PRESIDENZA DELLA VICEPRESIDENTE
MONICA CIABURRO

La seduta comincia alle 12.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione di Emanuele Galtieri, Amministratore delegato di CY4GATE S.p.A.

PRESIDENTE. L'ordine del giorno reca l'audizione dell'amministratore delegato di CY4GATE S.p.A. nell'ambito dell'indagine conoscitiva sulla difesa cibernetica, nuovi profili e criticità.
Saluto e do il benvenuto al dottor Emanuele Galtieri.
Dopo l'intervento del nostro ospite darò la parola ai colleghi che intendano porre domande o svolgere osservazioni, a cui il dottor Galtieri potrà replicare.
A tal proposito chiedo, dunque, ai colleghi di far pervenire, fin da ora, al banco della Presidenza la propria iscrizione a parlare.
Do adesso la parola al dottor Galtieri.

EMANUELE GALTIERI, Amministratore delegato di CY4GATE S.p.A. Presidente, onorevoli membri della Commissione collegati online, signori qui presenti, buongiorno e grazie di questa opportunità che viene offerta all'azienda CY4GATE di poter offrire il nostro contributo su tematiche che per noi sono cruciali sul tema della cyber security in un momento storico quale quello che stiamo vivendo.
Sono Emanuele Galtieri, amministratore delegato di CY4GATE.
CY4GATE è un'azienda nata nel 2014, dieci anni fa. È un'azienda quotata in borsa che si occupa di cyber security in termini di prodotti e tecnologie nazionali e proprietarie. Nasciamo da una costola di Elettronica Group, che è già nota sicuramente a questa Commissione in quanto opera nel settore della difesa ed è uno dei leader della electronic defence e della electronic warfare in Italia e nel mondo. Dalla nostra mother company abbiamo ereditato quel DNA di voler essere un'azienda che fa conoscenza e approfondimento, creando sinergie con le istituzioni e con le altre aziende, al fine di cogliere meglio i contesti operativi e normativi in cui le istituzioni sono chiamate ad operare per poter essere in grado di proporre un'innovazione che sia il più possibile attagliata alle effettive esigenze dell'utente finale.
In quest'ottica si innestano i numerosi convegni e seminari che abbiamo organizzato sull'EMSO (Electromagnetic spectrum operations) sulla difesa elettronica e cibernetica applicata al mondo dello spazio, nonché sull'uso e l'impiego dell'intelligenza artificiale, in contesti di natura predittiva ad uso delle forze di polizia per attività investigative o della magistratura ai fini giudicanti e requirenti, con i limiti e le opportunità che esse possono offrire.
Entrando un po' nel vivo della tematica odierna, sappiamo tutti il momento storico che stiamo vivendo in termini di cyber warfare. Siamo in un contesto di conflitti ibridi e asimmetrici. È di due giorni fa un articolo sul Corriere della Sera in cui si legge che Berlino e Praga accusano i servizi di Intelligence russi di attività di attacco Pag. 4hacker contro istituzioni della Germania e della Repubblica Ceca, con la NATO, l'Unione europea e gli Stati Uniti che esprimono solidarietà a questi Paesi e con la Russia che ribatte affermando che trattasi soltanto di iniziative frutto di fantasia.
Questo significa che il cyber, in questo contesto di guerra ibrida, comincia a rivestire un ruolo importante anche da un punto di vista delle diplomazie.
In un contesto di questo tipo, già numerose statistiche – mi limiterò veramente a qualche numero per cogliere il concetto del contesto che stiamo vivendo – sono state prodotte in queste stanze. Penso all'ultimo rapporto del Clusit (Associazione italiana per la sicurezza informatica) che parla di un incremento dell'11 per cento globale della minaccia, che, però, per la sola Italia, impatta per il 65 per cento. Parliamo di un aumento degli eventi cyber che riguardano le istituzioni pubbliche pari a un più 163 per cento.
Proprio la scorsa settimana anche la nostra Agenzia per la cybersicurezza nazionale (ACN), ha emanato e presentato la propria relazione annuale, affermando di aver gestito 422 incidenti. Erano stati soltanto 160 – soltanto si fa per dire – nel 2022.
Non abbiamo dubbi sul fatto che il tema della cyber security debba essere affrontato in maniera olistica da parte di tutti gli stakeholder interessati (aziende, istituzioni, istituti di formazione) per poter essere certi che si cominci ad invertire un trend che, altrimenti, proseguirà su questo percorso, ahimè, non certo positivo per le istituzioni.
