori risorse di uomini, che vengono anche in Agenzia con il doppio cappello, in taluni casi, cioè con una dipendenza sia gerarchica che funzionale (dipendenza gerarchica dalla loro catena di comando e funzionale nei miei confronti, come direttore dell'Agenzia), per dare il loro apporto competenziale nell'ambito dell'Agenzia e applicarsi a quelle attività che, d'intesa tra il direttore dell'Agenzia, cioè il sottoscritto, e il Capo di stato maggiore della Difesa, verranno definite.
C'è anche un apporto formativo, che potrà essere reciprocamente fornito lato Agenzia e lato Difesa, per le nostre necessità di innalzare il grado e il livello formativo dei dipendenti, che sarà oggetto dello stesso decreto del Presidente del Consiglio dei ministri che stiamo portando all'attenzione della Presidente per la sottoscrizione, come dicevo, dopo la conclusione dell'accordo.
È un programma che andrà avanti gradualmente nei prossimi tre anni, che già dovrà vedere nel 2024 l'arrivo in Agenzia di un certo contingente di operatori dell'apparato militare e che proseguirà nei successivi due anni. Naturalmente, con l'incremento delle risorse di bilancio dell'Agenzia, quindi con una maggiore sostenibilità finanziaria, sarà possibile dare ancora sviluppo a questa linea, a questo processo, che cerca di dare concretezza a quel criterio di multifattorialità, a quel principio di interdipendenza cui facevo riferimento prima che, nel nostro caso, si declina come integrazione delle competenze, un altro dei princìpi cardine dell'amministrazione pubblica che proprio nel dominio cibernetico deve trovare particolare applicazione.
D'altra parte – se posso chiudere, presidente, con questa battuta – io vengo da un'amministrazione dove ho militato per quarant'anni, l'amministrazione dell'Interno, che si ispirava all'integrazione delle competenze. Io ho lavorato insieme a Forze di polizie, quindi a investigatori, a giuristi di un certo tipo. Ho lavorato nei Vigili del fuoco, quindi insieme a ingegneri strutturisti e a ingegneri informatici e, nella stessa Polizia, insieme a periti chimici e a periti fisici, cioè a gente che aveva competenze perché copriva un'area di competenza, quella del Ministero dell'interno, che – come sapete – tradizionalmente guarda al rischio di sicurezza del Paese a trecentosessanta gradi. Safety and security.
L'integrazione delle competenze, quindi, e chiudo con questo, mi fa piacere poterlo dire in questa sede, è una mia convinta istanza, che porto avanti fin dai tempi in cui sono stato nell'amministrazione dell'Interno, nei vari ruoli che ho svolto.
Grazie per l'attenzione.

PRESIDENTE. Grazie a lei, direttore Frattasi.
Do la parola ai colleghi che intendono intervenire per porre quesiti o formulare osservazioni.

GIORGIO MULÈ, intervento in videoconferenza. Ringrazio il direttore Frattasi. Sarò rapido, perché so che abbiano tempi stretti.
Direttore, lei faceva riferimento a tutta un'attività assolutamente lodevole dell'Agenzia legata all'evangelizzazione – mi lasci dire così – della dottrina cibernetica in ambito di imprese, piccole e medie, ovvero Pag. 8in tutto quell'ambito che, pur sfuggendo alla direttiva NIS2 in maniera principale, riguarda anche le pubbliche amministrazioni e faceva riferimento all'Atto Camera 1717, che tra un po' cominceremo a discutere.
Vado dritto al punto. Tutto quello che noi stiamo definendo riguarda la parte successiva a quando succedono incidenti. L'Atto Camera 1717 prevede che se non viene notificato l'incidente entro 24 ore, si va incontro a determinate sanzioni.
Vorrei invitarla, allora, ad aiutarci a capire se e come è stato definito quello che deve avvenire prima dell'incidente. Ci sono direttive dell'Agenzia o linee guida che definiscono in modo chiaro, almeno per i soggetti essenziali e importanti, quali sono i dettagli delle misure di sicurezza cibernetica e quelle da implementare per avere un minimo livello di sicurezza tale da proteggere le proprie infrastrutture digitali? Noi ci stiamo preparando a normare qualcosa che – secondo me, quantomeno, ma in questo lei mi deve confortare – deve prevedere a valle una serie di misure che dicano all'impresa o alla pubblica amministrazione: «se non ti adegui a questi standard che io ti codifico non hai i livelli minimi di sicurezza».
