XIX Legislatura

IV Commissione

Resoconto stenografico



Seduta n. 15 di Mercoledì 25 settembre 2024

INDICE

Sulla pubblicità dei lavori:
Minardo Antonino , Presidente ... 3 

INDAGINE CONOSCITIVA SULLA DIFESA CIBERNETICA: NUOVI PROFILI E CRITICITÀ

Audizione di rappresentanti di Engineering S.p.A.
Minardo Antonino , Presidente ... 3 
Valentini Marco , Group Director Public Affairs di Engineering S.p.A ... 3 
Morreale Vito , Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A ... 4 
Minardo Antonino , Presidente ... 7 
Morreale Vito , Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A ... 7 
Minardo Antonino , Presidente ... 7 
Comba Fabrizio (FDI)  ... 7 
Morreale Vito , Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A ... 7 
Minardo Antonino , Presidente ... 8 
Chiesa Paola Maria (FDI)  ... 8 
Morreale Vito , Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A ... 8 
Minardo Antonino , Presidente ... 8

Sigle dei gruppi parlamentari:
Fratelli d'Italia: FdI;
Partito Democratico - Italia Democratica e Progressista: PD-IDP;
Lega - Salvini Premier: Lega;
MoVimento 5 Stelle: M5S;
Forza Italia - Berlusconi Presidente - PPE: FI-PPE;
Alleanza Verdi e Sinistra: AVS;
Azione - Popolari europeisti riformatori - Renew Europe: AZ-PER-RE;
Noi Moderati (Noi con L'Italia, Coraggio Italia, UDC e Italia al Centro) - MAIE: NM(N-C-U-I)-M;
Italia Viva - il Centro - Renew Europe: IV-C-RE;
Misto: Misto;
Misto-Minoranze Linguistiche: Misto-Min.Ling.;
Misto-+Europa: Misto-+E.

Testo del resoconto stenografico

PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

  La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

  PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione di rappresentanti di Engineering S.p.A.

  PRESIDENTE. L'ordine del giorno reca l'audizione di rappresentanti di Engineering S.p.A. nell'ambito dell'indagine conoscitiva sulla difesa cibernetica, nuovi profili e criticità.
  Saluto e do il benvenuto a Marco Valentini, Group Director Public Affairs di Engineering S.p.A., accompagnato da Vito Morreale, Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A., da Placido Colantuono e Simona Zappi, Group Public Affairs e Corporate Communications di Engineering S.p.A.
  Do subito la parola ai nostri auditi per la relazione.

  MARCO VALENTINI, Group Director Public Affairs di Engineering S.p.A. Buongiorno a tutti. Sono Marco Valentini, Group Director Public Affairs di Engineering. Vorrei ringraziare il presidente per l'invito e tutti i membri della Commissione per la grande opportunità di fornire il nostro contributo su un tema così importante come quello della difesa cibernetica.
  Engineering è una società italiana nata a Padova nel 1980. Il forte legame con il nostro Paese è confermato dal fatto che dei nostri circa 15.000 dipendenti l'84 per cento opera in Italia, 12.500 persone circa. Anche rispetto ai nostri ricavi, pari a 1,7 miliardi l'anno, circa l'83 per cento viene realizzato in Italia, 1,4 miliardi. Ancora una volta, quindi, la nostra natura italiana è qualcosa a cui teniamo molto anche in relazione al rapporto con il Governo, con il Parlamento e con tutte le autorità.
  Come digital transformation company, operiamo anche nel resto del mondo, con settanta sedi, localizzate principalmente in Italia, dalla Sicilia alla Val d'Aosta.
  Abbiamo sempre creduto nell'intelligenza artificiale come uno strumento tecnologico di sviluppo, tant'è che il nostro primo laboratorio l'abbiamo aperto nel 1987. Infatti, oggi abbiamo un centro di competenza sull'intelligenza artificiale con quasi 500 professionisti che lavorano anche con altre tecnologie abbinate all'intelligenza artificiale, come la blockchain o il digital twin, anche perché, secondo l'ultimo studio di McKinsey sull'impatto dell'intelligenza artificiale generativa, questo, a livello mondiale, potrebbe comportare un aumento del PIL del 7 per cento. Dobbiamo dunque saper cavalcare, regolare e sfruttare al meglio il fenomeno, naturalmente, anche con tutti i quesiti etici che giustamente si pongono. È un'opportunità che non può essere persa, a livello nazionale, ma anche europeo.
  La nostra società opera in diversi settori strategici come la difesa, l'energy, la salute, la pubblica amministrazione e l'agricoltura proprio in quanto crediamo di poter offrire dei servizi al Paese e anche alle pubbliche amministrazioni di grande qualità. Investiamo circa 40 milioni di euro in ricerca Pag. 4ogni anno e crediamo che attraverso l'utilizzo della tecnologia si possa, come incubatore naturale di tecnologia, fare un passo in avanti per il futuro nell'interesse di tutta la filiera, di tutto il settore e di tutto il Paese.
  Lascio la parola al mio collega Vito Morreale, responsabile della parte Data e Analytics e Ricerca e Sviluppo. Grazie.

