PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione di rappresentanti dell'Associazione italiana professionisti security aziendale (AIPSA).

PRESIDENTE. L'ordine del giorno reca l'audizione dei rappresentanti di AIPSA (Associazione italiana professionisti security aziendale) nell'ambito dell'indagine conoscitiva sulla difesa cibernetica: nuovi profili di criticità.
Saluto e do il benvenuto al presidente di AIPSA, Alessandro Manfredini, a cui do subito la parola per il suo intervento.

ALESSANDRO MANFREDINI, Presidente dell'Associazione italiana professionisti security aziendale (AIPSA). Grazie, onorevole presidente. Buongiorno a tutti e a tutte.
In qualità di presidente di AIPSA, sono particolarmente onorato, oggi, di rappresentare tutte le donne e gli uomini che in Italia, a vario titolo, si occupano di sicurezza aziendale. Fanno, infatti, parte della rete associativa di AIPSA oltre 800 professionisti, appartenenti a più di 200 società, non solo operatori di infrastrutture critiche primarie e di grandi gruppi industriali, ma anche appartenenti al comparto difesa, nonché alle medie imprese, che rappresentano il tessuto economico e sociale del Paese e contribuiscono – anche in qualità di fornitori – alla sicurezza dei grandi operatori italiani.
Da oltre trent'anni la nostra associazione si impegna per la diffusione della cultura della sicurezza, prevenendo e gestendo i rischi di security che possono causare nocumento al patrimonio aziendale, ovvero ai suoi asset, tangibili e intangibili, e primariamente alle persone.
Per conseguire la propria missione, AIPSA promuove da sempre l'adozione sistematica di un partenariato pubblico-privato, un modello di sicurezza partecipata che coinvolga – a tutti i livelli e in tutti i domini – i soggetti pubblici e quelli privati impegnati nella difesa del sistema-Paese.
Vi ringrazio, quindi, per la sensibilità dimostrata nell'invitare l'associazione in questo ciclo di audizioni rispetto a un tema cruciale per il futuro del nostro Paese. Questo è un riconoscimento implicito della centralità dell'esperienza e della portata delle competenze apportate dai professionisti di security soci di AIPSA, i security manager italiani, impegnati ogni giorno a governare sfide sempre più complesse.
In questi anni, AIPSA ha promosso tematiche di frontiera attraverso corsi e seminari organizzati per i propri associati e soprattutto mediante la costituzione di gruppi di lavoro multidisciplinari. Tra i gruppi di lavoro più attuali recentemente costituiti annovero il gruppo di lavoro sulla gestione del rischio travel, la cybersecurity, con tutte le frontiere dell'intelligenza artificiale e delle minacce che potrebbero arrivare anche dai computer quantistici, e soprattutto la gestione delle minacce cosiddette «ibride». Infatti, stiamo vivendo scenariPag. 4 di crescente complessità, come è noto a questa spettabile Commissione, tra cui quelli relativi al ritorno del cosiddetto «rischio fisico puro», che si affianca a quello cyber, un rischio fisico quale conseguenza di una crescente instabilità geopolitica, con il potenziale verificarsi di scenari di minaccia, tra cui quelli legati: a movimenti antagonisti, anche con finalità terroristiche e di sabotaggio, anche di matrice internazionale; alle crisi sanitarie e meteorologiche; al verificarsi ormai sistemico di eventi meteorologici estremi, in grado di compromettere gravemente le funzionalità di interi comparti strategici per cittadini e imprese; ai nuovi scenari di minaccia cyber; all'utilizzo malevolo di famiglie di tecnologie emergenti, tra cui, l'intelligenza artificiale; e al progredire di modelli di business criminale, del tipo crime as a service.
A questo si deve aggiungere che la progressiva interdipendenza dei mercati e il carattere sempre più transfrontaliero dei servizi essenziali rendono le crisi, anche laddove principiate localmente, sempre più globali. L'integrazione, poi, dei sistemi dell'IoT (internet of things – internet delle cose) e dell'IIoT (industrial IoT) a livello di città sempre più intelligenti espande la superficie del rischio, esponendo le infrastrutture critiche e i servizi essenziali e importanti a minacce ibride sempre più sofisticate.
Di fronte a questi scenari, dunque, occorre una risposta sistemica, che coinvolga tutte le organizzazioni di una nazione, con una regia forte e ben organizzata da parte dello Stato. Diventa necessario e urgente mettere in campo tutte le energie positive del nostro Paese, siano esse garantite e gestite dalle istituzioni e dalle strutture pubbliche o dai soggetti privati; missione, peraltro, condivisa e auspicata anche dai recenti interventi legislativi.