Se il tema della quantità di incidenti cibernetici è rilevante, non lo è di certo meno quello della qualità, se pensiamo che gli incidenti classificati come critici o gravi, che quindi hanno un impatto economico o un blocco della continuità di business di aziende o di erogazione di servizi da parte delle istituzioni, costituiscono oggi ben l'81 per cento del totale, quando nel 2019 parlavamo del 47 per cento.
C'è un livello di insicurezza digitale percepito che è particolarmente rilevante. Nonostante le importanti iniziative che sono state messe in essere e gli sforzi attuati per colmare questo gap di anni, c'è ancora tanto da fare.
Oggi viviamo in un mondo interconnesso, questo è ineluttabile. Anche noi siamo il braccio armato della digitalizzazione con i nostri telefonini, con i nostri personal computer, per cui si è estesa la superficie digitale. Non possiamo fare a meno di dire che oltre a essere cittadini nel senso previsto dalla Costituzione, siamo anche cittadini digitali. Però, la digitalizzazione e l'interconnessione, che porta tanti benefici e che non va mai demonizzata, va gestita.
Se non esistono adeguate barriere tecnologiche, l'avanzamento rapido di un attacco cibernetico che si estende al di là del confine della singola persona, di un'azienda o di un'istituzione, perché varca anche i confini territoriali di uno Stato, può non avere limitazioni di sorta.
Teniamo presente che a gravare questo contesto è il fatto che la digitalizzazione nelle istituzioni e nelle aziende si va a sovrapporre a una serie di sistemi e architetture informatiche legacy, ovvero vecchie che non erano state create con la security by design, cioè con il concetto di garantire un'adeguata sicurezza cibernetica, perché il tema ancora non era esploso e non si era manifestato nella sua piena evidenza.
Un altro tema che va qui considerato, proprio in linea con il titolo dell'odierna audizione sui profili di criticità del rischio cibernetico, è il nuovo modo con cui si assiste a una democratizzazione del crimine digitale. Cosa sta accadendo? È molto più facile per gli hacker trovare virus o effettuare attacchi a basso costo, con effetti devastanti. Gli attacchi di DoS (Denial of Service), volti alla saturazione dei siti istituzionali per denegare il servizio, possono essere effettuati con 10-20 dollari all'ora. Un attacco di 24 ore, con danni incalcolabili per un'istituzione, può costare al massimo 400 dollari.
Per cui, si capisce che si è arrivati a una situazione non certamente agevole per chi deve elevare delle barriere difensive tecnologiche adeguate.
I ransomware adesso si trovano as-a-service. Ci sono dei soggetti, gli hacker, che realizzano dei ransomware a basso costo e Pag. 5li rivendono a coloro che vogliono perpetuare l'attacco, ma non hanno le capacità di creare il virus. Si è creato un business dei virus. Diventa sempre più complicato. Se l'approccio non è effettivamente integrato e se non si ravvisa l'esigenza di intervenire per limitare questi contesti, si rischia di non riuscire ad invertire questo trend.
Sicuramente l'Italia si è mossa. Il legislatore ha da tempo preso consapevolezza del tema. Ha creato un'infrastruttura di governance che vede la ACN a capo della cyber resilience del Paese. Questo sta accadendo. Siamo al pari, per forza di cose, di altri Paesi e della maggior parte dei Paesi europei. Addirittura abbiamo in corso la discussione di un disegno di legge, l'Atto Camera 1717, presso le Commissioni riunite Affari costituzionali e Giustizia, che parla di rafforzamento delle misure cibernetiche e contrasto ai crimini informatici.
Sono segnali sicuramente incoraggianti e importanti. Proprio in quest'ottica, nel mio contributo da un osservatorio privilegiato, che è l'azienda che produce tecnologie per alzare barriere contro gli attacchi cibernetici, mi piacerebbe fare un focus su quattro punti essenziali. Li scorrerò rapidamente nel rispetto dei tempi.
Parto dal tema delle risorse umane. Il tema delle risorse umane è stato affrontato sotto ogni punto di vista. Se ne parla tanto, però ancora abbiamo un gap enorme da colmare, perché la risorsa umana continua ad essere l'anello debole della catena in termini di cyber sicurezza, sia presso le istituzioni, sia nelle aziende. Le risorse umane, in termini di competenze di cui sono portatrici all'interno dell'azienda o dell'istituzione, possono essere il motore e la spinta all'impulso tecnologico, all'attività di innovazione tecnologica.
