PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione del Sottosegretario di Stato, Segretario del Consiglio dei ministri e Autorità delegata per la sicurezza della Repubblica, Alfredo Mantovano.

PRESIDENTE. Buongiorno a tutti. L'ordine del giorno reca l'audizione del Sottosegretario di Stato, Segretario del Consiglio dei ministri e Autorità delegata per la sicurezza della Repubblica, Alfredo Mantovano, nell'ambito dell'indagine conoscitiva sulla difesa cibernetica nuovi profili e criticità.
Saluto e do il benvenuto al Sottosegretario Mantovano, accompagnato dal Capo di gabinetto dottor Nicola Guerzoni.
Dopo l'intervento del nostro ospite darò la parola ai colleghi che intendano porre domande o svolgere osservazioni, a cui il Sottosegretario Mantovano potrà replicare. A tal proposito chiedo dunque ai colleghi di far pervenire fin d'ora al banco della Presidenza la propria iscrizione a parlare.
Do adesso la parola al Sottosegretario Mantovano per il suo intervento. Prego.

ALFREDO MANTOVANO, Sottosegretario di Stato, Segretario del Consiglio dei ministri e Autorità delegata per la sicurezza della Repubblica. Grazie presidente. Ringrazio lei e la Commissione per questa opportunità.
Quando in una delle sue visite a Roma il presidente dell'Ucraina Zelenski è atterrato a Ciampino, contemporaneamente, i siti del Ministero degli esteri sono stati sottoposti ad attacco hacker e, insieme a questi, molti altri siti istituzionali.
Nel 2023 l'agenzia nazionale per la cyber sicurezza ha trattato 1.411 eventi (adesso chiarisco qual è il senso di questa espressione, perché ogni comparto ha il suo linguaggio e le sue terminologie); una media di circa 117 al mese, con un significativo incremento rispetto al 2022.
Che significa evento? Per evento si intende un'aggressione cyber con un potenziale impatto su almeno un soggetto nazionale, che viene poi analizzato e approfondito e per il quale l'agenzia nazionale per la cyber sicurezza dirama alert e sostiene, se del caso anche in loco, i soggetti colpiti. Quindi stiamo parlando di uno spettro pari a 1.411 in un anno.
Andando alla qualità degli attacchi, l'ultimo anno e mezzo è stato caratterizzato da una forte vitalità dei cosiddetti gruppi di cyber, attivisti filorussi che hanno compiuto molti attacchi cosiddetti di DDoS, cioè attacchi che puntano a provocare un danno materiale, un danno di immagine – e quello al Ministero degli esteri da cui sono partiti è un evidente danno di immagine – indirizzandosi verso siti governativi, istituti finanziari, operatori dei trasporti, Difesa, operatori energetici.
A ottobre 2023 è iniziata un'attività simile ad opera di un gruppo filopalestinese, che ha avviato un'analoga campagna nei confronti di alcune pubbliche amministrazioni centrali e di siti web di aeroporti italiani. L'esito di questi attacchi, quando Pag. 4provocano danno, è l'indisponibilità momentanea dei sistemi e dei servizi informatici colpiti. Questo avviene normalmente all'indomani di dichiarazioni pubbliche o prima di adozione di pacchetti a favore dell'Ucraina o di allineamento alle posizioni a sostegno di Israele.