Cito gli ultimi in ordine di tempo: il decreto legislativo n. 134 del 2024, che ha recepito la direttiva CER sulle infrastrutture critiche e la resilienza; il decreto legislativo n. 138 del 2024, che ha recepito la direttiva NIS 2; nonché la legge n. 90 del 2024 sul rafforzamento della cyber security nella pubblica amministrazione. Dicevo che è una missione auspicata dal legislatore, che sottolinea più volte la necessità di una stretta cooperazione pubblico-privata per un efficace e tempestivo innalzamento del livello di resilienza del sistema Paese. Orbene, questo corrisponde esattamente a quell'approccio proattivo ed integrato che la nostra associazione – la quale annovera i security manager delle principali aziende private in Italia – promuove fin dalla sua nascita.
Interpellati, oggi vogliamo rappresentare dinanzi a questa spettabile Commissione due punti di osservazione ritenuti centrali rispetto a quelli già anticipati e alle ultime evoluzioni del dibattito pubblico e istituzionale. Partirei dagli ultimi decreti legislativi citati, che hanno recepito la normativa comunitaria cyber e che hanno in comune significative novità, come l'istituzione della Conferenza per la resilienza dei soggetti critici, del tavolo per l'attuazione della disciplina NIS e dei tavoli settoriali, per contribuire all'efficace e coerente attuazione delle previsioni normative.
Questi tavoli risulterebbero composti esclusivamente da autorità istituzionali che avrebbero la facoltà di convocare, audire e coinvolgere i soggetti privati titolari della gestione di infrastrutture critiche o servizi essenziali importanti.
A tale riguardo vale la pena ricordare che, come dimostrato da crisi recenti, frequentemente sono proprio le imprese a intercettare e a identificare per prime i fattori prodromici e le fasi iniziali di un incidente. Nel prevedere in via permanente una rappresentanza di tali soggetti in seno a questi organismi, inclusa la possibilità da parte loro di chiederne anche l'attivazione, rappresenterebbe quindi una grave criticità, nonché una contraddizione rispetto a quel cambio di paradigma della sicurezza da passivo-reattivo a proattivo anticipatorio, di cui le stesse direttive europee si fanno portavoce.
Inoltre, come numerosi esempi di successo dimostrano, il settore privato può apportare innovazioni e competenze specifiche che possono completare la visione strategica pubblica. Cito, a titolo esemplificativo, due tavoli a cui abbiamo partecipato,Pag. 5 uno in ambito di perimetro di sicurezza nazionale cibernetica e l'altro in esecuzione di stress test nel settore energetico per testare appunto il grado di resilienza delle infrastrutture critiche energetiche italiane.
L'intento, rispettivamente dell'Agenzia per la Cybersicurezza Nazionale e della Segreteria infrastrutture critiche, istituita presso l'ufficio del consigliere militare della Presidenza del Consiglio dei ministri, è stato quello di aver voluto favorire una collaborazione tra autorità costituite, operatori e la nostra associazione, riconoscendoci evidentemente il valore delle competenze.
Auspichiamo di poter partecipare e continuare a partecipare attivamente a detti tavoli tecnici e ad altri che verranno istituiti nel prossimo futuro.
Il secondo punto che mi sta particolarmente a cuore riguarda il ruolo del security manager di noi professionisti. Le rinnovate norme sottolineano meritoriamente la necessità di ridurre gli oneri amministrativi a carico dei soggetti che gestiscono le infrastrutture critiche, i soggetti essenziali e importanti, al fine di agevolare un'efficacia e la tempestività degli stessi nell'adempimento delle previsioni normative.
Ciò premesso, proprio in riferimento ad alcune misure di resilienza, si ascrive però una significativa lacuna definitoria su ruoli e responsabilità del soggetto incaricato, che necessariamente si riverbera, anche negativamente, su alcuni modelli organizzativi adottati da talune aziende.
Mancano in queste ultime normative, infatti, a nostro parere, i riferimenti al ruolo aziendale, alle qualifiche, alla formazione professionale del security manager.
Per la natura delle responsabilità tali figure dovrebbero, invero, ricercarsi proprio nella funzione del security manager aziendale, cioè del corporate security manager, cui viene delegata dal datore di lavoro e dal rappresentante legale dell'azienda l'obbligazione di sicurezza nei confronti di tutto il business aziendale, della protezione degli asset tangibili e non, nonché delle informazioni e financo delle persone.
Tale professionista rappresenta l'evoluzione plastica della profonda trasformazione che la security ha avuto negli ultimi trent'anni nel nostro Paese, passando dalla sicurezza di prossimità di un security manager orientato a proteggere il management e gli imprenditori dalle minacce prettamente di tipo fisico durante il periodo del nostro terrorismo interno, passando dal boom industriale e dalla prima trasformazione digitale, che ha visto protagonista il security manager (o come a volte più specificatamente si vuole definirlo cyber security manager o, addirittura, chief information security officer) orientato alla gestione della minaccia cyber e alla sicurezza informatica in generale.
