PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione del Condirettore generale di Leonardo S.p.A. Ing. Lorenzo Mariani.

PRESIDENTE. L'ordine del giorno reca l'audizione dell'ingegnere Lorenzo Mariani, Condirettore generale di Leonardo S.p.A., nell'ambito dell'indagine conoscitiva sulla difesa cibernetica, nuovi profili e criticità.
Saluto e do il benvenuto all'ingegnere Mariani, accompagnato dal dottor Andrea Campora, Capo divisione cyber sicurezza di Leonardo S.p.A., dalla dottoressa Domitilla Giudice, Responsabile Relazioni Istituzionali Italia di Leonardo S.p.A., e dal dottor Stefano Aprile, Responsabile Rapporti con il Parlamento di Leonardo S.p.A.
Do la parola all'ingegnere Mariani per il suo intervento.

LORENZO MARIANI, Condirettore generale di Leonardo S.p.A. Grazie, presidente. Rivolgo un saluto e un ringraziamento a tutti gli onorevoli presenti. È un piacere e un onore per me, e in particolare per il mio team, poter partecipare a discussioni di questo tipo, a presentazioni su argomenti così importanti a mio giudizio per lo Stato e per il Paese, come è quello della cyber.
Farò un'introduzione su questa tematica e lascerò poi la parola al dottor Campora che è l'esperto della sicurezza, rimanendo comunque tutti noi disponibili a rispondere a domande, che immagino sia anche lo scopo principale dell'audizione.
Abbiamo una breve presentazione, che uso come traccia. Dirò due parole sul contesto di riferimento. Anche questa non è una novità per voi. Forse, anzi, è stata un po' più novità per noi come industria. Vi sono alcuni elementi che caratterizzano lo scenario in maniera dirompente. Sicuramente il primo tema è quello dei conflitti. Noi citiamo sempre il conflitto russo-ucraino e quelli del Medio Oriente. In realtà, la verità è molto più complessa. Di conflitti, in questo momento, ce ne sono oltre cinquanta al mondo, senza citare le situazioni che non sono di conflitto, ma sono di tensione. Di molti se ne parla poco mentre, forse giustamente, di altri se parla tanto, rendendo l'intera situazione geopolitica molto complessa.
Non è un mistero che nella mente americana in questo momento, probabilmente, le maggiori preoccupazioni non derivino dal conflitto russo-ucraino, ma dalla tensione che c'è nel Pacifico e quella nel Nordafrica, che anche per il nostro Paese è molto più vicina.
Conflitti e tensioni cambiano indubbiamente una situazione che negli ultimi vent'anni aveva visto tensioni, ma sicuramente non conflitti. La minaccia è cambiata e questo non è avvenuto repentinamente, nel corso della notte. È cambiata gradualmente, tuttavia, il tema della minaccia ibrida e asimmetrica è, oggi, assolutamente all'ordine del giorno, e lo ritroviamo anche in situazioni che sono al di là dei conflitti, nella vita di tutti i giorni.Pag. 4
Un ulteriore tema, in parallelo, è quello della rapidissima avanzata delle tecnologie, in particolare una pervasiva digitalizzazione che, portando sicuramente dei benefici molto importanti in diversi campi, tra cui certamente quello della difesa, quello della pubblica amministrazione, nonché al lavoro delle aziende, rappresenta, tuttavia, a suo modo anche una vulnerabilità, come vedremo, nei confronti della minaccia cyber. Abbiamo infrastrutture critiche digitali che sono diventate dei target non convenzionali, la superiorità non soltanto militare pura, ma anche tecnologica è diventata un nuovo elemento di deterrenza. Sicuramente l'evoluzione sia delle minacce sia delle tecnologie è così rapida e dinamica che rende le barriere d'ingresso molto più basse. Poi, ovviamente, dobbiamo tener conto che la resilienza diventa un elemento fondamentale perché gli attacchi ci sono e non si possono impedire, infatti, la vera differenza la si fa nella capacità con la quale si reagisce a questi attacchi.
Dette queste prime parole di contesto, se finora abbiamo parlato di difesa, dobbiamo avere contezza del fatto che, ad oggi, questo concetto di difesa si sta espandendo. Anzi, si è già espanso in un concetto più ampio, che è quello di sicurezza nazionale, vista da noi, ma io direi anche globale, che include diversi elementi.
È facile pensare alle strutture governative, alle agenzie internazionali, a tutta la componente spazio. Pensate allo sviluppo che ha avuto la componente spazio, che è sicuramente, per definizione, aperta a minacce di tipo cyber, strutture critiche nazionali. Questo già lo sapevamo, ma ne abbiamo avuto anche evidenza. Poi abbiamo i trasporti e, in particolare per un Paese come il nostro, i trasporti marittimi, con la quantità di coste che abbiamo e con l'importanza che riveste il Mediterraneo per la nostra vita e per la nostra economia. Ovviamente, vi sono anche le forze di Polizia.
Da ultimo, troviamo anche le grandi imprese che, a questo punto, diventano anche loro dei target da proteggere per la sicurezza nazionale. Ovviamente, questo genera un livello di complessità molto maggiore. Per cui, l'uso dei dati, la cyber sicurezza, il controllo dello spazio, la sicurezza delle infrastrutture, la sicurezza energetica sono tutti aspetti che vanno considerati in un approccio olistico alla stessa cyber sicurezza.
Leonardo come si inserisce in tutto ciò? Noi ci presentiamo come un motore tecnologico e industriale a supporto di questa nuova visione di sicurezza globale. Sicuramente vogliamo essere un supporto per il posizionamento del Paese nel sistema delle alleanze di riferimento. Infatti, riteniamo che per un buon posizionamento all'interno della NATO e anche dell'Unione europea, la presenza di una industria della difesa e sicurezza forte è sicuramente un elemento abilitante. Siamo da sempre un elemento che può supportare la crescita dell'ecosistema nazionale, con l'innovazione e con un sistema produttivo che sia moderno e competitivo e che favorisca anche l'export.
Questo, come vedremo, è un tema che va protetto con la cyber, perché l'attacco cibernetico viene usato anche in termini di minaccia alla capacità di fare export. Poi, con il presidio delle tecnologie strategiche, Leonardo supporta e gioca un ruolo molto importante nel processo di consolidamento europeo, preservando la giusta sovranità prima di tutto europea ma anche nazionale, perché non bisogna dimenticare che, comunque, questo tema esiste sempre.
Una base industriale forte e tecnologicamente avanzata rappresenta un elemento chiave per quella sicurezza globale che si va sostituendo al concetto di difesa.
Questi siamo noi, già ci conoscete, sarebbe dunque superfluo approfondire ulteriormente. Il dottor Campora, che è qui con me, è responsabile della divisione che ha in carico tutti gli aspetti di cybersecurity all'interno dell'azienda. Si tratta di una divisione di business end-to-end, che va sul mercato, promuove prodotti da lei stessa sviluppati e interfaccia tutta la supply chain relativamente ai temi di cyber sicurezza, consegna e opera i sistemi di cui ha la design authority.
Aggiungo, brevemente, qualche parola in merito alla filiera produttiva. Come in Pag. 5tutti i sistemi industriali, il buon funzionamento e la sanità di questo sistema è legata fortemente alla presenza di grandi realtà che siano, però, in grado di valorizzare e farsi giustamente supportare da una filiera. Senza la filiera delle piccole e medie imprese è raro trovare un sistema che funzioni a dovere. A mio avviso, su questo aspetto così come in termini più generali, l'Italia è dotata di un tessuto di piccole e medie imprese eccezionale e che vede nell'innovazione, da sempre, uno dei suoi punti di forza.
Questo sistema di innovazione le porta ad avere una forte vocazione per l'export. Questo export molto spesso, quando si tratta di sistemi di difesa, sicurezza e alta tecnologia, rischia di essere un sistema incompleto, perché non può essere facilmente diretto verso altri Stati, verso altri clienti istituzionali, proprio perché, alla fine, sulle materie di difesa e sicurezza, il trust, la fiducia che deve regnare tra il committente e il fornitore, richiede la presenza di campioni nazionali.
Su questo, nel tema della cyber sicurezza è importante, ancora più di quanto avvenga nella difesa generale, il ruolo di un federatore, cioè la capacità di federare, con equilibrio, i componenti della supply chain e garantire che al di sotto della grande impresa, in maniera ben valorizzata, ci siano delle piccole e medie imprese che siano forti, riconosciute, complementari, perché bisogna evitare, a mio avviso, le sovrapposizioni ed essere capaci di fare sistema.
Cito qualche numero solo per dire che noi già siamo attrezzati in questo senso: facciamo 10 miliardi di euro di acquisti ogni anno con 12.000 fornitori al mondo. Però, quasi la metà di questi acquisti sono relativi alla filiera italiana, con 4.000 fornitori. È ovvio che gran parte di questa componente ricade nell'aerospazio difesa e sicurezza, che è il nostro settore tradizionale, sviluppatosi in cinquanta/cento anni. In questo, anche le piccole e medie imprese si sono sviluppate negli ultimi cinquanta o sessant'anni. Un simile sistema, tuttavia, è ancora più importante che si sviluppi nella componente cyber, e su questo torneremo anche durante la presentazione del dottor Campora, a cui adesso cederei la parola per approfondire proprio che cosa si fa in Leonardo nell'ambito della cybersecurity.