Differente dall'attacco cosiddetto DDoS è il cosiddetto ransomware, che vede l'Italia tra i Paesi più colpiti. Questo tipo di attacchi riguardano soprattutto le piccole e medie imprese, ma anche le strutture sanitarie. Lo abbiamo visto di recente con le aziende sanitarie di Verona e di Modena e, come dice il termine, sono la declinazione cyber dell'estorsione, nel senso che normalmente arriva un messaggio per mail o attraverso altri strumenti informatici con il quale viene chiesto un pagamento in bitcoin in genere, pena l'ostensione dei dati carpiti. Nel caso delle due ASL colpite, purtroppo, molti dati sanitari sono stati resi pubblici. In tutto questo vi è un'incidenza anche del maggiore utilizzo dell'informatica a seguito della pandemia quando, al distanziamento fisico, si è ovviato con la vicinanza digitale, come tutti noi abbiamo sperimentato, ma questo ha moltiplicato la porzione di vita condotta on line. Dal telelavoro alla telemedicina tutte le attività in pochi mesi si sono spostate nello spazio cyber, consentendo nell'immediato una prosecuzione della vita, anche se da remoto, ma questo spostamento delle nostre vite nel cyberspazio con una mole di dati generati mai vista prima ha accresciuto la superficie esposta agli attori ostili (o criminali cyber) e si è estesa mettendo a rischio anche la capacità stessa di fruire di servizi essenziali o strategici. In alcuni degli attacchi alle ASL si sono bloccate, per esempio, le sale dove venivano eseguite le TAC.
Qual è lo stato dell'arte al momento? È uno stato dell'arte che vede – se posso usare un'espressione di sintesi, poi cercherò di dettagliarla – un intenso lavoro di raccordo tra i vari soggetti che operano su questo fronte, ma con una legislazione che è rimasta quella risalente a poco meno di vent'anni fa; e per tutto ciò che riguarda il web vent'anni sono più di un'era geologica. Per cui, per esempio, le sanzioni penali rendono oggi più conveniente – o meglio più conveniente dal punto di vista criminale, quindi ci sono le virgolette avanti e dietro – l'intrusione in una ASL con acquisizione di dati sanitari dei pazienti che il furto dallo scaffale di un supermercato. Non ci sono norme di coordinamento, ma c'è un lavoro che viene realizzato con prassi e con le modalità – che esporrò tra breve – fra intelligence, Polizia giudiziaria, autorità giudiziaria, difesa e ACN, ma il fatto che non sia codificato in norme primarie genera dei problemi.
Faccio soltanto un esempio. Se vi è un attacco hacker significativo che provoca dei danni, l'interesse dell'autorità giudiziaria è che la scena del crimine cibernetico resti inalterata per poter risalire all'autore. Ma se quell'attacco ha bloccato le sale operatorie di un ospedale, l'interesse dell'agenzia è di ripristinare la funzionalità dell'ospedale. Come conciliare le due esigenze non è la cosa più semplice del mondo.
Lo stesso discorso si potrebbe fare, spenderò qualche parola tra breve, a proposito del collegamento tra le esigenze dell'intelligence e quelle della Difesa. Tutto questo si inserisce in un terreno culturale di scarsissima consapevolezza, anche all'interno delle amministrazioni, sulla necessità di dotarsi di sistemi di difesa validi e di correlarsi con i soggetti che sono istituzionalmente deputati ad aiutare. Viene alla mente, per lo meno a chi ha la mia età, quando 40 anni fa i nostri genitori e i nostri nonni guardavano con molta ritrosia la possibilità di dotarsi di porte blindate e di sistemi d'allarme nelle abitazioni; poi la moltiplicazione dei furti nelle case ha convinto a prendere le contromisure. Adesso c'è un atteggiamento simile nei confronti di questo tipo di attacchi.
Come certamente sapete l'Italia ha posto questo tema come uno dei più qualificanti della sua presidenza del G7, che è appena iniziata, e questo ha convinto anche ad approvare – nel Consiglio dei ministri della scorsa settimana (giovedì 25 se la memoria non mi inganna) – un disegno di legge che conoscerà il suo esame, anzitutto da parte della Camera, di cui avrete Pag. 5certamente sentito parlare, ma che ve lo riassumo veramente per cenni.
Cerca intanto di affrontare le esigenze di difesa dal lato delle amministrazioni, per cui si estende il perimetro della sicurezza cyber al di là dei confini che lo hanno riguardato fino a questo momento; quindi, anche ai Comuni con popolazione superiore ai 100 mila abitanti, ai Comuni capoluoghi di regione, società di trasporto pubblico urbano con un elevato bacino di utenza, le ASL, cioè tutto ciò rispetto a cui l'attacco informatico provoca, come è accaduto finora, dei danni seri.