  VITO MORREALE, Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A. Buongiorno a tutti. Anch'io ringrazio per l'opportunità di poter raccontare una parte della nostra visione rispetto al futuro, ma anche al presente rispetto a tematiche importanti come la sicurezza cibernetica dal punto di vista di un fornitore di soluzioni, ma anche dal punto di vista di un utilizzatore: 15.000 dipendenti ovviamente devono essere difesi.
  Volevamo evidenziare alcune cifre che, a nostro avviso, sono importanti rispetto al panorama della sicurezza cibernetica facendo il raffronto tra il livello globale e il livello italiano. È anzitutto da evidenziare che l'anno scorso, rispetto al 2022, a livello mondiale c'è stato un incremento degli attacchi di circa l'11 per cento, mentre in Italia del 65 per cento. Se si guardano le tipologie di attacco, sul phishing, le email malevole che in qualche modo rubano credenziali, siamo allineati con il resto del mondo, ma c'è un incremento «spaventoso» a livello di attacchi DDoS: 1.500 per cento è un numero incredibilmente alto rispetto alla tendenza mondiale.
  Con riferimento alle sfide legate a questo scenario, anzitutto, c'è un confine piuttosto sfumato tra sicurezza e difesa, infatti, è chiaro che i contorni si sfumano quando gli attacchi avvengono nei confronti delle infrastrutture critiche, che servono sia il mondo civile sia il mondo della difesa, nonché quando si parla di spazio cibernetico militarizzato o vi sono problemi di attacchi da parte di Stati.
  Gli attacchi – questo è un altro elemento importante – sono sempre più sofisticati, ci sono attacchi su vulnerabilità che ancora non conosciamo, i cosiddetti attacchi «zero day».
  Ancora, la superficie di attacco continua a crescere, non solo perché ci sono tanti dispositivi, ma perché negli ultimi tre, quattro o cinque anni è aumentato, per esempio, lo smart-working. Tutto il lavoro remoto crea una serie di altre potenziali vulnerabilità e attacchi. Infatti, alcuni di questi dispositivi – potenziali target di attacco – a loro volta possono diventare attaccanti, nel senso che se sono contaminati, diventano anche strumento di attacco: sono le cosiddette «botnet».
  Un altro aspetto a cui noi teniamo particolarmente e su cui stiamo lavorando è il cosiddetto «anello debole della catena», ossia le persone. Sostanzialmente, le persone, soprattutto per una mancanza di consapevolezza degli strumenti e delle minacce, sono l'anello debole della catena.
  Occorre precisare, peraltro, che la sicurezza cibernetica non è solo la sicurezza di un dispositivo o la sicurezza di un computer e di un software, ma in realtà è la sicurezza cibernetica di tutta la filiera. Quel software è basato su un altro software di base che a sua volta è basato su un altro software, che a sua volta gira su un hardware. Quindi, tutte le vulnerabilità in qualche modo si accumulano.
  Guardando al futuro, come detto, c'è l'intelligenza artificiale, ma ci sono anche le tecnologie quantistiche. A breve, infatti, gli attuali sistemi di crittografia saranno «bucati» attraverso i computer quantistici, occorre dunque pensare ad altri meccanismi di crittografia. L'altro elemento è la rete 5G, che diventerà un un asset critico da proteggere.
  Questi temi introducono a una serie di sfide. La nostra società, lato business, ha una struttura che si occupa di offrire molteplici servizi di cyber security e lo fa risolvendo i problemi di oggi. È una struttura che offre un SOC (Security Operations Center) con tre control room a livello internazionale, trecento professionisti e una offerta di servizi, con una caratterizzazione che copre tutto lo spettro delle possibilità, quindi la protezione di tutti i possibili target: dalle identità digitali agli end point, al cloud, alle applicazioni e ai dati. Quindi, da un lato implemento e offro soluzioni, Pag. 5faccio advisory, anche in tutte quelle realtà che non ne hanno la possibilità, come nel caso di molte PMI le quali non posseggono l'infrastruttura per potere gestire soluzioni di cyber security.
  Altro elemento importante è la ricerca e innovazione. È stato deciso strategicamente, una decina di anni fa, di approcciare il problema delle nuove sfide non solo andando a interagire a livello europeo, ma con un approccio europeo, cioè guardando ai regolamenti europei, alle policy europee, per poi personalizzare le potenziali soluzioni a livello italiano.
  In particolare è stato fatto un importante investimento, non solo sicurezza cibernetica, ma anche sulla sicurezza a trecentosessanta gradi.
