Pag. 2

PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.35.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione del Capo del III Reparto del Comando Generale dell'Arma dei Carabinieri, Gen. di D. CC Paolo Aceto.

PRESIDENTE. L'ordine del giorno reca l'audizione del Capo del III Reparto del Comando Generale dell'Arma dei Carabinieri, Generale di Divisione Paolo Aceto, nell'ambito dell'indagine conoscitiva sulla difesa cibernetica, nuovi profili e criticità.
Saluto e do il benvenuto al Generale Paolo Aceto, al Colonnello Vincenzo Ingrosso, Capo Ufficio Sviluppo Tecnologico del Comando Generale dell'Arma dei Carabinieri, e al Tenente Colonnello Giovanni Bottazzi, Capo Centro Sicurezza Telematica del Comando Generale dell'Arma dei Carabinieri.
Do subito la parola al Generale Aceto per la sua relazione.

PAOLO ACETO, Gen. di D. CC, Capo del III Reparto del Comando Generale dell'Arma dei Carabinieri. Onorevole presidente, onorevoli deputati, anche a nome del signor Comandante Generale, che mi ha chiesto di parteciparvi il suo saluto, esprimo sincero ringraziamento per l'attenzione riservata all'Arma dei carabinieri e per l'opportunità concessami, in qualità di Capo del III Reparto Telematica del Comando Generale, di partecipare all'indagine conoscitiva sulla sicurezza dello spazio cibernetico.
Nel corso di questa audizione, dopo una breve premessa sull'evoluzione del cyber-spazio e sul conseguente impatto in termini di sviluppo sociale ed economico, mi soffermerò su alcuni aspetti relativi all'analisi degli strumenti operativi di prevenzione e contrasto delle minacce cyber, formulando osservazioni per una concreta e aderente analisi strategica, che ponga la sicurezza cibernetica tra i principali fattori di crescita del sistema Paese.
Inoltre, prendendo spunto dall'evoluzione normativa di settore, evidenzierò le caratteristiche del modello organizzativo dell'Arma, nel duplice ruolo di forza armata e forza di polizia.
Il progresso tecnologico degli ultimi decenni può essere considerato come una moderna e permanente rivoluzione copernicana, caratterizzata dalla diffusione delle cosiddette «tecnologie dirompenti», tra le quali l'intelligenza artificiale occupa – e, direi, occuperà – un posto di assoluto rilievo. Si è passati, infatti, da una realtà statica, stanziale, relegata nei propri confini, a una dimensione estremamente dinamica, priva di barriere, efficacemente rappresentata da quella definizione di «villaggio globale» connotato dal completo abbattimento delle barriere e delle distanze, nonché dalla disponibilità diffusa delle tecnologie. Nel tempo, tale scenario ha contribuito all'aumento esponenziale della velocità nello scambio delle informazioni, con conseguente maggiore rapidità dello sviluppo socio-economico.
Il processo di globalizzazione rappresenta, tuttavia, un'occasione anche per la Pag. 3criminalità, attratta dalle opportunità offerte dal mondo sempre più interdipendente e dalle potenzialità rese disponibili dalle nuove tecnologie. La struttura monolitica, sostanzialmente territoriale, con capacità di condizionamento, interessi illeciti e settori di intervento prettamente locali, si è riconfigurata sfruttando le possibilità offerte dalla libera circolazione delle persone, delle merci, dei servizi e del denaro, ma soprattutto le possibilità offerte dall'espansione nel cyber-spazio e dall'evoluzione inarrestabile dell'informatica, che ha reso tutti gli ambiti produttivi interconnessi.
Per questo, la minaccia criminale nella dimensione cyber è riconducibile non solo ad azioni isolate, quanto piuttosto all'attività di vere e proprie organizzazioni, ove ciascun elemento contribuisce, più o meno consapevolmente, al risultato illecito finale.
Oggi, nel mercato illegale è addirittura possibile accedere a servizi accessori sviluppati da professionisti in favore di altri criminali, che comprano pacchetti di capacità in grado di portare avanti attacchi complessi, anche senza il know how tecnico necessario.