PRESIDENTE. Grazie ingegnere Mariani. Prego, dottor Campora.

ANDREA CAMPORA, Capo divisione cyber sicurezza di Leonardo S.p.A. Grazie, onorevole presidente. Buongiorno a tutti, onorevoli.
Dirò due parole sulle divisioni cyber e security, non fini a sé stesse, ma funzionali poi ai ragionamenti che vogliamo condividere con voi in tema di tecnologie e in tema di competenze.
Rispetto alla visione di evoluzione della minaccia e della difesa in sicurezza globale, cui faceva riferimento l'ingegnere Mariani, il nuovo piano industriale di Leonardo vede in questa divisione il centro per lo sviluppo di capacità e di ambizioni sia in termini di cyber security che in termini di digitale, con un'ambizione europea in modo molto mirato in termini di investimenti, di espansione, e di aree geografiche, ma anche come fattore abilitante del resto delle divisioni tradizionalmente deputate alla difesa o all'aerospazio. Per fare questo, il primo elemento riceve una forte attenzione.
Tre sono i mercati di riferimento, tra questi quello della difesa è il mercato principale, anche in termini di indirizzo degli sviluppi e dei nostri sforzi. Lo spazio è il secondo mercato, la space economy, con tutto quello che rappresenterà nel futuro. Il terzo attiene alle organizzazioni strategiche nazionali, che significa la parte di government e la parte di infrastrutture critiche che hanno un impatto sulla vita e sulle funzioni essenziali dei Paesi, quindi grandi clienti.
Abbiamo, poi, tre tecnologie su cui aggreghiamo gli investimenti e le assunzioni: la cybersecurity, l'intelligenza artificiale e tutto il mondo dei dati: data plafond, controllo, gestione e sviluppo dei dati.
Infine, abbiamo la proposizione di offerta. Anche in questo caso ci sono tre filoni. Il primo è quello della cyber securityPag. 6e resilience. Leonardo ha fatto, nel nuovo piano industriale, un elemento centrale del security by design di tutte le proprie piattaforme, che d'ora in poi svilupperemo sia in termini militari che aerospaziali, non come compliance, ma come elemento di vantaggio competitivo e come elemento di contributo alla resilienza di quello che forniamo ai clienti e al Paese. L'altro aspetto della cyber è sviluppare, utilizzando in modo intensivo l'intelligenza artificiale, piattaforme e servizi di protezione e quindi di difesa, ma anche di difesa attiva per le istituzioni e per i grandi clienti. Il secondo tema è quello dei dati, piattaforme digitali sicure, quindi cloud sicuro, di cui faremo anche qualche esempio. L'ultimo tema, ma non ultimo per importanza, riguarda sistemi di comunicazione mission critical, oggetto di una nuova evoluzione, che integrano le componenti tradizionali radio e comunicazioni con il mondo del software e con il mondo dell'interoperabilità.
Già oggi, in realtà, Leonardo ha sviluppato e sta sviluppando programmi importanti, funzionali a questo disegno. Ve ne cito due, poi se vi dovessero essere domande sugli altri sono a completa disposizione per fornirvi tutte le risposte. Il Security Operations Center dell'Agenzia spaziale europea, che abbiamo consegnato e in tre mesi completeremo, in realtà non è un Security Operations Center (SOC), è il primo SOC che integra a livello europeo funzioni di monitoraggio e di risposta alla minaccia sul mondo IT Enterprise, con il monitoraggio e la risposta alla minaccia del mondo ground segment o space segment, e la componente della tecnologia operativa propria spaziale.
Il secondo ambito d'innovazione è quello relativo al monitoraggio. Questo viene condotto sia nel mondo cyber, tradizionale, ma anche in quello dello spettro elettromagnetico. Quando in precedenza si è fatto riferimento alla minaccia ibrida, questo è un ottimo esempio di minaccia in cui si trovano queste due componenti.
L'ultimo tema è l'hype dell'intelligenza artificiale che utilizziamo per sviluppare funzioni di automazione sia in termini di detezione che in termini di risposta. Quando si viene attaccati, in un sistema molto complesso, uno dei primi elementi è guidare la prioritizzazione delle attività di risposta, questa è la nostra attività in tale campo.
Il secondo progetto riguarda il polo strategico nazionale, che è un elemento centrale della strategia Cloud Italia del Dipartimento per la trasformazione digitale della Presidenza del Consiglio dei Ministri, di cui siamo soci e orgogliosamente abilitatori sia in termini di sviluppo degli applicativi in ambito cloud sia in ambito di securizzazione. A maggio già 230 amministrazioni hanno aderito, in linea con gli obiettivi del Piano nazionale di resilienza. Riteniamo sia un progetto straordinario anche di cambiamento e di miglioramento del Paese nell'ottica della resilienza.
L'obiettivo è avere, entro il 2026, il 75 per cento della pubblica amministrazione sul cloud. Facciamo questo non da soli, anche in termini di innovazione, ma in collaborazione con università ed enti di ricerca.
Il nostro è un modello che cerca di specializzare. Chiaramente noi abbiamo un tema di limitatezza di risorse, in confronto con delle nazioni, dei Paesi o della realtà che hanno delle capacità di investimento molto elevate. Noi cerchiamo di ricercare la specializzazione. Sul polo di Genova, ad esempio, c'è una specializzazione sulle tematiche di cyber range o sulle tematiche elettriche del mondo delle tecnologie operative, quello di Roma, sulla Malware analysis o l'orchestrazione del cloud, ma poi abbiamo anche Napoli, nonché Chieti con tutta la componente dei servizi avanzati, inclusa la parte predittiva. Non parlo solo di università ed enti di ricerca, ma anche degli istituti specializzati nei quali ricerchiamo i talenti, oltre che collaborare per gli sviluppi.
Con riferimento alle minacce, proverò a dire qualcosa dal nostro punto di vista, che è il punto di vista di un operatore della cyber security. Quanto, invece, ai danni generati, non tanto dalle minacce ibride, ma del danno in generale provocato dal cyber crime, come si evince dalla decima slide, si è nell'ordine dei 9.000 miliardi di dollari, anche se alcuni sostengono siano 11.000 Pag. 7miliardi di dollari. Tuttavia, tutti sono concordi che entro il 2027 avremo 24 miliardi di dollari di danni. E si noti che, a fronte di questo danno, spendiamo in cyber security solo il 2 per cento del totale delle perdite subite. Quindi, se io fossi un gestore del rischio a livello mondiale direi che forse sto investendo poco nel mitigare questo rischio, infatti, ho danni incommensurabilmente più alti.
Sempre dalla decima slide possiamo vedere cosa si intende per minaccia cyber o minaccia ibrida. È una minaccia che, di fatto, non attraversa confini o ne attraversa molti, ma senza che si veda, invisibile, in cui il concetto di amico e nemico e avversario non è così definito e spesso viene utilizzato in combinazione con altre armi, altre minacce. Il tema Russia-Ucraina e il tema Israele-Hamas, per chi si occupa di cyber o di digital, sono, dal punto di vista tecnico, casi in cui è stato usato, per la prima volta, in congiunzione e in coordinamento con i sistemi più balistici, il digitale per distruggere le capacità dell'avversario, del nemico o per anticipare distogliendo queste capacità.