  Alla luce di queste premesse, il punto centrale è quello di sviluppare una sicurezza che deve essere il più possibile «olistica», quindi non considerare soltanto la protezione di un sistema informatico, ma il sistema come insieme di persone, procedure, regolamenti, con una serie di aspetti multidisciplinari.
  In questo momento si sta diffondendo, anche per altre tipologie di applicazione, il tema del «gemello digitale», il cosiddetto «digital twin». Quello che stiamo sperimentando, nell'ambito di un progetto europeo, con il coinvolgimento anche del Ministero delle imprese e del made in Italy (MIMIT), è di utilizzare strumentalmente il «gemello digitale» per proteggere il suo «gemello reale». Questo comporta la realizzazione di una copia fedele del gemello reale – che non è solo un dispositivo, ma un ecosistema intero, con delle dinamiche complesse – e attraverso il gemello digitale preparare la cyber security e, dunque, verificare se determinate misure possono avere un effetto specifico, rilevare le minacce, fare prevenzione, verificare gli effetti delle azioni di risposta.
  Ovviamente, costruire un gemello digitale che sia in grado di capire se effettivamente ci sono dei problemi, quindi, un gemello digitale intelligente, ci porta inevitabilmente all'intelligenza artificiale. L'intelligenza artificiale è dunque uno strumento che serve ad aumentare le capability della sicurezza cibernetica, ma nel momento in cui utilizziamo l'intelligenza artificiale si pongono altri due problemi. In primo luogo, l'intelligenza artificiale è infatti utilizzata anche in maniera malevola per attacchi di tipo informatico. In secondo luogo, con un'intelligenza artificiale così pervasiva in tutti i sistemi, anche sui sistemi di sicurezza, occorre proteggere l'intelligenza artificiale stessa.
  Ovviamente, aumentare la sicurezza cibernetica con l'intelligenza artificiale significa applicarla in tutte le attività, dalla rilevazione degli attacchi alla risposta, all'analisi predittiva per anticipare, piuttosto che all'analisi forense per capire quello che è successo. Tuttavia vi sono degli aspetti da attenzionare. Infatti, l'intelligenza artificiale può essere soggetta ai seguenti rischi: segnalare falsi positivi, intercetto delle cose che sono errate; i cosiddetti «bias», sbilanciamento nei dati di addestramento che conduce a un errore nelle valutazioni; il problema della trasparenza (cosiddetta «explainability»), le ragioni di una determinata risposta; nonché la resistenza culturale, non tutti sono culturalmente pronti a farsi guidare da sistemi di intelligenza artificiale.
  Dal punto di vista del sistema Paese Italia, sappiamo che ci sono tanti fornitori di soluzioni di cyber security, con un mercato di circa 22 miliardi di dollari per l'intelligenza artificiale applicata alla cyber security.
  Il mercato sebbene non maturo, perché ancora in crescita, è certamente «vivo». Dal punto di vista dell'Italia, l'approccio che suggeriamo è di non andare a replicare quello che fanno i big player di mercato, con risorse molto superiori a quelle che possiamo avere a livello italiano.
  L'idea, dunque, è quella di focalizzarsi su alcuni elementi distintivi. Per cui, se ci occupiamo di rilevare gli attacchi, lo facciamo su cose particolarmente sofisticate che necessitano anche di tutta una serie di capability che abbiamo in Italia. Altro elemento fondamentale è la capacità di analizzare tutte le informazioni che sono su internet, anche la parte più oscura di internet: dark net, dark web.Pag. 6
  Ricordiamoci che dietro tutti i sistemi che sono «aumentati» dall'intelligenza artificiale c'è sempre l'uomo, quindi non solo c'è l'automatismo e l'automazione, ma anche il supporto decisionale. In un security operation center, serve l'automazione, ma anche supportare l'analista in maniera molto veloce, in modo tale da velocizzare il suo lavoro, utilizzando, ad esempio, dei sistemi di generative AI per trovare facilmente e velocemente determinate risposte.
  L'analisi forense è un altro problema, perché gli incidenti difficilmente si possono evitare tutti, ma quando succedono è importante analizzarli. Analizzare le cause, quello che c'è dietro e farlo con tecniche di intelligenza artificiale, è una cosa che può essere fatta.
  L'altro elemento su cui, a mio avviso, l'Italia può giocare un ruolo importante è lo sviluppo di «codice sicuro», cioè di «software sicuro», utilizzando, anche in questo caso, l'intelligenza artificiale.