La risposta dei diversi Paesi, in termini di prevenzione e repressione, è stata inizialmente lenta e circoscritta, non essendo ancora chiara la vastità e la pervasività transnazionale della problematica. In una prima fase non era sufficientemente condiviso il convincimento che la difesa non potesse prescindere da un'ampia e strutturata collaborazione internazionale. Nonostante i progressi effettuati, ancora oggi le intese transnazionali soffrono, in particolar modo nel settore penale, di visioni strettamente legate all'ambito geografico di riferimento, che, seppur giustificate dai vigenti princìpi processual-penalistici, dagli ordinamenti diversi, di ciascun ordinamento, appunto, mal si adatta alla necessità di contrasto di fenomeni che spesso si giovano dell'assenza di una precisa connotazione geografica.
Nell'attuale contesto geopolitico, inoltre, la cooperazione internazionale si complica laddove si consideri che sempre più spesso azioni ostili vengono condotte da gruppi criminali altamente specializzati, in stretto rapporto con apparati governativi, dai quali ricevono linee strategiche, coperture e supporto finanziario. In tale scenario, quindi, dove si confrontano, da un lato, attori criminali che sfruttano agevolmente e senza limiti la tecnologia per fini illeciti e, dall'altro, Paesi e ordinamenti che cercano di contrastare l'uso distorto degli strumenti informatici, impiegando, con i limiti con cui ci confrontiamo, i mezzi normativi e finanziari a disposizione, un ruolo fondamentale viene assunto dalla componente difesa e sicurezza, che assicura il proprio contributo attraverso le specifiche professionalità impiegate nel settore della sicurezza cibernetica, nella sua più ampia declinazione.
Per fronteggiare una minaccia così multiforme e mutevole, quindi, è indispensabile garantire, con razionalità, metodo e lungimiranza, adeguate capacità di contrasto, senza limitarsi a intervenire per gestire, seppur doverosamente, gli eventi improvvisi, ma sviluppando, anche attraverso sinergie istituzionali, strategie di più ampio respiro, in grado non solo di mettere a fuoco le criticità e le potenzialità nel settore tecnologico, ma anche di indicare gli obiettivi e le priorità future.
I mutamenti geopolitici internazionali hanno determinato un netto incremento degli attacchi cyber ai danni delle risorse esposte sulla rete, condotti non solo per individuare vulnerabilità potenzialmente sfruttabili, ma anche per rendere indisponibili siti web istituzionali, talora con finalità meramente dimostrative. La predisposizione di specifici assetti di monitoraggio e protezione cyber ha generalmente consentito una rapida e adeguata risposta alla minaccia. Tuttavia, la complessità e la fluidità dello scenario di riferimento richiedono sempre maggiori capacità di analisi strategica che consentano di: mantenere aggiornati gli strumenti e gli assetti operativi per contrastare tali minacce; individuare modelli organizzativi dinamici, snelli, flessibili, che possano garantire i necessari livelli di efficacia e di efficienza all'azione di contrasto; ed elaborare una programmazionePag. 4 economico-finanziaria aderente alla pervasività della minaccia.
In sintesi, le capacità cyber devono essere considerate come fattori di sviluppo e non meri costi di gestione.
Per contrastare efficacemente la minaccia devono essere valorizzate queste capacità cyber: sostenendole con adeguato e condiviso flusso informativo, filtrato ed elaborato, mediante un'efficace capacità di analisi e valutazione strategica; incrementando le risorse umane in possesso di competenze tecniche; e garantendo la necessaria flessibilità dello strumento operativo, anche con riferimento alle procedure di approvvigionamento e finanziarie.
Sotto il profilo normativo, il quadro legislativo e regolamentare nazionale si è evoluto nel tempo e, chiaramente, è stato rivolto a garantire al Paese uno spazio cibernetico sicuro. Questo è l'obiettivo.
A partire dal 2013 è stata definita l'architettura istituzionale deputata alla tutela della sicurezza nazionale e delle infrastrutture critiche, materiali e immateriali, con particolare riguardo alla protezione cibernetica.
A seguire, dal 2018, le cosiddette direttive europee «NIS1» e «NIS2» hanno stabilito le misure volte a conseguire un elevato livello di sicurezza delle infrastrutture digitali, in ciascun ambito nazionale, al fine di contribuire a incrementare il livello comune di sicurezza nell'Unione. Con tale disciplina si è puntato a ridurre considerevolmente il rischio derivante dagli incidenti informatici nel settore dei servizi essenziali.
