Scarica il PDF
CAMERA DEI DEPUTATI
Martedì 9 aprile 2024
285.
XIX LEGISLATURA
BOLLETTINO
DELLE GIUNTE E DELLE COMMISSIONI PARLAMENTARI
Commissioni Riunite (I e II)
COMUNICATO
Pag. 4

SEDE REFERENTE

  Martedì 9 aprile 2024. — Presidenza del vicepresidente della II Commissione, Pietro PITTALIS. – Interviene la sottosegretaria di Stato per i Rapporti con il Parlamento, Matilde Siracusano.

  La seduta comincia alle 12.20.

Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici.
C. 1717 Governo.
(Seguito dell'esame e rinvio).

  La Commissione prosegue l'esame del provvedimento, rinviato nella seduta del 19 marzo 2024

  Pietro PITTALIS, presidente, ricorda che i deputati possono partecipare alla seduta in videoconferenza secondo le modalità stabilite nella riunione della Giunta per il Regolamento.
  Ricorda altresì che nella seduta di mercoledì 3 aprile scorso si è concluso il ciclo di audizioni e che nella scorsa riunione degli Uffici di presidenza, integrato dai rappresentanti dei gruppi, si è convenuto di fissare il termine per la presentazione delle proposte emendative a giovedì 11 aprile alle ore 15.

  Alfonso COLUCCI (M5S) sottolinea che la parte del disegno di legge relativa alle competenze della Commissione Affari costituzionali, essenzialmente volta a rafforzare la cybersicurezza delle amministrazioni pubbliche, è indubbiamente auspicabile, pur muovendo da un approccio limitato e pur presentando criticità, rispetto alle quale anticipa sin d'ora la presentazione di emendamenti da parte del Movimento 5 Stelle.
  La principale criticità attiene all'invarianza finanziaria, prevista dall'articolo 18 del disegno di legge. In merito, evidenzia come l'Italia sia l'ultimo Paese del G7 per quanto riguarda il rapporto tra spese di cybersicurezza e PIL, con una percentuale dello 0,12 per cento (a fronte dello 0,19 per cento di Francia e Germania, dello 0,29 per cento del regno Unito e dello 0,34 per cento degli Stati Uniti) e contesta che le pubbliche amministrazioni possano essere messe in condizione di contrastare l'aumento degli attacchi cibernetici e di rafforzare la propria resilienza in assenza di risorse.
  Un ulteriore profilo di criticità attiene all'estensione del campo d'applicazione di questa disciplina a tutte le società in house, senza distinguere quelle che sono Pag. 5direttamente coinvolte nella possibilità di attacchi informatici, perché svolgono attività anche verso l'esterno, da quelle che invece, svolgendo una attività esclusivamente interna, non hanno questo tipo di esposizione. Sottolinea che una logica di risparmio avrebbe consigliato di escludere queste ultime dall'applicazione del disegno di legge.
  Sempre nella logica dell'invarianza finanziaria, evidenzia inoltre la mancanza all'articolo 9 di disposizioni che consentano i distacchi di personale, al fine di consentire alle amministrazioni pubbliche di acquisire nuovo personale da destinare alla cybersecurity.
  Ritiene inoltre indeterminati i requisiti di professionalità previsti per il referente per la sicurezza dall'articolo 6, comma 2, ed evidenzia come invece la direttiva NIS 2 richieda specifici requisiti di certificazione tecnica del personale; in merito suggerisce la previsione di un regolamento al quale demandare l'attuazione della legge.
  Sostiene, più in generale, che il disegno di legge manchi di una cultura della resilienza cibernetica, non solo per quanto riguarda le pubbliche amministrazioni ma anche nei rapporti con i cittadini, risultando privo di strumenti formativi idonei, di una pedagogia cibernetica, tale da dare vita a una rete tra amministrazioni, imprese private e cittadini per costruire una effettiva cybersicurezza. Evidenzia come non siano previste neanche forme di aggregazione tra imprese pubbliche, al fine di poter gestire in modo consortile i servizi di sicurezza, scambiando esperienze anche in una logica di economie di scala.
  Sottolinea inoltre come il disegno di legge si incentri sulla notifica a seguito di incidente ma non introduca misure per prevenire l'incidente stesso, non richiedendo alcuna analisi preventiva del rischio cibernetico e di gestione dell'attacco e critica inoltre l'assenza di riferimenti alla disciplina dei contratti pubblici e l'intera formulazione dell'articolo 7 del disegno di legge. In merito, contesta l'attribuzione ad una agenzia governativa delle funzioni di controllo sull'intelligenza artificiale – e non, come richiesto dal recente AI Act dell'Unione europea ad una autorità indipendente – e giudica antistorico e antigiuridico il riferimento all'uso etico e corretto dei sistemi basati sull'intelligenza artificiale, ritenendo che sul punto il disegno di legge compia uno svarione giuridico.
  Infine, ricordando l'audizione informale dei rappresentanti di SOGEI, evidenzia come essi abbiano sostenuto che in qualsiasi attività compiuta dall'ente siano rintracciabili costi per la tutela della sicurezza cibernetica e stigmatizza nuovamente come invece il disegno di legge pretenda di aumentare la cybersicurezza delle pubbliche amministrazioni a costo zero. Preannuncia dunque emendamenti da parte del suo gruppo, finalizzati a migliorare il contenuto del provvedimento, sui quali auspica una ampia convergenza.