  In questo senso, se l'intelligenza artificiale può aumentare le capacità di cyber security, l'utilizzo dei sistemi di large language model (LLM) e di generative AI può ulteriormente potenziarla. Fondamentale, a nostro avviso, è la capacità di costruire dei sistemi di generative AI che siano privati, cioè che possano essere inscatolati all'interno di un contesto, con dati sicuri e che questo possa effettivamente garantire che determinate informazioni non passino attraverso l'Oceano Atlantico. Quello che stiamo facendo, quindi, è proprio costruire un sistema LLM che abbia queste caratteristiche.
  Venendo al potenziale utilizzo malevolo dell'intelligenza artificiale, oltre ai già citati attacchi sofisticati di phishing, è da sottolineare la capacità dell'AI di comprendere quali sono le vulnerabilità dei nostri sistemi nel corso dell'attacco stesso. Altro importante elemento da segnalare è quello dell'AI contro l'AI.
  Anche su questo fronte non bisogna sovrapporsi, come Italia, a quello che stanno facendo in altri Paesi. Infatti, esistono alcune contromisure su cui le aziende italiane, ai diversi livelli, possono dire la loro, ad esempio sul tema della disinformazione e della misinformazione. Con riferimento a quest'ultima problematica, non si tratta solo di cercare di capire se un'informazione è vera o falsa. Quello che stiamo facendo è cercare di supportare il lettore, stimolare nel lettore una sorta di pensiero critico, coadiuvandolo con una specie di coach, l'intelligenza artificiale, che lo aiuti a discernere se un'informazione può essere vera o falsa.
  Ribadisco ulteriormente l'importanza della consapevolezza come mezzo per sopperire all'anello debole di cui si diceva precedentemente. Come società, infatti, abbiamo inventato un gioco che pone gli utenti dal lato di chi vuole fare attacchi di social engineering, comprendendo dunque le dinamiche dell'attacco e imparando a individuarli.
  Ancora, vi è tutto il tema della threat intelligence. A nostro avviso, su questo tema l'Italia può giocare un ruolo particolarmente importante: l'identificazione di minacce e di informazioni utili per potersi proteggere.
  Vado all'ultimo elemento: sicurezza dell'AI.
  La sicurezza dell'AI dipende fondamentalmente da due cose: le debolezze dei sistemi che costruiamo, poiché, se vi sono delle vulnerabilità, ovviamente, possono essere attaccati; nonché gli attacchi dall'esterno. Anche in questo senso, volevamo evidenziare tre cose. In primo luogo, la costruzione di sistemi di intelligenza artificiale deve essere fatta in maniera professionale non essendo sufficiente sviluppare algoritmi, ma essendo necessario dotarsi di strumenti che permettano di costituire un'intelligenza artificiale «sicura». In secondo luogo, i dati di addestramento rappresentano un tema assolutamente fondamentale. In terzo luogo, la capacità di valutare qual è il rischio cibernetico di un sistema di intelligenza artificiale, cioè avere strumenti in grado di fare valutazioni rispetto alle nuove minacce, è un elemento fondamentale.
  In conclusione, vorremmo condividere alcune considerazioni rispetto a quello che andrebbe fatto. Il primo tema è la sicurezza vista da un punto di vista «olistico». Quello Pag. 7che apprendiamo dall'esperienza europea è che la cooperazione internazionale, gli standard globali e la condivisione di informazioni e anche di intelligence sono fondamentali in questo contesto di sicurezza «olistica». Sarebbe auspicabile avere piani di gestione delle crisi a livello nazionale, nonché a livello settoriale, anche se un attacco può coinvolgere più settori e sostituire o, se vogliamo, evolvere il tema della protezione nel tema della resilienza. La Commissione europea ha emanato una nuova direttiva sulle infrastrutture critiche, che prima era Critical infrastructure protection e adesso è Critical entities resilience, passando dal tema della protezione al tema della resilienza, quindi la capacità di assorbire il colpo.
  Altro aspetto da evidenziare è che la capacità di vagliare l'interno di internet e scovare tutte le informazioni è un elemento critico e in Italia ci sono decisamente competenze e asset per farlo.
  Ultimo, ma non ultimo, consapevolezza ed educazione delle persone fin dalle giovani generazioni. In questo momento c'è qualcuno che si preoccupa che i ragazzi possano fare i compiti attraverso ChatGPT, quando bisognerebbe insegnare loro a usare ChatGPT e a capire quali sono le debolezze e le vulnerabilità.
  Grazie.