A fine 2023 erano 5,5 milioni i professionisti operativi della cyber security. Rispetto al 2022 c'è stata una crescita di quasi il 9 per cento. Parliamo di 440.000 posti di lavoro in più globalmente nel settore, ma ancora sono pochi, perché il gap che rimane è di circa 4 milioni di lavoratori. Questo fa capire quale sia la natura del problema. Noi aziende, come anche le istituzioni, ci siamo affacciate alle soglie di un nuovo problema che ormai è diventato realtà: la guerra dei cyber talenti. Noi aziende e le istituzioni ci contendiamo i pochi talenti che esistono in questo settore e questo non permette di fare pianificazione nel tempo e di dare garanzia di continuità in attività innovative perché il turnover è diventato particolarmente elevato.
Ecco che allora probabilmente bisogna partire sin dalle scuole elementari e medie con un'attività di home boarding e di awareness, che vuol dire parlare dell'essere cittadino digitale, cominciare a creare questo senso di appartenenza a una comunità diversa, parallela a quella tradizionale, nella quale bisogna saper vivere. Questo tipo di stimolo può portare ad incrementare il bacino di reclutamento per le università di donne e uomini nelle discipline STEM, le discipline tecniche, che sono quelle che maggiormente sono impiegate nel segmento della cyber security.
L'altro aspetto da considerare è quello, invece, della formazione finalizzata ad essere cittadini in grado di proteggersi dagli attacchi digitali. Mi ricordo, ancora giovane, che alle scuole medie esistevano i laboratori di chimica e di fisica. Poi arrivarono le prime aule computer. Adesso è giunta l'ora di avere i laboratori cyber dove toccare con mano l'esperienza di un attacco simulato per capire cosa vuol dire, coglierne l'intima essenza. Oggi esistono queste tecnologie, vanno diffuse e implementate sia presso le istituzioni sia presso gli istituti di formazione.
Vivere un'esperienza cibernetica, addestrarsi a un poligono cyber per capire quali possono essere gli effetti aiuta senz'altro a vivere il mondo digitale, a lavoro o nella vita privata, in maniera senz'altro diversa, più consapevole, più razionale e soprattutto a supportare il tema della protezione cibernetica. Affianco all'aspetto delle risorse umane sono da incentivare le partnership pubblico-privato. Cosa intendo dire con questo? L'articolo 7 del disegno di legge C. 1717 ne parla con esplicito riferimento all'Artificial Intelligence. Io direi che questo tema va esteso assolutamente anche alla cyber security in quanto tale, ai temi di Pag. 6innovazione di cyber security. Per quale motivo? Da una parte noi ci troviamo l'ente pubblico che ha dei bisogni e delle necessità e, dall'altra, abbiamo le aziende che sono coloro che possono tradurre un'esigenza in un requisito tecnico che diventa prodotto e innovazione. Se queste due anime non dialogano, l'azienda rischia di fare uno sviluppo che non necessariamente è asservito ai bisogni dell'istituzione, perché ha pensato a cosa potrebbe servire senza viverlo concretamente. Per cui, in questo, la partnership pubblico-privato può essere un incentivo e fare la differenza.
Laddove le aziende hanno le risorse umane e tecnologiche, per cui c'è il capitale umano, e le istituzioni hanno il know-how e sono portatrici di un'esigenza, possono anche investire per creare innovazione nel Paese. Ecco perché è da incentivare questo tema. A maggior ragione è da incentivare per i benefici che porta nella gestione degli incidenti e delle crisi.
Il ruolo dello Stato, in questo caso, è prioritariamente quello di predisporre un quadro legislativo che aiuti e supporti la pianificazione della resilienza e individui meccanismi più snelli per la condivisione delle informazioni.
Il settore privato, invece, in caso di incidenti e di criticità che periodicamente si verificano negli attacchi, ha la possibilità di essere reattivo in maniera massiva e di raccogliere e analizzare in tempo reale, supportato da strumenti di Artificial Intelligence, informazioni che possano arginare l'attacco, coglierne l'essenza e assicurare la business continuity di un'azienda o di un'istituzione.