  Matteo MAURI (PD-IDP) intende riprendere alcune delle considerazioni del collega Alfonso Colucci, rilevando come durante il ciclo di audizioni si sia sperimentata una grande condivisione di aspetti significativi, anche da parte dei soggetti auditi, che per la natura dell'oggetto, non erano caratterizzati da specifica appartenenza politica. Nel ricordare che si tratta infatti di tecnici o di professori della materia che hanno cuore, come noi, il rafforzamento della capacità di difesa del nostro Paese rispetto agli attacchi informatici, fa presente che ognuno di loro ha svolto valutazioni non molto distanti da ciò che è stato fin qui esposto dal collega. In estrema sintesi, rileva come tutti concordino sulla assoluta necessità del provvedimento, sottolineando che non si tratta di un aspetto scontato, e come invece i dubbi riguardino gli strumenti di cui dotarsi per consentire alle pubbliche amministrazioni il salto di qualità indispensabile in materia. In particolare, evidenzia che le principali problematiche sono relative alla ristrettezza dei tempi e all'assoluta mancanza tanto di risorse finanziarie quanto di supporto alle pubbliche amministrazioni. Richiama quindi le informazioni fornite dal Sottosegretario Mantovano e dal direttore dell'Agenzia per la Pag. 6cybersicurezza nazionale Frattasi in merito al bando in corso per 50 milioni di euro provenienti da un investimento del PNRR, destinato a finanziare proposte progettuali degli enti pubblici in materia, nonché in merito a un ipotetico secondo bando di pari importo. Nel far presente che a quanto gli risulta il primo bando non ha avuto molto successo, tanto che è stato necessario prorogarlo, chiede di sapere quanti e quali siano i soggetti che hanno finora aderito. Rilevato che la scelta di ricorrere a bandi finanziati dal PNRR a suo parere non garantisce che tutti i soggetti interessati dal disegno di legge in esame e soprattutto quelli tra di loro in maggiore difficoltà intercettino effettivamente le risorse finanziarie necessarie, ritiene che la soluzione migliore sia quella di appostare risorse, anche di pari importo, nel bilancio dello Stato sul capitolo pertinente. Nel considerare questo un aspetto degno di una riflessione collettiva, chiede alla presidenza e alla Sottosegretaria se, come è sembrato nel corso delle precedenti interlocuzioni, vi siano margini per un confronto tra il Governo e i gruppi rispetto ai temi sollevati, in modo da consentire lo svolgimento di un lavoro comune sul testo. In conclusione, avanza una richiesta intempestiva, chiedendo se dal Governo o dall'Agenzia per la cybersicurezza nazionale si possa ottenere un elenco esaustivo dei soggetti interessati dall'ambito normativo del disegno di legge in esame, che fornisce a tale proposito indicazioni del tutto generiche, con l'indicazione di quali tra tali soggetti siano coinvolti nel citato bando dell'Agenzia. Infine, riprendendo una considerazione già svolta, invita il Governo ad accelerare sull'attuazione della direttiva europea cosiddetta NIS 2, senza attendere la scadenza prevista. Esprime la convinzione che l'urgenza manifestata dalla maggioranza con riguardo all'approvazione del provvedimento in esame sia determinata, oltre che dall'esigenza di potenziare al più presto la capacità di resilienza delle pubbliche amministrazioni in materia di sicurezza cibernetica, anche dal fatto che tra poco più di quindici giorni si terrà una riunione del G7 dedicata anche alla materia in questione. Considera comunque tale eventualità una cosa positiva, se può essere utile ad accelerare sull'attuazione della richiamata direttiva.