Una tappa importante, in ambito nazionale, è rappresentata dalla legge n. 133 del 2019, che ha convertito il decreto-legge n. 105 del 2019, definendo il «Perimetro di Sicurezza Nazionale Cibernetica», con la finalità di garantire la sicurezza delle reti, dei sistemi informativi e dei sistemi informatici delle amministrazioni pubbliche, degli enti, degli operatori pubblici e privati aventi sede sul territorio nazionale.
I discendenti provvedimenti normativi hanno regolamentato anche le procedure di approvvigionamento dei prodotti e dei servizi di Information and Communication Technologies (ICT), istituendo appositi organi di certificazione per la verifica e la valutazione delle condizioni di sicurezza e dell'assenza di vulnerabilità degli apparati e dei sistemi.
La nuova disciplina introduce, altresì, le regole e le procedure attuative in materia, specificando le modalità per l'individuazione dei soggetti pubblici e privati inclusi nel suddetto perimetro. In ultimo, il decreto-legge n. 82 del 2021 ha ridefinito l'impianto in materia di cyber-sicurezza mediante l'istituzione dell'Agenzia per la Cybersicurezza Nazionale (ACN) e la riorganizzazione delle competenze assegnate ai vari attori istituzionali.
Con la «Strategia Nazionale di Cybersicurezza» 2022-2026, l'ACN ha, poi, definito le linee d'azione per rafforzare la resilienza delle infrastrutture, da cui dipende l'erogazione dei servizi essenziali dello Stato.
Dall'impianto normativo, che ho cercato di delineare, discende non solo la necessità di raggiungere adeguati livelli di resilienza delle reti e dei sistemi, ma anche di elevare la capacità di risposta e la reattività alle attività ostili. Tali obiettivi possono essere raggiunti pianificando apposite misure tecniche a seguito di un'attenta valutazione del rischio.
Questa, quindi, è la strada che mi sento di indicare.
I software dei sistemi e degli apparati devono essere adeguatamente supportati, devono essere aggiornati, sottoposti a verifiche di sicurezza periodiche, privi di vulnerabilità posturale o debolezze progettuali e, soprattutto, debolezze comportamentali.
Inoltre, per assicurare elevati livelli di reattività a eventuali attacchi è necessario dotarsi anche di strutture altamente specializzate che, in caso di incidente informatico, dispongano, da un lato, di una mappatura dei sistemi di proprio interesse e, dall'altro, siano in grado di individuare e interrompere i servizi compromessi o in corso di compromissione.
Da quanto sinora esposto, risulta evidente come in tema di cybersecurity le variabili da prendere in considerazione non siano solo quelle legate al fattore tecnologico, ma anche quelle connesse con i profili Pag. 5organizzativi, con i processi, con le attività di vigilanza e, nella consapevolezza che il fattore umano costituisce spesso un importante elemento di vulnerabilità, con l'aspetto formativo.
Queste variabili risultano ancora più significative per l'Arma dei Carabinieri, la cui struttura organizzativa è particolarmente complessa perché articolata su migliaia di presìdi, ove agiscono oltre 100 mila operatori, che utilizzano terminali fissi e mobili, fortemente interconnessi con sistemi informativi interni ed esterni all'istituzione. Alcune funzioni, inoltre, vengono svolte anche in territorio estero, nell'ambito di missioni o altre attività diversamente strutturate.
Tale impianto organizzativo, dunque, necessita di una solida architettura informatica, che, da un lato, presuppone un efficace approccio sulle strategie, le tecniche e le tecnologie e che, dall'altro, non può prescindere da un costante innalzamento dei livelli di professionalità.
In tale quadro, le capacità operative dell'Arma nella dimensione cyber sono configurate secondo un modello snello, agile e scalabile, ispirato alla valorizzazione di tre fattori incentivanti. Il primo riguarda le competenze, intese non solo come professionalità specifiche, ma anche come ampia e generalizzata qualificazione del personale. Il secondo fattore incentivante è costituito dalle tecnologie, che sono certamente gli asset ICT a disposizione, ma anche il patrimonio informativo necessario a individuare e selezionare le minacce impattanti. Il terzo fattore incentivante riguarda i processi, che devono essere efficienti e consolidati, tali da garantire risposte tempestive ed efficaci. In questo settore, la tempestività è un fattore chiave di risposta alle minacce, infatti, se i processi sono collaudati, efficienti e rapidi, questo è già uno strumento di risposta molto efficace.