I soggetti che hanno la responsabilità cyber all'interno di questi enti, nel momento in cui vi è un attacco, sulla base delle norme che il Governo propone al Parlamento e che il Parlamento nella sua sovranità esaminerà, sono tenuti a segnalare all'agenzia per la cyber sicurezza, entro un limite massimo di ventiquattro ore, l'evento dannoso, in modo da concordare una strategia di riparazione e di superamento del danno. Se non lo fanno, la prima volta ricevono un richiamo; le volte successive ci sono delle sanzioni, che sono sanzioni di tipo pecuniario-amministrativo e che toccano il portafoglio dell'ente interessato in prima battuta, ma ricadono anche su una responsabilità disciplinare e amministrativo-contabile del responsabile.
Purtroppo siamo costretti a proporre questo a fronte di ciò che abbiamo visto accadere negli ultimi mesi. Gli stessi soggetti incorrono in questa dinamica sanzionatoria se, a fronte di una segnalazione di danno da parte di ACN, non intervengono entro le 24 ore. Infatti, non sempre il soggetto interessato si accorge in prima battuta dell'attacco, ma accade più spesso che dell'attacco si accorga in prima battuta l'agenzia che segnala al soggetto interessato e propone una strategia di intervento.
Vado molto velocemente perché credo sia già a disposizione della Camera il disegno di legge. In questo si prevede che ogni amministrazione abbia al proprio interno una struttura cyber deputata a interloquire con l'agenzia. È poi prevista una disposizione che riteniamo importante per il personale addetto a tale interlocuzione, cioè la norma cosiddetta di raffreddamento. Se un soggetto si è occupato per conto di un'istituzione pubblica di difesa o comunque di resilienza cyber, tanto più se l'ha fatto all'interno dell'agenzia, qualora decida di cessare da questo incarico, per due anni non può ricoprire incarichi analoghi da privati. Questo non perché le remunerazioni dell'agenzia siano così irrisorie anzi, ma l'attrazione da parte del mercato privato è molto molto più remunerativa e quindi occorre adottare qualche misura di difesa, altrimenti succede che si sta il tempo necessario per inserire nel curriculum vitae questo tipo di esperienza, per aumentare la propria attrattività sul mercato, e poi l'agenzia si trova scoperta. Si prevede anche che tutti gli appalti che riguardano strutture cyber debbano rispondere a determinati requisiti e debbano anche garantire – cito testualmente dal disegno di legge – «la confidenzialità, l'integrità e la disponibilità dei dati da trattare» e questo, con molta evidenza, richiama anche scenari geopolitici.
Poi vi è tutta una serie di adeguamenti sanzionatori – che mi permetto di risparmiarvi – ma il cui filo conduttore è una sostanziale assimilazione della disciplina di carattere penale a ciò che l'ordinamento prevede per i reati di criminalità organizzata, non soltanto quanto a entità delle pene, ma anche quanto a strumenti di indagine. In quest'ottica vi è anche la competenza a trattare questo tipo di crimini da parte delle Direzioni distrettuali e, quindi, della Procura nazionale antimafia. Sono crimini senza territorio per i quali il coordinamento è essenziale e, come tutti sappiamo, riesce meglio un coordinamento tra le 26 procure distrettuali che tra le 140 procure ordinarie.
Vi è poi un meccanismo di raccordo tra tutti i soggetti interessati – quello a cui facevo cenno prima – e questo raccordo viene reso necessario nel senso che il Procuratore della Repubblica (e quindi chi del suo ufficio viene delegato alla persecuzione di questi reati) ha certamente la piena titolarità delle indagini, ma questo significa che deve raccordarsi con gli altri soggetti a cominciare da ACN a cui è demandato Pag. 6compito diverso da quello dell'accertamento del reato, ma è un compito egualmente importante. Questo estremamente in sintesi. Io non posso che auspicare, però nel pieno rispetto della sovranità del Parlamento, un esame in tempi accettabili di questo disegno di legge, perché sono norme di cui vi è assoluta necessità.