Per non parlare delle minacce che provengono dal cambiamento climatico e delle altre minacce ibride a vario titolo che affliggono le nostre aziende, dalla gestione della supply chain, sempre più compromessa da infiltrazioni di stampo mafioso, all'approvvigionamento di materie prime; sfide queste che devono convivere con l'assoluta necessità che talune scelte debbano essere orientate alla massima sostenibilità del business e alla resilienza delle organizzazioni stesse che devono poter rimanere operative sul mercato.
Oggi il security manager rappresenta, in un'azienda moderna e orientata a crescere e a consolidarsi in un mercato sempre più competitivo e globalizzato, un ruolo importante e complesso e non si può e non si deve, per le immaginabili conseguenze catastrofiche che potrebbe avere, improvvisare.
Il security manager deve coniugare indiscutibili doti di comunicazioni di leadership e imprescindibili competenze e conoscenze in ambito di gestione e analisi dei rischi, soprattutto conoscenze e competenze in ambito manageriale, per poter supportare efficacemente le colleghe e i colleghi del business nelle quotidiane sfide.
Tali competenze, un tempo non presenti in percorsi formativi strutturati, oggi fortunatamente trovano un riscontro in corsi universitari di primo e secondo livello, oltre a corsi di specializzazione con master e dottorati, ma anche percorsi di qualificazionePag. 6 e certificazione a standard tecnici, internazionali e non, che lasciano ben sperare per la crescita di prospettive professionali per le nostre giovani e i nostri giovani che intendono intraprendere anche questa carriera professionale e, lo sottolineo, manageriale.
Un mancato riconoscimento consono del ruolo del security manager nel garantire la resilienza del soggetto critico essenziale ed importante tradirebbe, quindi, un retaggio culturale legato alla mancata considerazione dell'importanza della security come funzione vitale del business, indebolendo la richiesta a tali soggetti di dotarsi di un'adeguata organizzazione interna o addirittura potrebbe consentire a taluni di assegnare tale importante incarico alle persone meno indicate.
Il ruolo del security manager assolve, inoltre, a un altro fondamentale compito, ovvero quello di garantire la cosiddetta circolarità informativa nelle organizzazioni al di fuori di esse seguendo le migliori pratiche, ad esempio anche della gestione delle crisi, il cosiddetto «crisis management».
È assodato, infatti, che per rendere resiliente il settore delle infrastrutture critiche e dell'industria, specie quella del comparto difesa, al fine di rispondere in maniera sistematica a scenari di minaccia esterni, garantendo la continuità dei servizi a cittadini e imprese, occorre favorire e promuovere, come del resto già previsto dalle norme, forme di sinergia e collaborazione tra istituzioni pubbliche e operatori privati. Tra le forme virtuose di collaborazione pubblico-privato in ambito, ad esempio, «incidenti», si segnala la possibilità di condividere, previa anonimizzazione dei dati e nel rispetto delle informazioni sensibili e confidenziali, gli incidenti tempestivamente segnalati all'autorità e a tutta la community dei security manager, al fine di informare e auspicabilmente prevenire eventuali attacchi a catena e nell'ottica di rafforzare la resilienza del sistema-Paese.
Lo scambio continuo di informazioni è solo una delle possibili declinazioni di cui al rafforzamento della sinergia tra organismi della pubblica difesa e le funzioni di sicurezza delle infrastrutture critiche, sempre più necessario al contrasto di minacce che sono sempre più ibride.
Queste sinergie sono cruciali e dovrebbero essere al centro dell'agenda politica e tecnica dei ministeri ed esplicitarsi anche mediante la stipula di appositi protocolli d'intesa e convenzioni a livello nazionale.
Avviandomi alle conclusioni vorrei ricordare, come noi di AIPSA siamo soliti sottolineare, che la sicurezza è un bene comune, un bene a cui tendere non come corporazione o lobby, ma come sistema-Paese, dando corpo a quella cooperazione pubblico-privata che sia reale, bidirezionale, efficace ed efficiente. Ogni intervento da noi proposto, così come ogni azione da noi intrapresa è, e sempre sarà rivolta, al perseguimento di questo obiettivo ultimo.
In tale quadro, rimaniamo a disposizione di questa spettabile Commissione, qualora volesse ulteriormente approfondire le tematiche che sinteticamente ho oggi esposto e segnatamente la previsione di una rappresentanza di una delegazione di soggetti privati titolari della gestione di infrastrutture critiche in seno a organi consultivi e direttivi istituzionalmente previsti e l'ascrizione preferenziale alla funzione del security manager aziendale qualificato il ruolo del soggetto incaricato a gestire non solo i processi aziendali in materia di security, fisica o cyber, e di resilienza, ma anche a mantenere i rapporti con le autorità istituzionalmente previste.
Vi ringrazio per l'attenzione e rimango a disposizione per rispondere a eventuali domande o richieste di approfondimento. Grazie.