  PRESIDENTE. Grazie. È stato molto interessante.
  Chiedo ai colleghi se vogliono fare qualche domanda.
  Io ho una curiosità a proposito dell'aumento in Italia degli attacchi DoS (ho sentito del +1.500 per cento). La curiosità è: perché? I nostri sistemi informatici sono vulnerabili?

  VITO MORREALE, Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A. Probabilmente sono percepiti come vulnerabili. Tra l'altro, apparentemente, in Italia non c'è attacco per sabotaggio, almeno questo dicono i numeri.
  È un numero molto alto, ma faccio un'altra precisazione: quei numeri si riferiscono ad attacchi andati a buon fine. Volendo leggere la cosa in altri termini, quindi, potrebbe essere che ne siano andati a buon fine in Italia più che in altri Paesi. Ovviamente, è un dato aggregato difficile da analizzare, poiché è un dato che include gli attacchi a tutte le organizzazioni (pubbliche e private).
  Un altro elemento è quello di dichiarare gli incidenti. Il tema è avere, quando si fanno le statistiche, una base dati che sia sostanzialmente omogenea, e non è detto che lo sia. Ad esempio, i dati di partenza che abbiamo i Italia non è detto che siano paragonabili a quelli del resto del mondo, anche per un problema culturale. In Italia ci sono tante PMI, il che crea delle difficoltà rispetto a questa raccolta dati.
  Peraltro, leggevo un altro numero che mi ha impressionato: a livello mondiale, non essendovi una rilevazione specifica in Italia, c'è una percentuale elevata di aziende che, dopo un attacco critico, nel giro di qualche anno chiudono.