È una minaccia che, alle volte, invece, ha un obiettivo sotto soglia. Parliamo per esempio dello spettro elettromagnetico. Il Baltic jammer da mesi sta disturbando nell'area del Baltico.
La Capitale europea della cultura, che è Tartu, in Estonia, oggi non ha i voli della Finnair, perché non riescono ad atterrare in assenza di un GPS disponibile.
Ci sono molti altri aspetti. Di intelligenza artificiale se ne parla. C'è stato quel piccolo caso del New Hampshire dell'Artificial Intelligence (AI) usata per riprodurre la voce, che sicuramente non ha inciso sulle primarie, ma sarà interessante vedere – tutta l'Europa è preoccupata, così come gli Stati Uniti – come agirà sulle prossime elezioni.
Si parla di weaponized critical infrastructure. Questo lo stiamo vedendo sia nel caso in cui queste sono divenuti obiettivi in una guerra sia nel caso in cui siano state utilizzate come armi. Riporto il caso della Florida (USA) in cui, da remoto, qualcuno è riuscito a modificare la percentuale di soda caustica – l'idrossido di sodio – di mille volte in un acquedotto. Questo poteva essere un danno alle persone e all'ambiente. È stato immediatamente bloccato.
Come commento generale direi che nel mondo di oggi è un po' sparita o si è attenuata la separazione tradizionale tra gli attivisti, che perseguono finalità ideologiche, i cyber criminal, che perseguono finalità invece di natura economica, e gli attori statuali. Oggi spesso c'è qualcuno che sviluppa una vulnerabilità, la vende a qualcuno che ci costruisce un vettore e che, a sua volta, la vende a qualcun altro che la utilizza e viene sovvenzionato da un ente statuale che dà un servizio a qualche Paese per finalità politiche.
Cerco di non ripetere dati di altri. Vi do qualche dato che viene direttamente da Leonardo, quindi fonte Leonardo. Abbiamo una serie di Security Operations Center nel mondo, in Belgio, nel Regno Unito, in Arabia Saudita, federati da un global cybersec a Chieti. Tra l'altro, avremmo anche il piacere, come in passato, di potervi ospitare per farvi toccare con mano come operiamo.
Abbiamo un punto di vista che è parziale, ma è il punto di vista di un operatore che segue infrastrutture critiche, clienti istituzionali e non, ovviamente che acquista i feed nel mondo, ma che ha un occhio specifico in termini di intelligence abilitata dall'importante potenza di supercalcolo della Leonardo, la terza in Italia, sul mondo aerospazio, difesa e sicurezza.
Nel mese di febbraio abbiamo monitorato diciassette attori statuali di Advanced Persistent Threat (APT), che sono quelli che tipicamente non si vedono, che tipicamente non hanno un obiettivo cognitivo, hanno un obiettivo di superiorità informativa, di estrapolare informazioni o ai fini industriali o ai fini militari.
La sensazione, qualcosa più di una sensazione, è che nel momento in cui una nazione, anche dal punto di vista della difesa, non gestisce in modo integrato e controlla i propri asset, non si è in grado a comprendere da quanto tempo e da dove stanno esfiltrando informazioni, che oggi c'è tutto l'interesse a non rivelare, ma domani,Pag. 8 in caso di conflitto, saranno utilizzate.
Qua non ci sono i ransomware, che tipicamente hanno finalità più criminali, e che il prefetto Frattasi ha descritti ampiamente. I Distributed Denial of Service (DDoS) sono l'altro strumento molto utilizzato dagli attori statuali. Abbiamo visto in febbraio 485 vittime di attacchi DDoS in Europa, circa 200 in più nel mondo. Si tratta di bombardamenti virtuali che mettono fuori uso i servizi, e tra l'altro, leggevo che i dati sono in continuo aumento. Peraltro, i DDoS sono fortissimamente polarizzati dai conflitti, infatti, basti dire che l'80 per cento di questi – da noi monitorati nel mondo – sono determinati dai due conflitti principali a cui si accennava prima.
Parliamo di tecnologia, che è uno degli ambiti che per noi è importante sviluppare. È chiaro che se mettiamo a confronto la massa critica, e vedremo anche nel prosieguo che cosa hanno fatto gli altri a livello di sistema Paese, ciò che a nostro avviso l'Italia deve fare e decidere è dove indirizzare le proprie capacità di investimento, che non vuol dire reinventare la ruota, per esempio, non vuol dire inseguire gli attori globali, gli hyperscaler nel mondo cloud, non è inseguire gli attori della cyber IT che sviluppano da anni, ma è cercare di mirare in modo coerente – e questo fa Leonardo con il proprio obiettivo strategico e sovrano di capacità sulla sicurezza globale – sulla difesa, investendo in tecnologie che non sono super mature, dove c'è uno spazio e ci sono delle nicchie qualificate molto importanti sia in termini di business che in termini istituzionali per esprimere una capacità.
Alla dodicesima slide abbiamo indicato un esempio di quattro aree su cui noi stiamo investendo e vogliamo investire ancora di più. La prima è l'intelligenza artificiale, un hype. Noi, in realtà, la usiamo da anni nell'accezione machine learning, perché ormai la minaccia viene scoperta attraverso sistemi e algoritmi evoluti di intelligenza artificiale. Infatti, la minaccia evolve con una tale rapidità e con una tale capacità adattativa che l'operatore non è in grado, se non dopo molto tempo, di scoprirla. Dunque, noi la utilizziamo, la sviluppiamo, analizziamo enormi mole di dati a questi fini e abbiamo degli obiettivi anche di Key Performance Indicator importanti in termini di automazione della risposta.
In merito alla predizione, quanto raccontato nel film Minority Report non è fantascienza, ma è una cosa possibile avendo una base dati storica delle tecniche, delle tattiche e delle strategie degli attaccanti, nonché una potenza di calcolo come quella di cui dispone Leonardo per fare analisi Open Source Intelligence (OSINT) sul dark web e, quindi, scoprendo in anticipo gli indizi, anche in relazione a quelle che sono le vulnerabilità di una particolare infrastruttura o di un particolare cliente.
Vengo a un altro tema che non è AI for cyber security, ma il contrario. La digitalizzazione con l'uso di intelligenza artificiale ha aperto il mondo a una vulnerabilità enorme in termini di superficie d'attacco, sia perché l'AI può essere attaccata (si parla di avvelenamento dell'intelligenza artificiale), ma anche perché in qualche modo l'AI è utile, quindi, chiunque, le istituzioni o qualunque impresa la utilizzano in modo diffuso.
Io utilizzo Copilot e ChatGPT, che sono strumenti straordinari. Nell'utilizzarli do delle informazioni di cui poi non controllo l'impiego che ne verrà fatto.
Uno degli obiettivi che si pone Leonardo è sviluppare, per ambiti specifici, questi sistemi con l'AI, a supporto della produttività, o, in parallelo, sviluppare dei sistemi che noi chiamiamo wrapper, che fanno da filtro, che anonimizzano fino ad avere in qualche modo dati sintetici e che permettono di utilizzare anche gli strumenti globali in modo sicuro, con una base dati locale.
Non vi tedio con altri aspetti, come lo Zero Trust, che è un altro approccio importante su cui crediamo e su cui investiamo, così come le Quantum Technologies, che, come sappiamo tutti, arriveranno a violare tutte le cifre militari e non militari, sicuramente quelle a chiave asimmetrica. Noi qui lavoriamo sia sullo sviluppare algoritmi che siano resistenti agli attacchi quantistici, sia nel distribuire chiavi in modo Pag. 9sicuro, ma anche – e già le utilizziamo – nello sviluppare applicazioni più adatte per quando sarà disponibile il calcolo quantistico.