La prima domanda, quindi, è se state definendo le direttive, se siete stati incaricati di farlo oppure non ancora. E poi, se esiste una procedura, uno strumento attraverso il quale ACN comunica, in tempo reale o in tempo parzialmente differito, al cittadino la presenza di incidenti o minacce cibernetiche osservati sia in ambito IT che in ambito OT. Esiste una procedura che valuti una previsione delle minacce? Queste informazioni, se esistono, su quali canali di comunicazione vengono pubblicate? Immagino in un prossimo futuro la necessità di avere – come succede un po' con le previsioni del tempo – una serie di informazioni in tempo reale che ci dicano: «attenzione, sta succedendo questo o potrebbe succedere in un prossimo futuro questo».
L'ultima domanda, e chiudo. Le chiedo, proprio per aiutarci a svolgere meglio il nostro lavoro, se ACN abbia mai stilato una classificazione del rischio cibernetico IT e OT per le infrastrutture critiche nazionali o anche per i soggetti essenziali e per i soggetti importanti. Se esiste questa classificazione di riferimento, le chiederei – se è possibile – di averla, quindi avere anche informazioni sulle minacce cibernetiche IT che sono state subite negli ultimi due anni da soggetti nazionali, per capire anche il tipo di minaccia, la categoria dei soggetti nazionali, i periodi in cui sono accaduti. Tutto questo per avere, eventualmente, una quantificazione anche delle minacce cibernetiche OT.
Spero di essere stato chiaro. Il punto centrale riguarda proprio l'Atto Camera 1717, collegandomi alla sua attività, alla vostra attività meritoria, legato proprio all'esistenza o meno di questo catalogo, di questo modello «scatola degli attrezzi» a cui uno si deve adeguare.
Grazie e scusi per la lunghezza.

ANASTASIO CARRÀ. Buongiorno, direttore. La ringrazio per quanto illustrato in maniera chiara ed esaustiva.
Avrei alcune domande da porle. La cultura della cybersicurezza tra le amministrazioni pubbliche, le imprese e i cittadini, oltre a essere il primo scudo contro gli attacchi, non può che essere la base stessa di ogni intervento normativo, attesa la particolare complessità della materia e la sua importanza strategica.
La cybersicurezza, per sua natura, non potendo essere delegata, poiché un Paese per divenire cyber-resiliente ha bisogno che ogni attore pubblico o privato faccia la propria parte, necessita che l'Agenzia, quale l'Autorità nazionale di riferimento, a cui tutti i soggetti interessati possono e devono interfacciarsi, debba poter sviluppare rapporti istituzionali che aprano e mantengano sempre attivo un confronto tra la stessa con il Parlamento e con tutti gli stakeholders coinvolti, interessati, affinché possa esserci un reciproco supporto e lo scambio di informazioni necessarie per il raggiungimento degli obiettivi fissati dalla strategia nazionale di cybersicurezza.
Fatta questa premessa e preso atto di quanto riportato nell'ultima relazione annuale al Parlamento, ove si illustrano l'organizzazione e le attività svolte dall'AgenziaPag. 9 per la cybersicurezza nazionale, le chiedo di conoscere come quest'ultima si sia organizzata o si stia organizzando per valorizzare questo lavoro di raccordo parlamentare e se, a tal fine, si rendano necessari interventi normativi che permettano alla medesima di adeguare la propria organizzazione. Le chiedo, poi, qual è il principale discrimine tra cyber resilience e cyber defence, ovvero quali sono le modalità di collaborazione e/o di cooperazione tra il Ministero della difesa e l'Agenzia per la cybersicurezza nazionale, quali iniziative, di competenza di questa Commissione, ritiene necessario o utile segnalare per il rafforzamento dell'organizzazione e delle competenze dell'Agenzia per la cybersicurezza nazionale e, infine, in ordine agli accordi tra il Ministero della difesa e l'Agenzia per la cybersicurezza nazionale per l'istituzione all'interno della stessa di un nucleo deputato alla crittografia, se può illustrare le competenze, nonché le modalità con le quali verrà messo a disposizione il personale necessario al funzionamento del medesimo nucleo.