Qual è in modo particolare, e chiudo, il ruolo dell'intelligence e come si muove adesso a legislazione vigente nel raccordo con le strutture della Difesa oltre che con ACN. Lo dico in questa sede, ovviamente per quelle che sono le mie deleghe: l'interlocutore ordinario è il COPASIR, che ha quel regime particolare di audizioni e l'interlocuzione è costante ed anche molto positiva. L'intelligence svolge una costante azione di supporto, insieme con ACN, per prevenire e neutralizzare le possibili sorgenti d'attacco e, rispetto alle Forze di polizia, ha la possibilità strutturale di operare ex ante rispetto alle condotte illecite. Questo spiega l'attribuzione agli organi di intelligence, anche in questa materia, di strumenti come le cosiddette garanzie funzionali e le intercettazioni preventive che, analogamente a quello che avviene in tutti gli ordinamenti democratici, conferiscono la capacità di operare sotto copertura, di avvalersi della collaborazione di omologhi servizi esteri e di farlo evitando il rischio di un'attribuzione formale al nostro Paese di ingerenza nella sovranità altrui (i servizi servono a questo).
Come ben sapete le garanzie funzionali hanno un rigido meccanismo di autorizzazione, sia da parte di chi vi parla, sia da parte dell'autorità giudiziaria e, nello specifico, del procuratore generale della Corte d'appello di Roma. Vi posso assicurare che il vaglio è un vaglio rigoroso. Anche sul versante cyber, come per ogni altro dominio tradizionale, le competenze di intelligence e Difesa sono competenze ben distinte. La distinzione è facile dal punto di vista teorico ma complicata dal punto di vista operativo e, quindi, non nascondo i problemi che esistono perché non siamo in una sede accademica, ma siamo in una sede che proietta la decisione sul terreno operativo. Però la distinzione teorica consente di tener ferma una linea di demarcazione delle prerogative dei due settori. In particolare, lo status giuridico della Difesa è di immediata riconducibilità, sulla scorta del dettato costituzionale, al concetto di combattente legittimo e conferma la competenza esclusiva delle Forze armate rispetto ad attacchi cyber che integrano atti di guerra, cioè atti finalizzati al compimento di operazioni militari intese in senso stretto.
È evidente, quindi, che l'impiego di assetti della Difesa è richiesto in caso di conflitti armati tra Stati, ovvero nel corso di missioni in teatri esteri con obiettivi per esempio di peace keeping, nelle quali l'uso della forza e delle armi in chiave offensiva o difensiva costituisce una prerogativa naturale per lo Stato, a prescindere dal dominio nel quale si svolge la contesa.
Però ripeto, non voglio nascondermi dietro le distinzioni teoriche. Le regole consolidate in ambito militare per i domini tradizionali sono difficilmente, o comunque non senza complicazioni, traslabili tali e quali a un dominio molto peculiare qual è quello cyber per una serie di motivi. Al di fuori degli ambiti dove la ripartizione di competenze è chiara – da un lato lo scenario di guerra in capo alla Difesa, dall'altro attività di intelligence mirata solo all'acquisizione informativa e al controspionaggio cyber – esistono ulteriori scenari operativi che si collocano in una zona intermedia in cui è indispensabile evitare che le attività poste in essere a tutela della sicurezza nazionale non siano manifestamente riconducibili al Paese che le compie. È il discorso che facevamo prima e che giustifica poi le attività cosiddette sotto copertura. La ratio della previsione che riconosce agli organismi di intelligence la facoltà di adottare misure di intelligence cyber di contrasto in quest'ambito, anche avvalendosi della collaborazione della Difesa, va nella direzione di dare maggior forza a un paradigma cooperativo che è indispensabile, perché sotto l'egida dell'intelligence quanto al modello operativo impiegato e alla relativa cornice di legittimazione (e quindi anche al ricorso eventuale delle garanzie funzionali) favorisce il contrastoPag. 7 alle minacce che coinvolgono aspetti di sicurezza nazionale e non siano fronteggiabili solo con quella resilienza che compete ad ACN.