Su questi presupposti, le funzioni di controllo e monitoraggio e quelle di risposta a eventuali incidenti informatici nell'Arma, nonché di analisi per garantire la sicurezza delle infrastrutture, sono affidate rispettivamente al SOC (Security Operation Center) e al CERT (Computer Emergency Response Team), entrambi costituiti nell'ambito del Centro Sicurezza Telematica (Ce.Si.T.) del Comando Generale, posto alle dirette dipendenze del Capo del III Reparto. A quest'ultimo sono state ricondotte anche le funzioni di Dirigente Generale Responsabile dei Sistemi Informativi Automatizzati (D.G.Re.S.I.A.) e di Responsabile per la Transizione Digitale (R.T.D.) per l'Arma dei Carabinieri, ai sensi degli articoli 543 del Testo unico in materia di ordinamento militare (TUOM) e 17 del Codice dell'amministrazione digitale (CAD).
Il CERT dell'Arma, che è collaterale al CERT Difesa – siamo due strutture, in questo, parallele, sebbene l'organizzazione dell'Arma abbia caratteristiche un po' particolari rispetto a quelle di altre Forze Armate –, si occupa della gestione degli incidenti di sicurezza informatica, segnalati dal SOC o da altre fonti interne e esterne, che interessano, ovviamente, i sistemi informatici istituzionali.
Con riferimento, invece, alle capacità operative cyber dell'Arma, la nostra istituzione, in linea con i pilastri tecnico-operativi definiti nella strategia nazionale dell'ACN, si è dotata di un modello organizzativo in grado di assicurare la prevenzione e il contrasto della criminalità informatica. Questo modello è strutturato a livello centrale e a livello periferico.
A livello centrale abbiamo componenti ad alta specializzazione, che assicurano, con competenza nazionale, le più qualificate attività di cyber investigation attraverso il Reparto Indagini Telematiche (RITEL) del Raggruppamento Operativo Speciale (ROS) e, nelle materie di digital forensics, funzioni di supporto all'Autorità giudiziaria a tutti i reparti dell'Arma attraverso il Reparto Tecnologie Informatiche (RTI) del Raggruppamento Carabinieri Investigazioni Scientifiche (RaCIS).
A livello periferico è stata implementata una rete composta da unità specializzate presso i Nuclei Investigativi di Comando Provinciale e di Comando Gruppo, che sono state potenziate recentemente con la costituzione di sezioni cyber investigation presso i comandi ubicati nelle 22 sedi di Corte Pag. 6d'appello, mentre nelle 84 restanti sedi provinciali non sono state costituite sezioni, ma sono stati previsti militari specializzati nel settore della cyber investigation.
Tale struttura si completa con altre sezioni cyber investigation presso i Comandi specializzati (tutela salute, tutela ambientale e sicurezza energetica, tutela patrimonio culturale, tutela lavoro) e una particolare sezione criptovalute presso il Comando Carabinieri Antifalsificazione Monetaria, cui sono demandate le attività investigative concernenti il contrasto alle emergenti dinamiche criminali connesse con l'utilizzo delle valute virtuali e delle piattaforme informatiche illegali di vendita al dettaglio di valuta contraffatta.
Queste sezioni, con il rispettivo personale specializzato, sono diffuse a mo' di rete sul territorio nazionale.
Una considerazione finale la riservo all'ineludibile esigenza di prevedere, in aderenza ai princìpi delineati dal quadro giuridico di settore, significativi investimenti in tecnologie di tipo cloud, ipotizzando la progressiva riduzione dei data center fisici, in un'ottica di consolidamento e riduzione della superficie di attacco e, di conseguenza, maggiore sicurezza fisica e logica, nonché sostenibilità economica e ambientale, e in secondo luogo una spinta sugli investimenti nella formazione del personale a tutti i livelli. Quindi, non solo la formazione di tecnici e di personale specializzato, ma anche la formazione, in senso lato, in materia di cyber-sicurezza.
Con riguardo agli investimenti nel settore cyber, mi permetto di segnalare che l'Arma sta già beneficiando di fondi messi a disposizione dal PNRR, grazie a un accordo siglato con l'ACN, attraverso i quali sarà possibile potenziare le tecnologie di protezione e controllo dell'asset istituzionale, nonché incrementare la professionalità degli addetti allo specifico settore e la consapevolezza di tutto il personale. Esistono, ad esempio, dei corsi, già disponibili online, rivolti, sia in termini specialistici sia in termini informativi, a tutto il personale.