  Giulia PASTORELLA (AZ-PER-RE), pur ritenendo corretto che il focus del disegno di legge sia sulle pubbliche amministrazioni, e che con esso il Governo anticipi quella che sarà la prossima attuazione della Direttiva NIS 2, critica l'assenza dal provvedimento dei contenuti di cui all'articolo 21 della Direttiva, attinenti alla resilienza, alla prevenzione e all'organizzazione. Sottolinea infatti come tali principi siano elencati solo all'articolo 6, in relazione alle funzioni del referente per la cybersecurity, ma non come approccio generale alla messa in sicurezza delle amministrazioni pubbliche. Analogamente, contesta che l'Agenzia per la cybersicurezza nazionale fornisca alle amministrazioni supporto al verificarsi di incidenti, dopo la notifica degli stessi, ma non supporti anche le amministrazioni per quanto riguarda la prevenzione e la resilienza.
  Per quanto riguarda nello specifico il referente per la cybersicurezza, ritiene che l'articolo 6 del disegno di legge non chiarisca se egli debba necessariamente essere individuato tra il personale già in servizio presso l'amministrazione, ovvero se possa essere individuato anche all'esterno o possa essere un consulente; ritiene poi che la definizione dei requisiti professionali del referente non debba essere dettagliata nella fonte primaria, ma possa essere demandata a un regolamento dell'Agenzia nazionale.
  Si dichiara contraria alla soppressione dell'articolo 7 del disegno di legge, ritenendo corretto che l'ACN si occupi di intelligenza artificiale in una logica di contrasto degli attacchi informatici, ma auspica una migliore formulazione della disposizione che escluda il riferimento agli aspetti etici. In merito, fa presente che un recente lancio di agenzia annuncia che nella bozza di disegno di legge sull'intelligenza artificiale sarebbero attribuiti compiti tanto all'Agenzia per l'Italia Digitale (AgID) quanto all'Agenzia per la Pag. 7cybersicurezza nazionale (ACN): ritiene tale scelta inopportuna perché ACN è un'agenzia di recente creazione, che ancora deve trovare un proprio assetto, e soprattutto non ha le competenze per gestire il fenomeno dell'intelligenza artificiale nel suo complesso.
  Ritiene poi illiberale il contenuto dell'articolo 9, nella parte in cui impedisce al personale dell'Agenzia di trovare un diverso impiego prima che sia trascorso un determinato periodo di tempo e giudica la misura un ostacolo allo sviluppo del mercato della cybersicurezza.
  Infine, critica la formulazione dell'articolo 10 che, demandando a un DPCM la disciplina dei contratti pubblici nel settore della cybersicurezza, pare dimenticare tutta la normativa europea già in vigore o in fase di implementazione – dalle certificazioni europee che derivano dal Cybersecurity Act agli standard minimi richiesti dal Cyber Resilience Act – ed evidenzia come questa disciplina avrebbe trovato più consona collocazione nel codice degli appalti.
  In conclusione, pur ritenendo l'iniziativa legislativa necessaria, ritiene che la formulazione del disegno di legge del Governo sia simile a un puzzle, con il quale si cerca di mettere pezze su vari buchi normativi. Preannuncia comunque emendamenti da parte del suo gruppo volti, in uno spirito di leale collaborazione, a migliorare il provvedimento.