Grazie ancora.

MAURO MALAGUTI. Buongiorno, direttore. Sappiamo che l'ultima frontiera dei conflitti è quella delle guerre ibride, dei conflitti cognitivi, che utilizzano i social per influenzare le società avversarie, considerate nemiche o per radicalizzare cellule terroristiche, e così via.
Passo alla domanda. Circolano voci che l'America voglia oscurare TikTok perché è cinese. C'è un comparto, un ufficio nel vostro ambito che si occupa di monitorare tutti i social proprio a scopo di prevenzione e per capire meglio come agiscono in tema di conflitto contro il nostro Paese?
Grazie.

PRESIDENTE. Se non ci sono altre richieste di intervento, cedo la parola al direttore Frattasi per rispondere alle domande.

BRUNO FRATTASI, Direttore dell'Agenzia per la cybersicurezza nazionale. Parto subito dalle domande che mi ha posto l'onorevole Mulè riguardo alla prevenzione. Mi ha chiesto che cosa si fa e cosa fa l'amministrazione che rappresento in termini di prevenzione e non solo di risposta agli incidenti. Naturalmente, in termini di prevenzione facciamo molto. Come ho detto, lo CSIRT, che esiste anche in altre agenzie, anzi fa parte di un network di omologhi organismi che siedono presso tutte le altre agenzie europee e anche internazionali, fa opera di monitoraggio del web.
Che vuol dire? Vuol dire che va ad analizzare e a intercettare le nuove forme o le forme evolutive della minaccia cyber per farne oggetto di un'apposita campagna informativa e di allarme nei confronti delle amministrazioni che possono essere interessate da attacchi cibernetici, che potrebbero sfruttare quelle vulnerabilità rilevate in sede di monitoraggio dell'ambiente web.
In realtà, non c'è solo un'attività da parte dello CSIRT di risposta, quindi di sostegno e supporto all'amministrazione impattata, ma c'è anche un'attività che viene fatta in prevenzione, di monitoraggio della minaccia, di allertamento dei soggetti che possono essere esposti alla minaccia perché risultano esposti, con le loro vulnerabilità, in maniera peculiare a quel tipo di attacco, affinché mettano in campo tutta la capacità difensiva di cui già dispongono o di cui si devono dotare nel più breve tempo possibile.
Questa attività noi la compartecipiamo con tutte le amministrazioni perimetro. La nostra Agenzia convoca, con cadenza praticamente mensile, ma anche – se è necessario – in riunioni straordinarie, il Nucleo per la sicurezza cibernetica, che è quell'organismo che siede presso l'Agenzia e che riunisce tutte le amministrazioni perimetro, che fanno parte, cioè, del perimetro di sicurezza nazionale cibernetica, in cui vengono praticamente portate a conoscenza attraverso un summary operational, un bollettino che fa stato di tutta l'attività di scrutinio, di monitoraggio che noi facciamo sul web e la segnala alle amministrazioni. Questo in un esercizio collegiale. Ovviamente, però, nel caso in cui ci accorgessimo o dovessimo accorgerci di un imminente pericolo, non attendiamo la convocazione Pag. 10del nucleo, ma interloquiamo direttamente e puntualmente con le amministrazioni ritenute maggiormente esposte alla minaccia, perché presenti quelle vulnerabilità.
Riguardo alle linee guida relative alla minaccia che oggi si può ritenere più insistente o, comunque, più pericolosa – passatemi questa espressione – vorrei ricordare qui, a titolo di esempio, la pubblicazione, che già risale a qualche mese fa, delle linee che abbiamo messo giù sulla crittografia, cioè su un'altra delle tecnologie che possono essere particolarmente usate a scopi offensivi. Come sappiamo, c'è la particolare necessità di dare robustezza ai sistemi che si avvalgono di questa tecnologia, con chiavi crittografiche che siano particolarmente robuste e che, quindi, impediscano la penetrazione nei sistemi informativi e la possibilità che venga manomessa o compromessa l'integrità, la confidenzialità del dato che viene detenuto dalle amministrazioni impattate.