Sulla High-performance computing (HPC) di Genova già oggi stiamo testando applicazioni quantistiche che girano non chiaramente su un calcolatore quantistico, ma sull'HPC.
Ultimo tema è la sicurezza del dato, che è un tema fondamentale, con tutto quello che riguarda il confidential computing, di cui tra l'altro noi siamo fornitori nell'ambito del Polo Strategico Nazionale, e tutti i suoi sviluppi. È un tema fondamentale perché spesso il dato non viene attaccato quando è immagazzinato, ma quando è in uso, quando il dato è nella random access memory (RAM). Lì è fondamentale sviluppare capacità per proteggerlo.
Poi c'è il tema del cross domain. Nel mondo multi-dominio, – non solo difesa, nella cui direzione ci stiamo dirigendo – è importante avere dei gateway, dei ponti che colleghino in modo efficiente mondi a «classifica» diversa – ormai si sta superando, anche in termini di difesa, il concetto di «classifica» come attributo della rete, infatti, si parla di sicurezza centrata sul dato e del dato, con i suoi attributi, che hanno il livello di «classifica» – e sviluppare queste tecnologie è, pertanto, fondamentale per «traguardare» il mondo della difesa di domani.
Dunque, cosa facciamo specificamente per la difesa? Per la difesa il centro è sempre la superiorità informativa, quindi il dato. Sviluppiamo piattaforme e sistemi che siano in grado di supportare i nostri clienti per pianificare, coordinare, monitorare e gestire operazioni nel dominio cyber, ma anche operazioni multi-dominio, con la superiorità informativa. Usiamo l'AI sia in termini difensivi, ma anche in termini offensivi. O meglio, diamo ai nostri clienti questa possibilità. Il tutto in una visione di un'architettura cloud, che ormai è un'architettura in cui si fondono gli aspetti e gli asset strategici con quelli tattici, con due mantra: la componente zero trust e la data center security e il mondo della cyber-resilienza.
Un inciso sulla cyber-resilienza. Per essere efficaci sulla resilienza cibernetica occorre sempre essere in due: il fornitore e l'istituzione. Come Leonardo, ci siamo posti questo come obiettivo ed elemento distintivo: il secure by design in tutte le piattaforme. Come istituzioni, è importante far evolvere anche la cultura oltre alla compliance. La certificazione e l'omologazione restano fondamentali, ma sono dei mattoni di quello che in un mondo e un sistema molto più complesso deve diventare un approccio alla gestione del rischio.
Non per esterofilia, ma da un punto di vista tecnico condivido con voi che io sono anche nel board della Leonardo UK. Lo UK Ministry of Defence, nel suo approccio di gestione del rischio cyber dei sistemi e dei servizi rappresenta un benchmark a livello mondiale, nella misura in cui si parte dal secure by design e si accompagna durante tutta la fase di sviluppo, in un'ottica non tecnologica, ma in un'ottica di assicurazione della mission e quest'ultima è, poi, il cliente che è in grado e ha la contezza di poterla fare, insieme al fornitore.
Quanto alla frammentazione, a livello globale, come si vede nella quattordicesima slide, c'è un fenomeno di consolidamento del mondo della cybersecurity abbastanza evidente. I top player – ne abbiamo indicati sei – negli ultimi anni hanno investito 15 miliardi per acquisizioni cyber, con una media di 600 milioni di euro ad acquisizione. Queste sono quelle disclosed. Probabilmente la media è più bassa, perché le operazioni piccole non sono tracciate. Non sono acquisizioni indiscriminate, bensì, acquisizioni che hanno anche un senso industriale. Alcuni si specializzano nel one stop shop dei servizi e, altri, dei prodotti.
Per essere del tutto sinceri, alcune di queste non sono state neppure un gran successo industriale, perché, poi, hanno dato seguito a vendite o anche a problematiche di sostenibilità. Questa, però, è la dimensione, la scala su cui si gioca la partita a livello globale della cyber.
Diamo un'occhiata a livello di investimenti, in particolare mi riferisco alla quindicesima slide. Come si evince, l'Italia con circa 2,6 miliardi di euro di investimenti Pag. 10cyber nel 2023 è l'ultimo tra i Paesi del G7 in termini di investimenti e lo resta anche se rapportiamo il dato al PIL (0,13 per cento del PIL). Al contrario, la Gran Bretagna si attesta ad una cifra di investimenti pari al triplo di quella italiana, investendo lo 0,37 per cento del PIL.
Gli investimenti e la concentrazione degli investimenti contano. La situazione, in realtà, è ancora peggiore. Se guardiamo alla frammentazione, in Italia noi contiamo circa 3.150 aziende che si occupano di cybersecurity. Più o meno, 1,5-1,6 per ogni miliardo di PIL, che è il doppio della media dell'Unione europea. Anche su questo, un conto – ed è fondamentale – è il livello di investimento, altro è, poi, concentrare questi investimenti secondo una politica industriale che abbia un senso. Dalla parcellizzazione non si sviluppa competizione a livello globale.
Passo alle conclusioni. Ci sono quattro elementi che vorremmo condividere con voi.
Il primo elemento è garantire un approccio che sia risk based, quindi basato sul rischio. Superare il tema della compliance, garantire che, a livello trasversale, tutti gli attori e gli operatori della protezione del Paese gestiscano questo in termini non normativi, ma con un'assunzione di responsabilità di tutti, che riguarda il cliente ma riguarda persino i consigli di amministrazione delle grandi imprese.
Il secondo tema è supportare l'evoluzione della difesa verso la sicurezza globale. Noi diamo un parere tecnico, non certo politico. Possono essere diversi i soggetti che, poi, lo esercitano. Quello che è sicuro è che oggi, senza una capacità totalmente integrata di risposta nel Paese, non si va avanti. Il caso migliore, secondo noi, è rappresentato dagli Stati Uniti che integrano totalmente il Department of Defence nella protezione delle infrastrutture critiche. Addirittura, loro usano termini – che a noi italiani piacciono meno – come «destroy», ma è totalmente integrato, su chiamata, naturalmente, della Casa Bianca.
Terza istanza, coinvolgere i soggetti privati. Questo significa, come hanno fatto in Francia, coinvolgerli anche in termini attivi di protezione delle infrastrutture. C'è il Cyber Solidarity Act in Europa, che parla esattamente di partenariato pubblico-privato volto a utilizzare imprese come Leonardo a supporto delle istituzioni anche nelle attività principali.
L'ultimo tema è quello delle risorse, che noi poniamo sul tavolo. Direte: «Voi siete la Leonardo». Egregio presidente, mi permetta di fare una considerazione. Indicare delle risorse, anche in una legge annuale, non significa solo mettere denaro sul piatto. Significa anche dare una direzione, una politica industriale. Con le minacce che ci sono a livello globale, è fondamentale avere davvero una direzione per il Paese con riferimento a questa tipologia di investimenti.
Grazie.