PRESIDENTE. Grazie a lei, presidente Manfredini.
Do la parola ai colleghi che desiderano intervenire per porre quesiti o formulare osservazioni.
Prego, on. Chiesa.

PAOLA MARIA CHIESA. Grazie, presidente. La ringrazio, presidente Manfredini. Secondo lei, come potrebbe essere migliorata la legge n. 90 del 2024?

PRESIDENTE. Grazie, on. Chiesa. Prego, presidente Manfredini.

Pag. 7

ALESSANDRO MANFREDINI, Presidente dell'Associazione italiana professionisti security aziendale (AIPSA). Grazie, presidente. Onorevole, la ringrazio della domanda. La legge n. 90 del 2024 è stato un intervento normativo che ha addirittura anticipato l'ingresso e il recepimento della direttiva (UE) 2022/2555 (cosiddetta direttiva NIS-2), quindi è già stata apprezzata dal mercato per il fatto di aver inserito le pubbliche amministrazioni tra quei soggetti importanti che si devono dotare, ad esempio, di un'organizzazione di cybersecurity. Quindi, il miglioramento che vedo in questa legge è la normale evoluzione che dovrà essere attuata o «messa a terra» dalle organizzazioni pubbliche e private. Tra le altre prescrizioni e previsioni annovero il coinvolgimento di tutte le società in house che gestiscono il trasporto pubblico locale, oltre a tutte le previsioni che hanno aggiornato il codice penale e i reati.
Oggi l'unico vulnus che intravedo potrebbe essere quello rispetto alla risposta a un «incidente». Parlando del settore privato che collabora, ad esempio, con la polizia postale, che, come a voi è ben noto, è l'organo deputato a contrastare il cybercrime, andando a completare l'architettura della cybersicurezza nazionale sotto l'egida e il coordinamento della nostra Agenzia per la Cybersicurezza Nazionale, oggi ci troviamo nella difficoltà, nel rispondere a un incidente informatico, di prevaricare determinati confini e, quindi, da difensori del nostro perimetro aziendale interferire con soggetti che, anche inconsapevolmente, sono vettori o trasmettitori di una minaccia cyber.
Ritengo che questo, comunque, sarà un percorso evolutivo che anche il legislatore farà in un secondo tempo. Dobbiamo maturare tutti una consapevolezza maggiore e fare esperienza. Sono abbastanza fiducioso che lo strumento normativo arriverà a supporto dei processi e delle necessità. Da giurista posso affermare che su talune dinamiche il diritto necessariamente arriva sempre in seconda battuta a normare un'esigenza che la vita sociale e comune di tutti i giorni pone di fronte.

PRESIDENTE. Grazie, presidente Manfredini. Prego, on. Carè.