Il successo di una partnership pubblico-privato passa essenzialmente da due punti. Vi deve essere chiarezza nell'obiettivo. Oggi esistono le partnership pubblico-privato? Sicuramente sì. Molto spesso a cosa si limitano? A uno scambio di informazioni, a un'osmosi info-operativa. È un bene, sicuramente, ma è solo un piccolo tassello. Le partnership pubblico-privato devono avere il chiaro obiettivo di fare innovazione. Fare innovazione insieme alle istituzioni è un must se vogliamo intercettare effettivamente le necessità delle pubbliche amministrazioni, siano esse istituzioni militari o civili, o delle stesse aziende.
Inoltre, devono essere individuati i giusti partner. Molto spesso cosa accade? A questi tavoli, sia dalla parte delle aziende che dalla parte delle istituzioni, siedono persone soggette a continuo turnover, per cui non danno continuità alle progettualità. Questo non va bene. In questi tavoli devono essere presenti pubbliche amministrazioni centrali, ma anche periferiche, perché costituiscono comunque una superficie digitale di attacco da parte dei potenziali hacker e hanno bisogni che, a loro volta, sono diversi da quelli delle pubbliche amministrazioni centrali, che sicuramente, per la tipologia di risorse di cui hanno disponibilità, possono tutelarsi maggiormente che le amministrazioni periferiche. Per cui, devono sedersi a questo tavolo.
Così come devono far parte delle partnership pubblico-privato le istituzioni accademiche e le piccole e medie aziende. Piccole e medie aziende che non hanno la forza e la visibilità per vivere best practice in questi temi su contesti isolati. Questo, invece, diventerebbe un contesto privilegiato in cui poterlo praticare.
Un altro tema – molto rapidamente – è quello della necessità di proteggere le filiere di approvvigionamento. Oggi sappiamo bene che tutte le aziende di importanti dimensioni, le aziende incluse nei perimetri di sicurezza cibernetica e le istituzioni centrali hanno la possibilità di tutelarsi, perché hanno risorse e tecnologie all'interno che sono in grado di affrontare, combattere e respingere un attacco cibernetico, o quantomeno limitarlo riducendone i rischi. Le supply chain, ovvero tutte le piccole e medie imprese che oggi rappresentano il 75 per cento della popolazione attiva e pesano il 65 per cento del fatturato sul territorio nazionale, sono la superficie digitale maggiormente attaccabile. Non godono degli stessi livelli di protezione, ma sono queste stesse supply chain che mettono a rischio le aziende e le istituzioni a cui esse forniscono i propri beni e servizi. Nel momento in cui non si tutelano, non sviluppano prodotti che siano inattaccabili da un punto di vista ciberneticoPag. 7 o quantomeno che siano adeguatamente resilienti agli attacchi cibernetici. Il rischio è che gli hacker passino attraverso le filiere per arrivare alle aziende o alle istituzioni, che, invece, hanno modo di proteggersi. Nel 2023, un attacco su cinque è stato condotto alle grosse multinazionali tramite la filiera di fornitura.
È ovvio che è molto più agevole per gli hacker bucare le filiere, proprio perché sono meno resistenti all'attacco cibernetico. Bisogna, allora, avviare un percorso di impermeabilizzazione delle PMI. Vanno coinvolte in questo percorso valutando delle formule incentivanti sulla tematica della cybersecurity. Teniamo presente una cosa che non va tanto nella direzione auspicata. Sempre il disegno di legge C. 1717 parla di disposizioni in materia di rafforzamento della cybersicurezza nazionale. L'articolo 18, però, dice che l'implementazione di tutte le misure ivi contenute deve avvenire assicurando l'invarianza finanziaria. Cosa significa? Significa che dall'attuazione della legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica e che le amministrazioni provvedono agli adempimenti con le risorse umane, strumentali e finanziarie disponibili, ma così si mantiene lo status quo e non si va a rafforzare la sicurezza cibernetica.
Le piccole e medie aziende hanno bisogno di «essere messe a bordo». Come si fa? Mai si potranno dotare internamente di risorse e tecnologie per farlo. Oggi a cosa si sta assistendo? A un fenomeno di servitization della cybersecurity per le piccole e medie aziende. Queste realtà, laddove ne abbiano le potenzialità economiche, si rivolgono a terzi che, in outsourcing, gestiscono tutta la parte di sicurezza cibernetica. È costosa e richiede degli investimenti, in ogni caso, per le piccole realtà. Sarebbe importante valutare da parte delle istituzioni delle formule che diano adeguato supporto all'irrobustimento cibernetico di queste nostre realtà, che sono, poi, l'ossatura su cui poggia l'intero sistema economico nazionale.