Sempre con fondi PNRR, ma autonomamente gestiti questa volta dall'Arma in qualità di soggetto attuatore, è stato avviato un progetto di consolidamento e razionalizzazione dell'infrastruttura telematica, che prevede la migrazione dei servizi verso il Polo Strategico Nazionale.
Come è noto, tale piattaforma, promossa dal Dipartimento per la trasformazione digitale, garantirà l'erogazione affidabile e sicura di servizi cloud in favore delle pubbliche amministrazioni, così come delineato nell'ambito della strategia Cloud Italia. Quindi, questo è lo sforzo che stiamo facendo, spostando dei sistemi, che oggi sono installati e risiedono sui nostri data center, per farli evolvere e spostarli sul cloud consentendoci di renderli più sicuri, ma anche più gestibili nella nostra infrastruttura.
Con riferimento al potenziale umano, vorrei sottolineare come le crescenti difficoltà di formare e reperire adeguate professionalità – credo siano difficoltà comuni, trasversali un po' a tutti gli ambiti – rendono auspicabile l'individuazione di soluzioni che favoriscano l'attrattività e la fidelizzazione delle risorse qualificate, valutando anche nuove forme di assunzione e reclutamento del personale specializzato e incentivi competitivi rispetto alle opportunità di mercato.
È un mercato in espansione, c'è molta richiesta, quindi purtroppo c'è anche difficoltà di trovare risorse e, ovviamente, più si sale nella qualificazione del personale, più questo problema si avverte.
Viviamo in un'era, quindi, interconnessa, interdipendente. Una singola vulnerabilità è sufficiente a creare un effetto domino facilmente prevedibile, ma difficilmente fronteggiabile, soprattutto se non si è preparati adeguatamente.
È necessario, quindi, agire quotidianamente in modo da ottimizzare, anche attraverso ogni possibile sinergia, le risorse e le competenze disponibili per ridurre al minimo gli effetti collaterali derivanti da un uso improprio o criminale della tecnologia.
Da ultimo, mi sia consentita una piccola provocazione per stimolare una riflessione sulle potenzialità degli strumenti tecnologici, ma anche sulle insidie e sui rischi che Pag. 7derivano da un uso indiscriminato e, soprattutto, acritico delle loro capacità, ormai diffusamente disponibili e alla portata di tutti.
Vi è stato distribuito un abstract, che è stato elaborato con uno dei numerosi servizi online che offrono gratuitamente strumenti di sintesi di testo. Sono andato online, ho messo il mio testo e ha elaborato questo prodotto. Rispetto al testo originale, che invece vi lascio agli atti, sono sicuro che ciascuno di noi, sfruttando le proprie capacità, avrebbe fatto un lavoro migliore. Sono, però, allo stesso tempo sicuro che nessuno di noi avrebbe potuto fare questo lavoro in pochi secondi. Leggete l'abstract, avete a disposizione il testo completo e capirete quali sono le potenzialità, ma anche quali sono i rischi di affidarsi a una macchina che filtra il contenuto.
In questo caso sicuramente è uno strumento utile. Si sente parlare di risorse che perderanno posti di lavoro. Certamente, questo strumento, in alcuni secondi ha fatto il lavoro che un mio addetto avrebbe fatto in due, tre o quattro ore, perché avrebbe dovuto leggere la relazione e sintetizzarla.
Nessuno pensa di chiudere i rubinetti su queste cose, però il rischio è che qualcuno si fidi solo di quello che è scritto là. Vi garantisco che non ci ho messo mano, ho solamente fatto copia-incolla e devo dire che sono rimasto anche piuttosto soddisfatto quando l'ho letto.
Onorevole presidente, onorevoli deputati, rinnovo il mio ringraziamento per aver consentito di esporre il punto di vista dell'Arma dei Carabinieri su un argomento di tale preminenza e attualità.
Rimango a disposizione anche su eventuali profili più tecnici e per eventuali approfondimenti, domande o curiosità, unitamente ai miei collaboratori che mi hanno accompagnato: il Colonnello Ingrosso, Capo Ufficio Sviluppo Tecnologico del Comando Generale dell'Arma dei Carabinieri, e al Tenente Colonnello Bottazzi, Capo Centro Sicurezza Telematica del Comando Generale dell'Arma dei Carabinieri e da cui dipende il SOC e il CERT dell'Arma.