NICOLA CARÈ. Grazie, presidente. Buongiorno. Prima di tutto vorrei ringraziare il presidente Manfredini per l'esauriente panoramica sulla cybersecurity e soprattutto sul ruolo del security manager, ruolo che a me interessa particolarmente.
Facendo parte della delegazione italiana presso l'Assemblea parlamentare della NATO, come molti altri miei colleghi, noto che la cybersecurity è un fattore importantissimo non soltanto per le aziende private ma anche e soprattutto per le aziende statali in tutte le nazioni in cui una delle criticità fondamentali è il security manager e le modalità per il suo aggiornamento costante. Devono essere veramente preparati e bravi, devono capire da dove arrivano gli attacchi, compito per il quale molte volte – così mi è stato riferito – devono spendere un 20 per cento del loro tempo in attività di formazione, anche simulando attacchi per capire dove sono le criticità. Il problema principale è il budget che le aziende, soprattutto nel settore privato, possono mettere a disposizione per la formazione di tali figure professionali. Lei cosa suggerisce alle aziende? Come si può aggirare questo problema? Sicuramente, si tratta di un problema dell'«oggi», ma che non ci sarà domani, poiché andrà riscontrata l'utilità del security manager, soprattutto nel settore della cybersecurity all'interno delle aziende.
Grazie.

PRESIDENTE. Grazie, on. Carè. Prego, presidente Manfredini.

ALESSANDRO MANFREDINI, Presidente dell'Associazione italiana professionisti security aziendale (AIPSA). La ringrazio, onorevole, per questa suggestione e per questa domanda. La formazione è evidentemente il caposaldo del ruolo del security manager. Qui «clusterizzerei» in due gruppi i security manager: i professionisti più di alto livello, che devono avere una visione strategica e che il più delle volte siedono al fianco dei capi azienda e degli amministratoriPag. 8 delegati; e tutto il resto dei professionisti della security, che evidentemente sono coloro i quali devono avere competenze e conoscenze anche di tipo tecnico.
La premessa è che non si finisce mai di imparare e tutti dobbiamo continuare ad aggiornarci. Lo dico portando me stesso come esempio. Ho svolto servizio nell'Arma dei carabinieri per dodici anni, ma quando nel 2004 ho iniziato la mia avventura nel mondo privato ho ricominciato da zero a studiare. Ho frequentato un master, mi sono certificato e oggi continuo a mantenermi aggiornato. È ovvio che l'aggiornamento che oggi devo continuare a mantenere rispetto al mio ruolo mi porta a dovermi confrontare con tematiche di management. I miei collaboratori continuano ad aggiornarsi, a formarsi per poter avere la piena conoscenza di quelle che sono le nuove minacce. Soprattutto nella cybersecurity, la minaccia è dinamica ed evolve in maniera velocissima.
Le vulnerabilità intrinseche che gli oggetti tecnologici hanno ci impongono, come lei correttamente ha anticipato, anche ad addestrarci continuamente a riconoscere queste vulnerabilità. Quindi, corsi di formazione e partecipazione a esercitazioni; esercitazioni che abbiamo anche noi stimolato che potessero essere anche organizzate da organi statuali, in modo tale da coinvolgere intere filiere di business. È ovvio che le aziende devono capire che la formazione non è un costo, ma un investimento.
Evidentemente ci sono ragioni anche di budget che impongono delle scelte, però, come in anni passati, non abbiamo risparmiato e lesinato sulla formazione in ambito di salute e sicurezza sul lavoro. Ritengo che tutte le aziende, del comparto sia pubblico che privato, debbano continuare a investire molto in corsi di formazione obbligatori in ambito cyber-sicurezza, perché abbiamo un gap anche generazionale da dover colmare. Ognuno di noi che non è un nativo digitale, non ha studiato a scuola come gestire uno smartphone o un computer, quindi a volte non abbiamo neanche la percezione della minaccia.
Io penso che potrebbero essere messi in campo strumenti anche di finanza agevolata – un po' come, ripeto, abbiamo fatto esperienze importanti nel mondo della salute e della sicurezza nei luoghi di lavoro – e, magari, trovare anche forme di incentivazione per continuare ad attrarre i nostri giovani, per evitare che formiamo i migliori professionisti e che, successivamente, vengono assunti in altre aziende. Quindi, provare a trovare degli strumenti che incentivino gli imprenditori, anche con forme di sgravi o di decontribuzione, in modo tale da poter pagare qualcosina di più le nostre giovani e i nostri giovani e tenerli nel nostro Paese per far aumentare la resilienza del nostro sistema economico.

PRESIDENTE. Grazie. Se non ci sono altre richieste da parte dei colleghi, ringrazio ancora il presidente Manfredini e dichiaro conclusa l'audizione.

La seduta termina alle 9.05.