PRESIDENTE. Grazie dottor Campora. Do la parola all'ingegnere Mariani.

LORENZO MARIANI, Condirettore generale di Leonardo S.p.A. Signor presidente, la ringrazio.
Ringrazio Andrea e mi riallaccio alle sue conclusioni. Alla fine, il messaggio che vogliamo lasciare – anche rispondendo alle vostre domande – è molto clusterizzato in due o tre punti. Uno è quello relativo alle risorse. Voglio sottolineare ancora una volta che l'Italia è agli ultimi posti. A mio avviso, ci ricolleghiamo concettualmente al tema del 2 per cento del PIL per la difesa. Io sono di parte, ma sono convinto che il non raggiungere il 2 per cento del PIL nella difesa, non nell'immediato, ma in tempi prevedibili, quindi nel breve, può marginalizzare il Paese sicuramente a livello industriale e temo anche a livello militare e politico.
Sotto questo aspetto la situazione è simile. Effettivamente, anche con riferimento alla cyber sicurezza, maturare, oggi, un ritardo di investimenti rischierebbe di farci trovare in una situazione di grandissima difficoltà di recupero. Ricordo due o tre casi in cui questo si può verificare in maniera tangibile. Il dottor Campora ha fatto vedere la grande attività di Merger and Acquisition (M&A) e che molte di queste Pag. 11riguardano piccole società che vengono acquisite, forse passando pure sottosoglia. Questi sono investimenti, sebbene, spesso sono investimenti di altre nazioni.
Questo, ovviamente, genera un ecosistema che rischia, a volte, di non essere sotto controllo. Chiaramente, esistono il golden power e altre molteplici forme di controllo, ma anche opporsi sempre alle eventuali mosse di altri attori non è una politica sostenibile nel lungo periodo. Oltretutto, la frammentazione e il livello di finanziamenti non adeguato, accompagnato, forse, proprio – ripeto – da una frammentazione anche industriale, alla fine, rischia di non rendere l'Italia un player nel quale si giocano le partite. Parlo della NATO, parlo dell'Unione Europea, parlo del mercato mondiale. Quando questa cosa risulta evidente, molto spesso è troppo tardi, poi, per porci riparo.
Questo è sicuramente un tema, secondo me, non così lontano dal tema del 2 per cento del PIL. Come ha detto il dottor Campora, ovviamente noi non facciamo alcun tipo di considerazione politica, ma soltanto industriale, organizzativa e di mercato, ma l'unitarietà che ha la difesa, per esempio, nella gestione dei propri budget, effettivamente, in un tema come questo, può quantomeno essere preso come esempio. Questo noi osserviamo dal lato committenza e fornitore.
La difesa, comunque, ha necessità di evolvere verso un concetto di sicurezza cibernetica. Tutti i sistemi della difesa devono essere cyber secure by design in futuro. Basti già questo a far capire l'impegno che l'industria comunque deve mettere verso la difesa per un carro armato del futuro che dovrà essere cyber-protetto, per un satellite che dovrà essere cyber-protetto, per un aereo del futuro che dovrà scambiare dati con la nave e con la terra e che, anch'esso, dovrà essere cyber-protetto.
Di conseguenza, comunque, i grandi progetti della difesa, a mio giudizio, orienteranno molto il futuro dell'Italia, del Paese e dell'industria nazionale come player nella cyber.
Grazie.