Ultimamente – qualche mese fa, se non sbaglio – abbiamo adottato e pubblicato linee guida sulla crittografia, che rappresentano la risposta a cui credo facesse riferimento il presidente Mulè quando chiedeva cosa facesse l'Agenzia in termini anche predittivi e di prevenzione degli attacchi.
Ho fatto già riferimento al tavolo perimetro. Vorrei ancora fare riferimento, sempre in risposta al presidente Mulè, a questa direttiva della Presidente del Consiglio, a cui stiamo già dando attuazione attraverso quelle intese speditive a cui ho fatto riferimento nel mio intervento e che completeremo con veri e propri protocolli operativi, che sottoscriveremo con molte amministrazioni, in cui si prevede esattamente un protocollo operazionale a fini preventivi.
Anche l'Atto Camera 1717 va in questo senso. Per esempio, prescrive che le amministrazioni del perimetro, in questo caso del perimetro NIS, si devono munire di un piano di gestione delle crisi, di un piano che riguardi il modo di affrontare la crisi, di procedure che non sono soltanto la sicurezza cibernetica affidata alla robustezza dei sistemi cibernetici tecnologici, ma anche alle misure organizzative e procedurali che completano l'assetto difensivo di un'amministrazione. Quindi, il piano gestionale, la nomina di un responsabile, tutti quei passi graduali che le amministrazioni devono compiere per innalzare la loro postura di sicurezza cibernetica. Questo vale anche per la domanda, a cui faceva riferimento l'onorevole Mulè, sulla previsione della minaccia.
La classifica del rischio cibernetico. A mio modo di vedere, non esiste una vera e propria classifica. Esiste una diversificazione del rischio cibernetico in relazione alla tipologia di minaccia. Noi abbiamo una vasta aneddotica e anche una classificazione. Sappiamo che esistono il phishing, lo spear phishing, il malware, la campagna DDoS, a cui ho fatto già riferimento. Esistono varie forme di attacco cibernetico, che hanno una diversa dirompenza rispetto alle superfici su cui questa minaccia viene ad abbattersi. Naturalmente, esistono forme di risposta diversamente modulate, a seconda del tipo di attacco con cui ci confrontiamo e a seconda della declinazione di questa minaccia.
Per quanto riguarda il raccordo Parlamento-istituzione, e passo alle domande che mi ha posto l'onorevole Carrà, vorrei ricordare che la nostra legge istitutiva prevede un rapporto peculiare tra il nostro organismo e il COPASIR. Questo per l'ovvia natura di strumento, di organismo di sicurezza nazionale che ACN riveste, che, quindi, porta a individuare nel Comitato parlamentare per la sicurezza della Repubblica il referente naturale dell'attività dell'ACN.
Io stesso, a pochi giorni dal mio insediamento, ho svolto un'audizione presso il COPASIR, dove ho illustrato i termini della strategia nazionale e come la stavamo applicando. Mi sono soffermato anche sull'applicazione delle risorse del Piano nazionale di ripresa e resilienza. Non l'ho detto prima, approfitto adesso per ricordarlo. Abbiamo un importante ruolo anche nella transizione digitale a cui fa riferimento la Missione 1 del PNRR e in attuazione della linea di investimento 1.5, gestiamo, 623 milioni di euro come soggetto attuatore del titolare dell'intervento, che è Pag. 11il Dipartimento per la transizione digitale della Presidenza del Consiglio dei ministri.
Abbiamo portato avanti e stiamo portando avanti tante iniziative interessanti, su cui non c'è il tempo adesso di soffermarsi. Ne vorrei citare a volo d'uccello una, che riguarda la costituzione dell'HyperSOC, che, anche con l'ausilio e l'integrazione di strumenti di intelligenza artificiale, di Machine Learning, sarà lo strumento che ci renderà possibile analizzare e penetrare meglio la struttura della minaccia informatica, quindi poter fare quella threat analysis necessaria per confrontarsi con una minaccia che – come dicevo – sta diventando sempre più forte e pervasiva.