PRESIDENTE. Ringrazio il Generale Aceto per la sua interessante relazione.
Do la parola ai colleghi che intendono intervenire per porre quesiti o formulare osservazioni.

MAURO MALAGUTI. Ringrazio gli ufficiali dell'Arma per questa interessante audizione da cui emerge che gli attacchi cibernetici sono in aumento.
Ho avuto occasione di parlare con i dirigenti di alcune aziende, ad esempio di TikTok. Loro utilizzano un sistema d'intelligenza artificiale che individua i termini a rischio, nei quali ci sono delle provocazioni, c'è uso di violenza e simili. Quando il sistema di intelligenza individua questi termini, interviene successivamente un operatore fisico che se ne occupa per vedere se devono oscurarli o meno. Volevo sapere, come prima cosa, se anche voi avete un sistema simile.
Ho avuto anche modo di parlare con dei giornalisti che si occupano di libertà di stampa. In alcuni Paesi, come la Georgia e la Moldavia, con quello che sta succedendo, con il blocco dei Paesi totalitari che sta incidendo nelle cosiddette «guerre ibride» da anni, questi giornalisti mi dicevano che stanno limitando la loro libertà di stampa nei casi, ad esempio, di organi di informazione che hanno un 20 per cento di finanziamenti stranieri e vengono, dunque, considerati ostili e, conseguentemente, perseguitati.
In questo aumento di attacchi cibernetici, che possono essere fatti da hacker, da provocatori che vogliono solo creare dei danni allo Stato, voi riuscite a distinguere – tra l'altro, i Paesi stranieri che operano nella guerra ibrida si avvalgono di hacker, di personaggi di questo tipo – se questi attacchi sono finalizzati esclusivamente a creare della confusione o se c'è una strategia di destabilizzazione di qualche Stato ostile nei nostri confronti, con una strategia politica e militare?
Sulla formazione, credo che la mia generazione si sia trovata ad avere a che fare con l'informatica con molta più difficoltà rispetto alle nuove generazioni che sono nate con questi sistemi, ad esempio con i social. Credo, dunque, che le future figure professionali dovranno essere ricercate sempre più tra i giovani.Pag. 8
Ritengo che questi giovani, che sicuramente partono da una formazione di base, ma che devono essere formati ulteriormente, necessitino anche di fare esperienze all'estero, ad esempio negli Stati Uniti, perché questa è una sfida che sarà sempre più importante nel futuro.
Volevo chiedere, dunque, se anche da questo punto di vista, proprio della formazione dei giovani, ci sia la possibilità di formarli, anche all'estero, al fine di avere delle figure professionali sempre più preparate. Grazie.