Un ultimo punto è quello dell'autonomia digitale italiana ed europea. Quando parliamo di autonomia strategica di una nazione – come meglio di me hanno detto tanti altri, tra cui recentemente il professor Baldoni – intendiamo la capacità di indirizzare ad adeguato livello di autonomia le proprie decisioni e azioni, senza dover subire influenza non desiderata da potenze straniere. L'autonomia abbraccia vari domini, e lo abbiamo visto; da quello militare a quello politico, a quello energetico. Qualche giorno fa c'è stata la festa dell'Esercito, dove sia il Ministro Crosetto che il generale Masiello hanno dichiarato che è necessario che questa Forza armata si innovi rapidamente. Uno dei temi che vengono evidenziati come elementi di innovazione è la capacità di esprimere deterrenza cibernetica.
Per cui il tema del cyber, che ormai da anni è diventato un dominio a tutti gli effetti, trasversale agli altri e riconosciuto anche nella dottrina NATO, è un tema che deve assicurare l'autonomia strategica e non vi può essere autonomia strategica in una nazione se non vi è autonomia digitale, che passa necessariamente per la sicurezza digitale. La sicurezza digitale la puoi garantire nella misura in cui sei in grado di creare tecnologie nazionali ed europee. Non sono un fautore dell'autarchia, per cui parlo anche di Europa, ma là dove l'Italia è in grado di esprimere competenze e tecnologie proprie, queste devono essere favorite trovando le adeguate formule a supporto di questa autonomia di cui tanto parliamo.
Cito l'articolo 10 del disegno di legge C. 1717 che, in materia di contratti pubblici di beni e servizi, permette alle stazioni appaltanti di non aggiudicare l'appalto qualora non risponda ad adeguati requisiti di sicurezza cibernetica. Mi domando: perché non si comincia a valutare, l'occasione forse è propizia, di inserire un riferimento all'obbligo di acquisire tecnologia italiana e europea, ove possibile, con formule compatibili con le vigenti normative europee in materia di concorrenza e di libera circolazione delle merci, al fine di agevolare l'industria nazionale e europea a parità di performance tecnologiche? Questo anche alla luce di un'altra considerazione: ormai la cybersicurezza – penso ne siamo tutti consapevoli – sta assumendo un peso semprePag. 8 più rilevante nel quadro della difesa e sicurezza europea. Viene confermato anche da un contributo della Commissione alla difesa europea del 15 febbraio 2022 (COM(2022) 60 final). Perché non valutare, allora, delle possibili eccezioni quantomeno all'accesso a soggetti extra Unione europea nelle gare, di tenore analogo a quelle che noi già applichiamo nel settore della difesa e sicurezza, visto che la cyber è considerata strategica e lo sta diventando sempre di più?
Tra l'altro ne parla anche la nostra ACN che, nella strategia per la sicurezza nazionale, in una misura, la n. 53, cita tra gli obiettivi strategici della nostra nazione il rafforzamento dell'autonomia industriale e tecnologica dell'Italia riguardo a prodotti e processi a rilevanza strategica e a tutela degli interessi nazionali del settore. L'autonomia strategica nazionale sulla cyber passa anche per questo tipo di iniziative. Fintanto che non ci sarà qualche norma che disciplini, indirizzi, convogli e privilegi le tecnologie italiane ed europee rispetto a quelle di altri Paesi stranieri non riusciremo facilmente a colmare il gap che negli anni è maturato.
Con queste considerazioni ho concluso il mio rapido intervento, che voleva mettere a punto questi quattro aspetti e, in particolare, quelli delle risorse umane, della tutela della supply chain e dell'autonomia strategica, che per me risulta essere determinante per dare una svolta. Possiamo recuperare terreno, ancora i tempi ci sono, però ci deve essere una netta inversione di tendenza sotto tutti i punti di vista menzionati.
Vi ringrazio tanto per l'attenzione.

PRESIDENTE. Grazie a lei, dottor Galtieri.
Se non vi sono colleghi che intendono porre domande o fare osservazioni, ringrazio nuovamente il dottor Galtieri per averci illuminato su quelle che sono le prossime sfide.
Dichiaro conclusa l'audizione.

La seduta termina alle 12.25.