L'onorevole Carrà mi ha chiesto anche i rapporti tra cyber defence e cyber resilience. Credo di aver tratteggiato, sia pur nella sommarietà di questa audizione, la differenza tra i due concetti. È una differenza molto astratta e teorica. Prima facevo riferimento alla dottrina NATO e agli altri princìpi relativi alla interdipendenza e alla multifattorialità del rischio, quindi alla necessità di un'interconnessione tra i vari attori del sistema. Chiaramente, i limiti, i confini in cui finisce la resilienza e comincia la difesa sono affidati all'interpretazione del caso concreto. Certamente, in linea teorica, si può dire questo. Ci sono strumenti normativi che lo prevedono. C'è un articolo di legge che stabilisce, appunto, che quando si esauriscono le capacità di resilienza di un Paese perché la minaccia arriva a un livello non più sostenibile, allora entra in campo un altro tipo di risposta. La cyber defence, a questo punto, diventa controffensiva. Cambia del tutto il panorama istituzionale. La filiera istituzionale non è più quella. A questo punto, saremmo in presenza di una escalation che prefigura un vero e proprio stato di guerra. Cambia anche la filiera istituzionale, conseguentemente. A questo punto, si indirizza verso un altro tipo di risposta, quindi si indirizza anche verso un altro tipo di catena di comando, che addirittura scala verso il Presidente della Repubblica, come Capo supremo delle Forze armate. Sto parlando, ovviamente, di scenari che non vorremmo mai si verificassero, solo per darle un'idea.
Nella resilienza, invece, abbiamo un tipo di scenario che porta la catena di comando verso la Presidenza del Consiglio dei ministri, con le diversità che lei conosce, naturalmente.
Le iniziative di competenza per il rafforzamento dell'Agenzia le ho un po' dette. Per quanto riguarda la provvista interna di personale, recentemente abbiamo esaurito le procedure concorsuali per immettere in Agenzia 60 unità di periti informatici, che stanno già prendendo servizio e continueranno a farlo nei prossimi mesi. Avremo questo apporto che ci darà il contingente militare, in applicazione del decreto del Presidente del Consiglio dei ministri a cui prima facevo riferimento. Appena si concluderà la firma del provvedimento, daremo il via alla fase attuativa. Siamo già in rapporti con lo stato maggiore della Difesa per l'individuazione delle risorse che dovranno venire in Agenzia, in parte per svolgere compiti propri dell'Agenzia, quindi con una dipendenza doppia, funzionale e gerarchica, rispetto al sottoscritto; in altri casi, invece, per lo svolgimento, il disimpegno di compiti che sono di reciproca funzionalità e interesse, quindi di ACN e di Difesa, per i quali questo svolgimento postula il cosiddetto «doppio cappello». Saranno alle dipendenze funzionali del direttore dell'Agenzia, ma manterranno il legame di dipendenza gerarchica con lo stato maggiore di appartenenza per il necessario flusso e feedback informativo verso l'apparato militare.
Passo alla domanda dell'onorevole Malaguti che mi chiedeva come ci interessiamo di quello che si agita sui social in termini di disinformazione, di fake news, di tentativi di manipolazione dell'opinione pubblica. Qui va fatta una piccola premessa. Il campo della disinformazione è campo di precipua applicazione degli organismi di intelligence, non tanto dell'Agenzia. Certamente non è un tema indifferente, quello della disinformazione, rispetto all'Agenzia, tant'è che, nell'ambito di quell'altro fattore abilitante della strategia nazionale, che è la consapevolezza del rischio cibernetico, noi promuoviamo campagne di sensibilizzazione che tendono a mettere in guardia Pag. 12l'opinione pubblica rispetto ai tentativi di manipolazione della stessa attraverso fake news, attraverso una ricostruzione della realtà tendenziale, una narrazione che cerca di seminare, in qualche modo, un disturbo nell'opinione pubblica nella effettiva percezione dello stato delle cose.
È una tendenza molto accentuata perché ci sono i social, ma non è una tendenza del tutto nuova per la storia delle democrazie occidentali. Come qualcuno ricorderà, chi ha più o meno la mia età, di questa tematica dei persuasori occulti se ne era parlato già negli anni Sessanta, con riferimento a fattori distorcenti l'opinione pubblica.

PRESIDENTE. Ringrazio ancora una volta il direttore Frattasi e tutti i colleghi intervenuti e dichiaro conclusa l'audizione.

La seduta termina alle 9.20.