ASCARI, DEL SESTO e MARTINCIGLIO. — Al Presidente del Consiglio dei ministri, al Ministro della giustizia, al Ministro dell'interno. — Per sapere – premesso che:

   un mese fa un attacco ransomware al data center che ospita alcuni dei sistemi informatici della regione Lazio ha compromesso l'utilizzo di alcuni dei servizi e delle applicazioni a disposizione dei cittadini, tra cui il sistema di prenotazione dei vaccini. A seguito di ciò il Governo avrebbe chiesto all'intelligence di redigere «un brief paper» in cui indicare sommariamente i sistemi informatici delle sanità regionali afflitti da criticità di vario genere;

   in quel momento l'Italia ha temuto di essere nel mezzo del «più importante attacco cibernetico della sua storia» in quanto gli hacker hanno puntato in quei giorni anche i server di aziende energetiche, di maison d'alta moda, e dei big della meccanica;

   l'attacco più grave è stato inferto alla più importante società di informatica Engineering; fornitore di servizi digitali per molti enti della pubblica amministrazione italiana. Si legge sull'articolo di giornale di Repubblica del 14 agosto 2021 che la società Engineering sarebbe stata costretta a trattare con gli hacker. Per tre ore i tecnici dell'azienda avrebbero chattato con gli hacker, fino a vedersi recapitare un sample, un assaggio delle informazioni rubate. La prova del sequestro. Quindi la cifra del riscatto, come se si trattasse di un sequestro di persona;

   il problema non è soltanto il destino dell'azienda, ma soprattutto quello dei suoi clienti. La società lavora con l'Inps, con il Ministero delle infrastrutture e della mobilità sostenibili e quello della giustizia, con la Lombardia e il Veneto. Ha contratti anche con LazioCrea, società partecipata del Lazio. E poi ci sono i privati;

   Engineering è senza dubbio parte lesa come lo sono le società che hanno subito attacchi in questi mesi. Si legge, sempre nell'articolo citato che, nel 2020, nel mondo, ci sono stati 1.871 attacchi, il 30 per cento in più rispetto al 2019. Sono finiti nel mirino colossi dell'informatica e ospedali. Accenture è l'ultima vittima. Le fanno compagnia giganti come SolarWinds, Microsoft Exchange e LinkedIn;

   l'attacco subito dalla società Engineering (visto che fornisce i propri servizi a molti enti pubblici) dovrebbe preoccupare le istituzioni per la molteplicità di informazioni e di dati sensibili in possesso della società e che potrebbero essere stati trafugati dagli hacker;

   si legge su un altro articolo di giornale che, tra le infrastrutture a rischio, ci sarebbero alcuni data-centre in cui sono conservati i dati delle intercettazioni telefoniche (tra queste potrebbero essere comprese quelle relative ai procedimenti riguardanti indagini relativi ai processi di mafia, terrorismo e altro. Emerge così il problema di tutelare maggiormente la sicurezza dei data-centre dislocati in ogni procura della Repubblica, che dovrebbero avere un elevatissimo standing di sicurezza;

   purtroppo, potrebbe verificarsi che soggetti privati come Engineering (tra i clienti della società – si ricorda – vi sarebbe anche il Ministero della giustizia), eventualmente incaricati, direttamente o indirettamente, di attività del genere potrebbero correre il rischio di essere oggetto delle mire di malintenzionati pronti a carpire, manipolare o distruggere quelle informazioni tanto delicate. È possibile pensare, ad esempio, che qualche gruppo criminale o mafioso, possa ambire a perforare quei sistemi informatici;

   va considerato inoltre che sia in Europa, che in Italia, non pare sussistere una adeguata normativa per fronteggiare tali rischi che potrebbero costituire, tra l'altro, una grave minaccia per la sicurezza del nostro Paese;

   appare dunque urgente non solo provvedere a mettere mano ad una legislazione adeguata in tal senso, ma pare anche necessario adoperarsi per individuare, nel frattempo, le misure più opportune per evitare che simili gravi attacchi hacker, come quelli subiti dalla regione Lazio e dalla società Engineering possano ripetersi, anche a danno dei data-centre dislocati in ogni procura della Repubblica del nostro Paese –:

   se il Governo sia a conoscenza dei fatti sopra esposti, e se sia a conoscenza se la società Engineering abbia in essere o abbia avuto in affidamento appalti per il servizio di intercettazioni telefoniche da parte di una o più procure della Repubblica, al fine di evitare che possa sussistere o concretizzarsi il rischio che, tra i dati esfiltrati dai pirati informatici nel citato attacco subito dalla società, vi siano audio o video intercettazioni di inchieste in corso, inerenti reati di mafia o concernenti la sicurezza dello Stato;

   quali eventuali altre società private siano incaricate di custodire dati delicatissimi per conto della giustizia e della sicurezza italiana, quali siano le loro metodiche di sicurezza, quale sia l'organismo di vigilanza che li controlla, quali siano i criteri, anche curriculari ed etici, per la selezione di dette società.
(3-02483)