  PRESIDENTE. Grazie, dottor Morreale.
  Prego, onorevole Comba.

  FABRIZIO COMBA. Signor presidente, la ringrazio. Innanzitutto ringrazio i nostri ospiti.
  Se possibile, vorrei sapere se c'era – e in che modo, in quale forma – un rapporto con l'Europe's cybersecurity capacities and competitiveness di Bucarest (ECCC).
  Grazie.

  VITO MORREALE, Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A. Il tutto parte da un'iniziativa che la Commissione ha voluto fortemente, sviluppandone quattro filoni. Noi eravamo partecipanti di una di queste iniziative, che poi è confluita nella costruzione di questo Centro a Bucarest.
  In questo momento, il nostro link con loro è indiretto rispetto a tutte le attività che stiamo portando avanti in Europa, cioè non c'è un collegamento diretto Engineering-ECCC di Bucarest. In Europa, in tutte le iniziative, soprattutto quelle di innovazione, quello che ci si chiede è sostanzialmente di collegarsi alle attività del Centro e provare ad avere un impatto sullo stesso. È stato politicamente deciso di metterlo in Romania, Pag. 8però è ancora in uno stato embrionale, deve crescere e deve avere un ruolo un po' più importante a livello europeo. Per quello che percepiamo noi di Engineering, la governance a livello nazionale rimane prevalentemente agli Stati membri.

  PRESIDENTE. Grazie, dottor Morreale.
  Prego, onorevole Chiesa.

  PAOLA MARIA CHIESA. Signor presidente, mi unisco anch'io ai ringraziamenti per la brillante relazione. Ho apprezzato soprattutto quando avete sottolineato l'italianità dell'azienda. Ha accennato alle infrastrutture: qual è il ruolo della sicurezza cibernetica nelle infrastrutture, nella protezione delle infrastrutture?

  VITO MORREALE, Responsabile Laboratorio Ricerca e Innovazione Data e Analytics di Engineering S.p.A. Il primo dato è che, rispetto al passato, negli ultimi anni ci sono stati più attacchi efficaci alle infrastrutture critiche nazionali. Adesso, però, il concetto di infrastruttura critica si è esteso. Come dicevo, la Commissione europea non parla più di infrastruttura, ma parla di entità critica.
  Il secondo dato è relativo al fatto che, probabilmente, se vi sono stati tanti successi negli attacchi è perché sta aumentando la componente cyber, la componente digitale in tutti i sistemi che gestiscono le infrastrutture. Ricordiamoci della debolezza, dell'anello debole, quindi delle persone. Molti attacchi partono rubando un'identità o una chiavetta.
  Una tendenza che riscontriamo, è che l'Europa, soprattutto sul tema infrastrutture critiche, sta cercando di spingere verso la convergenza tra la sicurezza fisica e la sicurezza cibernetica. A parte la caratteristica degli attacchi, che non sono più attacchi solo cyber o solo fisici, non c'è un'intrusione all'interno di un «recinto», si chiamano «attacchi complessi» o «attacchi ibridi» perché, in realtà, comprendono diversi aspetti. Molto importante, dunque è l'«integrazione», cioè guardare a tutti gli aspetti (l'analisi del rischio, quindi, non è solo l'analisi del rischio cyber, ma è l'analisi del rischio cyber-fisico, guardo l'intera infrastruttura), ma anche a tutti gli altri aspetti della governance. Il problema, dunque, non è vedere che c'è stata una intrusione cyber che, ad esempio, sono riuscito a bloccare. Quello potrebbe essere un segnale «debole» che, messo insieme ad altri segnali «deboli», definisce un pattern di attacco che non conosco. Se utilizzo, per esempio, dei sistemi di intelligenza artificiale, il sistema può imparare che ci sono nuovi attacchi. Gli attacchi, infatti, sono fatti spesso con intelligenza artificiale, quindi in realtà imparano mentre attaccano, che è una cosa complicata da contrastare.

  PRESIDENTE. Grazie mille. Se non ci sono altre richieste di intervento, ringrazio i colleghi presenti e i nostri ospiti per le risposte.
  Dichiaro quindi conclusa l'audizione.

  La seduta termina alle 9.05