Questo significa che, andando proprio al concreto, se l'intelligence gode delle garanzie funzionali e la Difesa coopera in questo quadro con l'intelligence, è evidente che le garanzie funzionali si estendono anche ai soggetti appartenenti al comparto Difesa che svolgono questa attività di cooperazione.
Questo già avviene. È ovvio che tutto può essere discusso, ridiscusso, ma ritengo che questo sia il quadro operativo coerente con i compiti di ciascuno dei soggetti che intervengono su questo settore. Il fatto che si parli di guerra ibrida rende ibrido anche l'approccio e, quindi, la difficoltà di operare le necessarie distinzioni e la complicazione nel rispettare i ruoli di ciascuno.
Io vi ringrazio per l'attenzione e, se ritenete, mi fermerei qua, ovviamente essendo disponibile a rispondere alle vostre domande.

PRESIDENTE. Ringrazio il Sottosegretario Mantovano per la sua relazione. Passiamo adesso alle richieste di intervento dei colleghi. È iscritto a parlare l'onorevole Loperfido. Prego.

EMANUELE LOPERFIDO. Grazie presidente. Grazie Sottosegretario. È un tema sicuramente affascinante, ma molto complesso. Cercherò di essere breve. Lei ha illustrato un contesto in cui, effettivamente, la cosa più importante è fare un lavoro di squadra per affrontare questa nuova sfida. Non si parla più di nazioni belligeranti, ma si può parlare di un individuo belligerante, che ha notevoli capacità e anche risorse (lei appunto faceva riferimento alla questione delle risorse), contesto che abbiamo affrontato, per esempio, anche con il Ministro Crosetto. Un contratto di lavoro pubblico sicuramente è meno allettante rispetto a quanto può avere un hacker che viene finanziato in altri modi e, quindi, bisogna parlare di etica; però questo è un altro discorso.
Io intanto mi congratulo per il fatto che in Consiglio dei ministri sia arrivato il decreto che sicuramente affronteremo con interesse e anche con fare propositivo durante l'esame parlamentare. Mi soffermo su una questione legata alla mia esperienza di amministratore locale, ovvero quella della necessità effettiva di coinvolgere – nell'essere consapevoli che la cyber security non è un elemento tra tanti dell'amministrazione, bensì un elemento preponderante – non soltanto gli amministratori, ma anche i funzionari della pubblica amministrazione. Dico questo perché oggi, quando attaccano l'ospedale di Modena, il sentire comune è: «Hai sentito è andato giù il sistema dell'ospedale di Modena» perché ancora non c'è la consapevolezza, neanche tra i funzionari, che in realtà non è semplicemente «andato giù» il sistema, ma che c'è un rischio reale.
Questa consapevolezza necessita, ai fini del bilancio dell'ente locale e ai fini della preparazione del funzionario, che ci siano adeguate risorse e un'adeguata formazione del personale che lavora in collaborazione con ANCI e con le associazioni di categoria, perché tutti quanti siano consapevoli che la priorità della cyber security non è una cosa che riguarda soltanto il Sottosegretario Mantovano o chi siede in Parlamento, ma è una questione di sicurezza nazionale. Anzi, forse è molto più importante negli enti locali perché da lì, purtroppo, ci può essere la porticina da dove gli hacker possono entrare in sistemi più ampi. Grazie.

PRESIDENTE. Ha chiesto di intervenire l'onorevole Graziano.

STEFANO GRAZIANO. Grazie presidente. Grazie al Sottosegretario Mantovano anche perché è stato molto puntuale e ci ha fornito delle notizie abbastanza importanti e, al tempo stesso, anche abbastanza allarmanti. È utile che questo ce lo diciamo in modo da essere tutti consapevoli delle difficoltà.
Ci sono due cose che le volevo chiedere.