PRESIDENTE. Grazie a voi.
Do la parola ai colleghi che intendono intervenire per porre quesiti o formulare osservazioni.

PINO BICCHIELLI. Signor presidente, la ringrazio.
Ringrazio l'ingegner Mariani e il dottor Campora per la preziosa presentazione, in cui sono stati fatti anche dei passaggi d'interesse politico. Sicuramente il tema del 2 per cento del PIL è un tema che condividiamo e che, come Commissione, abbiamo affrontato più volte.
Dalla vostra presentazione prima di tutto si evince che manca un sistema Paese su questo versante. Voi stessi vi definite «federatori di filiera». Questo vuol dire che già in un clima di investimenti bassissimi, come ci avete fatto vedere, non abbiamo economie di scala e, soprattutto, non abbiamo – passatemi il termine – economie di tecnologia. Noi abbiamo duplicazioni di ricerche e di investimenti, sicuramente questo è un problema. Il sistema incompleto indebolisce ancora di più il nostro Paese.
Alla fine, ci spiegate che sicuramente la difesa può essere una soluzione, avendo una centralità di tipo organizzativo.
La mia domanda è: secondo voi, un sistema completo, che vede una struttura come la vostra, che è la struttura «principe» nel Paese su questa tematica, aumentando il rapporto con la difesa, con il Ministero della difesa, può rafforzare il sistema? Può crescere la nostra forza all'interno anche degli altri competitor?

PRESIDENTE. Grazie onorevole Bicchielli. Ha chiesto di intervenire l'onorevole Mulè.