PRESIDENTE. Grazie, onorevole Malaguti. Do la parola all'onorevole Pellegrini.

MARCO PELLEGRINI, intervento in videoconferenza. Ringrazio il Generale Aceto per la relazione che, benché sintetica, è stata estremamente interessante.
Io sono collegato da remoto, quindi passerò poi più tardi dagli uffici a ritirare la cartellina per rileggere con calma quanto è stato illustrato, nel mentre, mi chiedevo se fosse possibile avere il file dell'intervento e, anche, quello dell'abstract. Grazie.

PRESIDENTE. Grazie, onorevole Pellegrini. Do ora la parola all'onorevole Chiesa.

PAOLA MARIA CHIESA. Mi unisco anch'io ai ringraziamenti dei colleghi al Generale per la sua chiara relazione. Generale, quando parla di assicurare la sovranità digitale del Paese, a che punto siamo? La nostra nazione è davvero sovrana dal punto di vista digitale o ci stiamo ancora lavorando?

PRESIDENTE. Se non ci sono altre richieste di intervento, do la parola al Generale Aceto per le risposte alle domande.

PAOLO ACETO, Gen. di D. CC, Capo del III Reparto del Comando Generale dell'Arma dei Carabinieri. Partiamo dalle tre domande dell'onorevole Malaguti. Gli attacchi sono in aumento, ma tutte le ricerche e gli studi che sono stati fatti anche da organi specializzati rilevano un aumento un po' generalizzato. È ovvio che più la tecnologia e le risorse tecnologiche diventano uno strumento quotidiano per istituzioni, per aziende e per privati, più aumentano anche le opportunità e gli interessi illeciti.
Noi abbiamo già degli strumenti che si basano su soluzioni simili a quelle che ha descritto lei.
È ovvio che la valutazione dei comportamenti, quella che si chiama la postura di un sistema, un asset IT e le variazioni che ci sono in queste condotte sono dei segnali di allarme. Questo aspetto, oggi, lo seguiamo e lo guardiamo tramite degli strumenti che utilizziamo al SOC e al CERT. È una gara contro il tempo, poiché le soluzioni vengono proposte ogni giorno e, ogni giorno, dobbiamo adeguarci, in quanto anche la controparte fa lo stesso lavoro e probabilmente lo fa anche con qualche risorsa in più. Però, per il momento, noi riusciamo a stare al passo.
C'è anche lì una componente umana molto forte, perché ovviamente non possiamo affidarci solo alla valutazione dei sistemi. I sistemi possono essere utili per fare una scrematura, per indirizzare l'attenzione, però la valutazione, l'ultimo elemento decisionale deve essere, secondo me, sempre demandato all'operatore umano.
Con riferimento alla libertà di stampa e alla tematica della provenienza degli attacchi, leggevo proprio ieri un l'articolo online su un attacco – sono quotidiani, quindi non dico nulla di sorprendente – DDoS (Distributed Denial of Service), ovvero il tentativo da parte di qualcuno di rendere indisponibile e non fruibile il nostro sito dall'esterno. Sostanzialmente è un attacco dimostrativo, perché poi l'effetto è quello di impedire l'accesso al nostro sito o al sito istituzionale da parte dell'utenza.
È possibile individuare con una certa precisione l'origine del server di partenza, tuttavia questo non vuol dire che dietro ci sia la mano di quel Paese. Loro l'hanno venduta come una vittoria, in realtà era una nostra contromisura – trattandosi del sito dei Carabinieri, per noi l'utenza principale era l'utenza nazionale – consistita nell'aver bloccato l'accesso al sito dall'estero. Loro lo hanno visto come risultato Pag. 9del loro attacco, in realtà siamo stati noi a bloccarlo, perché nel momento in cui loro avevano attaccato, noi abbiamo cercato di garantire la fruibilità del sito in Italia, perché il nostro target di comunicazione era il Paese. Questo piccolo esempio a dimostrazione dell'attività quotidiana che viene posta in essere.
Non so se vuole dare qualche dettaglio il Colonnello Bottazzi, che è il responsabile della struttura operativa di cyber defense dell'Arma.