Gli attacchi cyber sono la nuova guerra virtuale che poi, in realtà, si ribalta sull'operatività di ogni giorno del cittadino. L'esempio delle sale operatorie è uno di quelli, ma non è il solo. Tuttavia io penso, mi Pag. 8permetto di dirlo Sottosegretario, che dovremmo fare un passo in più rispetto alla condizione di emergenza. Voglio dire che forse non basta la sanzione pecuniaria, né la responsabilità civile. A mio avviso bisognerebbe immaginare la possibilità di avere un commissario straordinario nel caso in cui, dopo la prima richiesta di adeguarsi, non vi sia un intervento immediato. Occorrerebbe che, in qualche modo, si scelgano le prefetture o si scelga chi si ritenga più utile perché c'è un problema di sicurezza nazionale e io penso che ci deve essere una priorità e una velocità molto più forte, perché altrimenti il rischio è che – come sempre accade in Italia – si innescano meccanismi per i quali ognuno immagina di dire che c'è un motivo per fare questo quando poi la spesa per fare la cyber si attribuisce all'ente che non l'ha fatta. Lo dico a sostegno del ragionamento, perché penso che sia utile.
La seconda cosa che le volevo chiedere al Sottosegretario è che poiché il tema di fondo è quello del personale (diciamoci la verità, l'attrazione del mondo privato rispetto al tema delle remunerazioni è molto alto e questo riguarda trasversalmente tutti i settori della cyber) forse sarebbe utile trovare una modalità per la quale, anche nell'ambito della formazione, ci sia qualcosa che ci aiuti, come Stato, ad assumere più personale. Perché oggi il vero problema è che tutti gli studi scientifici sono in difficoltà. Le iscrizioni all'università sono molte meno: ad esempio, nel campo dell'ingegneria ormai c'è una progressiva caduta. Mi chiedo, allora, qual è l'idea che noi abbiamo per ricostruire quel filone fondamentale, quali sono le possibilità e quali le azioni che vogliamo fare per recuperare in quella direzione?
Sulla vicenda che riguarda la legislazione carente penso che questo, forse, è il primo provvedimento che prova a mettere ordine e che cerca di costruire un'operazione la più condivisa possibile perché, come sa chiunque sia stato in Parlamento per qualche legislatura, una volta fatta una legge poi ci si mette molti anni per poterla rinnovare. Noi oggi, invece, abbiamo l'occasione di fare una legge che sia strutturale se c'è la disponibilità a ragionare il più ampiamente possibile, soprattutto in relazione a quello che è il versante Difesa, perché come dicevamo qualche giorno fa da essere un continente di pace, dopo settant'anni siamo diventati di fatto un continente circondato dalle guerre.

PRESIDENTE. Grazie. È iscritto a parlare l'onorevole Mulè. Prego.

GIORGIO MULÈ. Grazie presidente. Grazie al Sottosegretario Mantovano perché quanto ci ha spiegato ci rappresenta drammaticamente l'esigenza di intervenire nella maniera più ampia possibile.
Proverò in due minuti a parteciparle non la perplessità, ma la necessità, probabilmente, di condividere alcuni concetti, pur nei limiti che lei ha sottolineato nella sua audizione odierna essendo vincolato rispetto a ciò che riguarda la materia di competenza del COPASIR. Quindi, magari in un'altra occasione, valuteremo con il presidente se è il caso, vista anche la materia, di fare un'audizione coperta dal segreto per recepire alcuni elementi.
Io, intanto, individuo un problema di tipo dottrinale. Laddove lei ci ha parlato della classificazione degli eventi, la domanda è: come si fa a classificare se un attacco è di tipo civile o militare? Non c'è una dottrina che ci dice se l'attacco palestinese è stato di tipo civile o militare e ciò interessa anche il tipo di risposta ovvero la possibilità di neutralizzare gli attacchi con le garanzie funzionali, sotto eventuale copertura per operazioni particolari.