GIORGIO MULÈ. Signor presidente, la ringrazio.
Ringrazio l'ingegnere Mariani. Soltanto per inquadrare. Ci è chiaro che c'è un gap in termini quantitativi di investimenti che è impressionante e che, oramai, è un dato acquisito. Se mettiamo in relazione la cifra che gli Stati Uniti investono in cybersecurity con quella dell'Italia, più o meno vengono i brividi rispetto all'inutilità di una porzione frazionale di investimenti rispetto a Pag. 12quelli degli USA, con riguardo, invece, a una capacità, che avremmo dovuto acquisire e che dovremmo avere già in casa, di risposta sulla capacità di organizzarsi. Gli Stati Uniti non sono più esposti rispetto all'Italia. Sappiamo che l'Italia è un Paese che quotidianamente riceve attacchi da tutto il mondo, nella stessa maniera degli Stati Uniti, avendo, però, una capacità assai inferiore – lo dico perché siamo in Commissione Difesa – di fronteggiare questi attacchi.
Il problema non riguarda o, meglio, non è all'ordine del giorno per la difesa, perché – grazie a Dio e anche alla collaborazione con Leonardo – si è dotata di sistemi che riescono a respingere il 99.9 per cento degli attacchi in arrivo, mentre i restanti vengono processati in numero di cinque ogni giorno e poi annientati.
Il problema sul quale vorrei richiamare la vostra attenzione, dato il vostro front office con le piccole-medie imprese (PMI), riguarda le imprese e la pubblica amministrazione italiana. Un problema enorme, avendo noi un tasso di alfabetizzazione digitale, se non prossimo allo zero, assai vicino allo zero, soprattutto in strutture critiche, ma fondamentali per lo Stato (acquedotti, centrali elettriche, reti elettriche, eccetera). Su questo, quello che voi constatate nell'approccio quando venite chiamati a collaborare o a implementare degli strumenti con le PMI, che tipo di risposta trovate? Qual è il grado di alfabetizzazione che trovate? Lo dico nella previsione di una legge, che discuteremo a breve anche in Commissione, che riguarda l'adeguamento delle pubbliche amministrazioni e delle imprese a standard o, comunque, a direttive che riguardano il perimetro della cyber, rispetto ai quali c'è una previsione sanzionatoria importante, a fronte di un fatto che, a mio giudizio, invece, va studiato e approfondito in precedenza, cioè il fatto che queste aziende non siano preparate.
Per uscire dall'equivoco: prevedere una sanzione o una multa rispetto a una mancata notifica di un evento cyber nelle 24 ore è di per sé una cosa virtuosa. Il problema è: le 24 ore da quando scattano? Non scattano, in realtà, da quando ci si accorge dell'evento, ma scattano molto prima, perché, magari, si è sottovalutato l'evento.
In termini di formazione, anche con l'Agenzia per la cybersicurezza nazionale (ACN), voi avete segnali di un'implementazione, e in quale direzione si sta andando? Soprattutto, ripeto, su quanto l'infrastruttura imprenditoriale italiana è pronta ad affrontare uno scoglio così importante, come la previsione di norme, che saranno grandemente punitive nei loro confronti se non si adeguano a sistemi che – io mi sbaglierò, ma voi avete il polso della situazione – non sono, tuttavia, ancora pronti per affrontare questo problema.
Grazie.

PRESIDENTE. Grazie onorevole Mulè. Ha chiesto di intervenire l'onorevole Loperfido.

EMANUELE LOPERFIDO. Signor presidente, la ringrazio.
Ringrazio l'ingegnere e tutto lo staff di Leonardo per aver illustrato, a grandi linee, le tematiche più attuali che gli Stati devono affrontare.
Condivido i dubbi che sono stati testé espressi da parte dell'onorevole Mulè rispetto a quella che vuole essere, magari, una sorta di certificazione digitale, una certificazione di cyber sicurezza da parte dei subfornitori, se così li vogliamo chiamare. Dall'altro lato, mi permetto di chiederle un'opinione. In questa fase si sta iniziando a parlare sempre più, con molta difficoltà, di una difesa europea. È chiaro che, vedendola dal punto di vista degli eserciti, è molto più complessa. L'ambito della sicurezza cibernetica potrebbe essere, forse, un ambito in cui, da quel punto di vista, si potrebbe iniziare a collaborare. È vero, ci sono poche risorse rispetto ad altri Stati, ma è anche vero che i nemici sono comuni. Quindi, potrebbe essere più razionale una sorta di cyber sicurezza europea, razionalizzando le spese e mantenendo, ovviamente, gli obiettivi nazionali protetti.

PRESIDENTE. Se non ci sono altre richieste di intervento, do la parola ai nostri Pag. 13ospiti per rispondere alle vostre domande. Prego.