GIOVANNI BOTTAZZI, Capo Centro Sicurezza Telematica del Comando Generale dell'Arma dei Carabinieri. Buongiorno. Come diceva il signor Generale, in quell'occasione abbiamo inibito il traffico dall'estero proprio per rendere più fruibile il sito soprattutto verso l'utenza del nostro Paese.
Individuare l'automa o la macchina da cui sta provenendo un attacco è una questione abbastanza semplice e anche abbastanza deterministica. Riuscire poi a capire la persona o le persone che stanno dietro a quella macchina o a quel gruppo di macchine è probabilmente l'attività più difficile che si possa fare nel mondo cyber. La macchina può stare dall'altra parte del mondo, mentre l'agente umano può sedermi di fianco. È una tra le cose probabilmente più difficili da fare nel mondo cyber.

PAOLO ACETO, Gen. di D. CC, Capo del III Reparto del Comando Generale dell'Arma dei Carabinieri. Con riferimento alla formazione, questo è un tema su cui stiamo facendo grandi riflessioni e anche grandi investimenti, sia in termini di formazione iniziale sia per quanto riguarda la formazione di mantenimento.
L'arricchimento che deriva dal confronto in ambito nazionale e internazionale tra le istituzioni che lavorano nel settore è indubbio. Questo vale per tutti gli aspetti, a maggior ragione vale per la tematica della cyber-sicurezza.
In linea di massima non c'è un percorso formativo che preveda strutturalmente una attività svolta all'estero. Ci sono varie forme di collaborazione, ci sono sicuramente degli scambi, sia in sede addestrativa sia in sede operativa e sia, per esempio, nelle attività quotidiane. Tuttavia, è una riflessione che facciamo ed è collegata a quella di quali risorse e in quale misura è opportuno costruirle all'interno (ha dei costi e certamente dei vantaggi) e, invece, di quali risorse non è possibile costruire all'interno e che, dunque, devono essere reperite sul mercato. Come detto, infatti, il tema si ricollega a quello dell'appetibilità dell'impiego nell'ambito delle Forze Armate e alla necessità di garantire degli strumenti di fidelizzazione, perché poi il mercato offre tante sollecitazioni.
Direi, quindi, di inserire questo aspetto di scambio formativo a livello internazionale in una più ampia tematica circa la formazione del personale.
Onorevole Chiesa, mi chiede a che punto siamo sulla sovranità digitale. Ci stiamo lavorando. È un aspetto che richiede molto tempo perché non è sufficiente emanare atti normativi e disposizioni, ma si tratta, poi, di andare a modificare una realtà che è anche fisica, in quanto, tutto quello che abbiamo detto su questo mondo cyber e sulla realtà digitale, si basa su infrastrutture materiali.
Le infrastrutture sono fatte di apparati, dispositivi e reti della più diversa tipologia. In questo c'è anche un aspetto di sovranità, perché proprio per quello che diceva il Colonnello Bottazzi, alla fine la macchina fisica può essere in un posto, l'operatore può essere in un altro. Quello che c'è effettivamente nei sistemi non sempre è chiaro. Avere delle garanzie su cosa mettiamo nei nostri asset come hardware è anche quella una tematica di sovranità digitale, di autonomia e di sicurezza.
In questo, i centri di valutazione a cui ho fatto riferimento nell'ambito della relazione sono sicuramente un passo avanti. Noi questa valutazione la facciamo, la fa proprio il Ce.Si.T. per quello che riguarda i nostri asset e le cose che compriamo per la nostra infrastruttura telematica. Quindi, c'è una valutazione di questo tipo quando ci relazioniamo con dei fornitori di servizi o di beni, tuttavia, obiettivamente, c'è anche molta strada da fare, perché è proprio Pag. 10un problema di natura strutturale, andando a toccare tutta l'infrastruttura del Paese e pensare di poterla cambiare nel breve periodo non è facile. Ci stiamo lavorando e siamo sulla buona strada.
Grazie.

PRESIDENTE. Se non ci sono altre richieste di intervento da parte dei colleghi, ringrazio il Generale Aceto e i suoi collaboratori per questa interessante opportunità e per la documentazione depositata (vedi allegato), di cui autorizzo la pubblicazione in allegato al resoconto stenografico dell'audizione.
Ringrazio nuovamente i nostri ospiti, i colleghi presenti, e dichiaro conclusa l'audizione.

La seduta termina alle 9.15.

Pag. 11

ALLEGATO

Pag. 12

Pag. 13

Pag. 14

Pag. 15

Pag. 16