Quindi, se ce lo può dire, altrimenti approfondiamo un'altra volta, vorrei sapere se in questo ambito già esiste un protocollo tra DIS, Difesa, Agenzia della cyber sicurezza nazionale, e poi vorrei sapere anche quale tipo di applicazioni usare, quali applicativi acquistare per la sicurezza delle infrastrutture, soprattutto in ambito della pubblica amministrazione, se esistono già delle raccomandazioni europee, dei protocolli a cui bisogna attenersi nell'acquisizione di questi strumenti che poi costituiscono la prima barriera.
Sempre in ambito dottrinale, ma proprio per stimolare la discussione e quindi Pag. 9gli eventuali interventi, faccio un esempio. Se la NATO chiama l'Italia a collaborare per un attacco, esiste un protocollo o una dottrina per cui sappiamo dove possiamo o dove non possiamo arrivare nella collaborazione con la NATO? Tutto questo riporta probabilmente a un tentativo che, diciamo così, è prodromico, iniziale. L'articolo 88 del Codice dell'ordinamento militare, così come è stato modificato nel 2021, prevede in capo alla Difesa anche la difesa dello spazio cibernetico aerospaziale; questa fu l'aggiunta rispetto ai domini normalmente riconosciuti.
Il mio timore, glielo dico Sottosegretario con la pragmaticità che mi viene attribuita, è che tra DIS, Difesa, università, quindi tra tutti questi attori ci si muova o ci si possa muovere, non dico invadendo i campi, ma con tentazioni che poi possono non far arrivare a un finale virtuoso rispetto all'obiettivo che tutti abbiamo.
Allora, anche in questo caso, sarebbe importante avere un protocollo o un ambito specifico di indirizzo. In realtà la cyber ci insegna che bisogna essere quanto più flessibili possibile rispetto all'intervento: però, sarebbe utile se anche su questo ci potesse aiutare a capire come eventualmente si può normare o non disturbare, perché di questo si tratta, ambiti di cui lei ha perfettamente conoscenza per il ruolo che ricopre anche rispetto alla garanzia funzionale (per dirla in maniera ampia) e che cosa possiamo eventualmente fare. Grazie.

PRESIDENTE. Grazie a lei. Se non ci sono altre richieste di intervento do la parola al Sottosegretario Mantovano per poter rispondere alle vostre domande.

ALFREDO MANTOVANO, Sottosegretario di Stato, Segretario del Consiglio dei Ministri e Autorità delegata per la sicurezza della Repubblica. Grazie.
Condivido, rispetto al primo intervento e lo condivido operativamente ogni giorno, la necessità che il lavoro sia un lavoro di squadra. Vi è uno strumento tecnico formale che deriva dalla legge istitutiva dell'agenzia sulla cyber che è il cosiddetto CIC, Comitato interministeriale sulla sicurezza cibernetica, nel quale siedono tutte le amministrazioni interessate. È una sorta di versione cyber del CISR, di quello che il CISR è per la sicurezza nazionale in senso lato, con riferimento particolare all'attività di Intelligence. A servizio del CIC c'è una struttura tecnica, che è il luogo di raccordo ancor più concreto e operativo – al di là delle indicazioni di orientamento delle direttive date nel CIC – per poter procedere d'intesa tra le varie amministrazioni.
Devo dire, sto sperimentando, sia sul fronte CIC che sul fronte CISR, l'utilità operativa della struttura tecnica che si riunisce a scadenze molto ravvicinate e che su argomenti specifici riesce nel miracolo, per la moltiplicazione delle competenze su materie sensibili, di stabilire chi fa che cosa e di farlo anche d'accordo. Poi insomma con tutti i limiti, non voglio allargarmi.