LORENZO MARIANI, Condirettore generale di Leonardo S.p.A. Do una prima risposta, lasciando al dottor Campora, se vuole, la possibilità di complementare.
Per quanto riguarda la considerazione dell'onorevole Bicchielli, ovviamente è vero. Mi riferisco al tema del «modello difesa», che potrebbe aiutare. Io faccio una considerazione più «neutra e industriale» osservando che, dal momento che i grandi programmi difesa che si stanno mettendo sul tavolo, tra l'altro, nella maggior parte dei casi, in collaborazione europea o, a volte, anche extra-europea, geograficamente europea – perché io considero il Regno Unito geograficamente in Europa –, ricollegandomi anche alla domanda dell'onorevole Loperfido, effettivamente dovranno avere una componente di protezione cibernetica insita. Un Global Combat Air Programme (GCAP) ha un tema di cybersecurity enorme e lo si vede per la prima volta a livello uno della Work breakdown structure (WBS) di programma.
Lo stesso vale per il carro del futuro, per le navi che ci stiamo apprestando ad equipaggiare, per il sommergibile, per gli elicotteri, in particolare l'elicottero d'attacco e, a mio avviso, a breve, non sarà più limitata a quest'ultimo. Ciò significa semplicemente che un effetto sicuro – su questo veramente metto il 100 per cento della mia convinzione – è che, sviluppando, accelerando e aumentando il contenuto industriale italiano su questi programmi (quindi, di fatto, torniamo al tema del 2 per cento), sicuramente diamo una spinta anche allo sviluppo delle tecnologie cyber.
Se mi state chiedendo se il sistema della difesa è adatto, oggi, per come lo vediamo noi (il procurement), a supportare adeguatamente questo settore, la mia risposta è un po' critica. Io direi di no. Ovviamente, un sistema nato per acquistare carri armati tradizionali si deve attrezzare e si sta attrezzando, per essere in grado di comprare un carro armato che abbia dentro la componente prima elettronica, come già è successo, e adesso anche elettronica/cyber. Sicuramente il parallelismo c'è, ma è un percorso evolutivo. È esaustivo, questo, di tutto il tema cyber? Assolutamente no, non lo è. Da questo punto di vista, ho un approccio «giapponese»: partiamo da una cosa che conosciamo e facciamola evolvere, tenendo in considerazione che sono necessarie idee trasversali per fare il vero salto di qualità. Su questo tema è difficile essere esaustivi, però questo è il mio pensiero.
Onorevole Mulè, la domanda sulla prontezza delle PMI è molto attuale. Si nota una un po' di discrasia. Mentre per le PMI del settore cyber esiste – come ha detto prima il dottor Campora – un parco di realtà medio-piccole, intelligenti, dinamiche, che hanno idee, sviluppano tecnologie, arrivano a delle soluzioni prototipali rapidamente, innovative, e che possono essere di interesse non solo nostro, ma vostro, delle istituzioni, e di altri Stati e di altre industrie (quindi si pone il problema di come metterle a sistema), d'altro canto il medio fornitore, la media supply chain, secondo me, non è lontana dall'essere pronta. Non solo, volendo fare un paragone un po' ardito, ricorda il tema dell'Environmental, Social and Governance (ESG). Noi, adesso, dobbiamo rispettare delle normative e le trasferiamo ai nostri fornitori mediante limitazioni sull'albo fornitori, all'ammissione alle nostre gare interne, all'accettazione come partner quando andiamo a fare gare con la pubblica amministrazione.
La loro capacità di cyber resilience, di proteggere le loro informazioni, di proteggere le nostre informazioni quando le mettiamo a loro disposizione, è un elemento fondamentale. Quindi, è inevitabile andare in quella direzione. Oggi, se fosse una chiave che giriamo, sarebbe una tragedia.
Da ultimo, ma non per importanza, onorevole Loperfido, già ho detto qualche cosa sui temi dei programmi. Secondo me, inerzialmente – e non solo inerzialmente, ma anche per volontà di alcuni Paesi – si va verso una concentrazione dell'industria della difesa e sicurezza europea. È un meccanismo che viene in parte frenato proprio da temi di sovranità nazionale, infatti, chi ha un bel campione in casa, prima di metterlo a disposizione ci pensa due volte o se non altro, vuole sapere come. Sulla parte cyber, Pag. 14secondo me, sarà – anche qui – inerziale. Tuttavia, siccome è un mercato meno maturo e che cambia più in fretta, la gente è più timorosa così come lo sono i Paesi e, di conseguenza, questo frena la creazione di campioni congiunti. Quello che si sta, invece, verificando, con una certa rapidità, ed è quello che diceva Andrea Campora, è che, invece di mettere insieme, ti compra. L'M&A si sta muovendo rapidamente, sia sul mercato americano, dove magari c'è di tutto, ma anche acquisizione da parte di altri Paesi.
La vittima non è soltanto italiana, a mio avviso, ci sono vittime francesi, vittime tedesche, vittime inglesi, posto che siano vittime, forse, sono vittime dal punto di vista del sistema Paese.
Più che altro, quindi, vedo un'accelerazione di grandi player che ne comprano altri più piccoli e che cercano di creare, di fatto, una situazione dove loro sono l'elemento principale di questa eventuale futura aggregazione, che è quello che è successo alla difesa circa venti o venticinque anni fa.

ANDREA CAMPORA, Capo divisione cyber sicurezza di Leonardo S.p.A. Due elementi. Uno per l'onorevole Mulè che credo si riferisse anche al disegno di legge cyber. L'aspetto della sanzione, da un punto di vista tecnico, è necessario, perché è un recepimento della Direttiva NIS2 e perché una cyber efficace si ha solo con una situational awareness puntuale e completa. Se non ho al centro il controllo e non ho una sanzione, sono molto meno efficace nella risposta.
Verissimo porsi il tema: sono preparate queste realtà? Come le aiutiamo? Un tema è sicuramente la cultura, il training. Un altro tema, ci torno nuovamente, è l'utilizzo dei privati per supportarli. Utilizziamo le risorse, le capacità e un po' anche la flessibilità e il dinamismo del privato nel rispondere a questo tema.
A livello europeo ho pochissimo da aggiungere a quanto ha detto l'ingegnere Mariani. Credo che, solo per un fatto matematico di investimenti, capacità di investimento arriveremo a un'aggregazione. Se l'Italia ci arriverà con un campione o con una realtà importante, o meno, questo determinerà anche i nostri rapporti di forza in quell'ambito.
Nella NATO dicevamo che la cyber è uno sport di squadra, questo vale per la concentrazione di investimenti, ma vale anche sotto il profilo della risposta operativa. Il quadro che ha disegnato l'ingegner Mariani con la seconda slide, somiglia moltissimo al comunicato di ieri del Consiglio supremo di difesa, in cui si parla della risposta a questa minaccia ibrida alla cooperazione internazionale. Noi, come Leonardo, facciamo parte di molte di quelle organizzazioni – si chiamano EU Space ISAC – nelle quali condividiamo informazioni sulle minacce, sulle vulnerabilità e sulle risposte.

PRESIDENTE. Ringrazio i colleghi presenti e i nostri ospiti per le risposte e anche per la presentazione informatica che ci hanno illustrato, di cui autorizzo la pubblicazione in allegato al resoconto stenografico dell'audizione (vedi allegato).
Dichiaro, quindi, conclusa l'audizione.

La seduta termina alle 9.30.

Pag. 15

ALLEGATO

Pag. 16

Pag. 17

Pag. 18

Pag. 19

Pag. 20

Pag. 21

Pag. 22

Pag. 23

Pag. 24

Pag. 25

Pag. 26

Pag. 27

Pag. 28

Pag. 29

Pag. 30