  Filiberto ZARATTI (AVS), nel condividere le considerazioni svolte nei precedenti interventi in ordine alle problematiche connesse all'argomento in questione, ritiene di porre l'accento in primo luogo sull'approccio collaborativo manifestato dalle opposizioni che considera necessario e non più rinviabile un intervento in materia di cybersicurezza. Chiede quindi se maggioranza e Governo intendano dare dimostrazione del medesimo spirito di collaborazione, accogliendo gli spunti di riflessione e le proposte della minoranza, che possono contribuire a migliorare significativamente il testo in esame. Nel ritenere che l'argomento richieda una grande convinzione politica, considera indispensabile rafforzare le capacità di difesa della pubblica amministrazione e in particolare del Servizio sanitario nazionale, che detiene dati sensibili delle cittadine e dei cittadini italiani. Dichiara di non comprendere l'ossessione della maggioranza per l'incremento delle pene, che serve a ben poco a suo parere soprattutto in materia di cybersicurezza, considerato che la maggior parte degli attacchi partono da Stati terzi ed è pertanto particolarmente difficile perseguire tali reati. Ritiene che al contrario sia necessario puntare sulla prevenzione, mettendo le pubbliche amministrazioni in grado di difendersi, fornendo loro strumenti adeguati. A tale proposito, considera indispensabile ragionare sul vincolo insormontabile posto dall'articolo 18 del provvedimento, rilevando le perplessità in merito alla scelta del Governo di intervenire su un ambito così importante senza destinarvi le necessarie risorse. Nel ritenere infatti che la mancanza di investimenti nel settore mini la credibilità della proposta, fa presente che se si vuole rispondere alle esigenze del nostro tempo, difendendo il nostro Paese da attacchi che rischiano di mettere in ginocchio l'economia e di provocare danni ingenti, occorre mettere in campo strumenti adeguati. In caso contrario, si rischia di assumere iniziative destinate a non avere alcuna incidenza sulla realtà e a vanificare gli sforzi di maggioranza e opposizione. Aggiunge che a suo parere andrebbe dedicata maggiore attenzione alle segnalazioni provenienti da soggetti indipendenti, che attualmente sono restii a condividere informazioni su eventuali attacchi informatici per paura di essere coinvolti sul versante penale. Nel preannunciare proposte emendative del suo gruppo su tale argomento, ribadisce l'esigenza di lavorare sulla prevenzione piuttosto che sulla repressione, favorendo un sistema di allarmi tempestivi. Nel reiterare la richiesta di sapere quale sia la reale intenzione del Governo e della maggioranza con riguardo al provvedimento in esame, manifesta analogamente ai colleghi le proprie preoccupazioni in materia Pag. 8di intelligenza artificiale, ricordando che il recente regolamento europeo richiede che a presiedere ogni innovazione tecnologica in materia sia un'autorità indipendente, a garanzia di tutti. Ritiene quindi che la scelta di affidarsi ad un'agenzia governativa non risponda alle esigenze del Paese né alle indicazioni europee.

  La Sottosegretaria Matilde SIRACUSANO sottolinea come l'innalzamento dei livelli di sicurezza costituisca un interesse del Paese ed assicura, pertanto, la massima disponibilità dell'Esecutivo ad esaminare in maniera condivisa il provvedimento del quale evidenzia la natura tecnica e non politica.
  Per quanto attiene al tema delle risorse, si riserva di verificarne la disponibilità con il Ministero dell'economia e delle finanze.

  Pietro PITTALIS, presidente, nessun altro chiedendo di intervenire, dichiara concluso l'esame preliminare. Ribadisce che il termine per la presentazione di proposte emendative è fissato – secondo quanto convenuto dagli Uffici di presidenza, integrati dai rappresentanti dei gruppi – a giovedì 11 aprile alle ore 15.

  La seduta termina alle 12.55.