Quanto alle risorse, l'investimento fatto già nella passata legislatura su ACN è un investimento importante. A pieno regime ACN avrà un organico di circa 800 unità; oggi supera di poco le 200, ma non perché non ci siano le risorse per coprirlo tutto, ma perché è facile coprire la parte amministrativa mentre è difficilissimo, non voglio usare il termine impossibile, coprire la parte tecnica. È difficilissimo perché è un problema di sistema nel senso che questa tipologia di professionalità è carente ed è una carenza che interessa le nostre università. Ne parlo in continuazione col Ministro Bernini, ma bisognerebbe ampliare il discorso. Lei già lo sta facendo, ma proviamo a farlo proprio come intera squadra di Governo con gli atenei. È un lavoro che va assolutamente intensificato, ma che purtroppo non può dare risultati nell'immediato. Queste professionalità non si improvvisano e una parziale rimodulazione dell'offerta formativa delle università è necessaria. Non credo che sia fatica sprecata, non soltanto per quello che questo significa per la sicurezza nazionale, ma anche per quello che significa per la remunerazione di chi svolge questo tipo di attività.
Nella rassegna dei problemi confermo che uno di questi è costituito dal tratto culturale che interessa mediamente le nostrePag. 10 Amministrazioni, con tante felici eccezioni. Faccio un esempio senza specificare l'amministrazione di riferimento.
Una delle mie prime esperienze, che risalgono al novembre del 2022, quindi avevo ricevuto da pochi giorni la delega, è stata una telefonata dell'allora direttore di ACN il quale mi diceva di non riuscire a rintracciare nessuno della tale amministrazione che dall'agenzia risultava essere colpita da un attacco hacker. Poiché il mio ruolo impone talora anche di svolgere le funzioni di centralinista, nel giro di dieci minuti ho messo in contatto ACN con questa amministrazione. Che cosa era successo? Semplicemente era sabato pomeriggio. Però questo è indice di una mentalità. Ricordo che tanti anni fa un signore che ha fatto il Capo della Polizia, che si chiama Gianni De Gennaro e che all'epoca cercava un latitante, aveva problemi con la polizia di un importante Paese occidentale perché aveva mandato un ordine di cattura con il fax e questo fax è arrivato alle 14.01 di un venerdì e, quindi, se ne è parlato il lunedì successivo quando il latitante era a qualche migliaio di chilometri di distanza.
Purtroppo, questo è un problema rispetto al quale adesso, non lo enuncio nell'estremo dettaglio, ma è stata introdotta una disposizione in questo disegno di legge, l'articolo 6, che prevede l'istituzione in ciascuna delle strutture del perimetro di un settore dedicato specificamente alla tutela cyber, d'intesa con l'agenzia. Tante amministrazioni già hanno questo ufficio, ma voglio sperare che nel momento in cui sarà diffuso ovunque non ci sia necessità di pensare a un Commissario, perché sarà la stessa struttura a tenere – un po' come ciascuno di noi tiene all'integrità della propria abitazione – alla integrità del proprio sistema. Però è descritto molto nel dettaglio nell'articolo 6.
Anche il discorso delle risorse, non bisogna decidere se averle o meno, bisogna decidere quando investirle, nel senso che è necessario convincersi che attendere significa spendere di più dopo, quando il danno è già fatto.
Sull'intervento del Presidente Mulè mi permetto di riservare la risposta per una ragione molto semplice, perché facendo riferimenti a protocollo NATO eccetera, non ho in questo momento cognizione del regime di classificazione. Quindi vorrei evitare problemi però, con tutte le garanzie, posso dire solo di condividere le esigenze di flessibilità. Mi pare di aver fatto già un cenno nella relazione al raccordo Difesa Intelligence su un terreno così nuovo e così lontano dagli schemi tradizionali. Resta ferma, comunque, la nostra Costituzione a proposito degli atti di guerra che possono qualificarsi Italia anche sul piano strettamente cibernetico. Quindi, mi riservo una risposta più dettagliata e, se necessario, anche con le classifiche adeguate.

PRESIDENTE. Se non ci sono ulteriori interventi ringrazio ancora una volta il Sottosegretario Mantovano per questa opportunità di confronto e tutti i colleghi intervenuti e dichiaro conclusa l'audizione.

La seduta termina alle 9.20.