Pag. 2

PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione di rappresentanti di NTT DATA Italia S.p.A.

PRESIDENTE. Buongiorno a tutti. L'ordine del giorno reca l'audizione di rappresentanti di NTT DATA Italia S.p.A.
Saluto e do il benvenuto a Ludovico Diaz, amministratore delegato di NTT DATA, accompagnato da Dolman Aradori, Francesco Consoli e Danilo Lissoni.
Do subito la parola all'amministratore delegato per il suo intervento.

LUDOVICO DIAZ, Amministratore Delegato di NTT DATA Italia S.p.A. Buongiorno a tutti, grazie per l'opportunità di essere qui. Il tema è rilevante per tutti e ci vede quotidianamente impegnati sia a livello italiano che a livello mondiale.
Vorrei approfittare di qualche minuto per provare a darvi il nostro punto di vista, quello di una società che ha origini giapponesi, di proprietà giapponese, con tutta una serie di implicazioni, ma che 15 anni fa ha deciso di investire molto in Italia. Spenderò qualche istante per raccontarvi il nostro DNA e le nostre origini e poi lascerò la parola al dottor Aradori, il nostro responsabile della business unit italiana di cyber security.
NTT DATA fa parte di un gruppo più ampio, il gruppo NTT, Nippon Telegraph and Telephone, che dà l'idea delle origini e delle radici. È una società che ha più di 150 anni di storia ed è il quarto operatore di telecomunicazioni al mondo, 100 miliardi di fatturato. La cosa che mi piace sottolineare, al di là del fatturato, è l'importo in valore assoluto di investimenti annuali in ricerca e sviluppo, 3,6 miliardi di dollari a livello mondiale, quindi investiamo una cifra veramente molto rilevante su tecnologie di base (sto pensando al quantum computing) piuttosto che su tecnologie avanzate come l'Artificial Intelligence.
NTT DATA, la società di cui di cui stiamo parlando oggi, è la componente, il braccio informatico-tecnologico del gruppo, quindi fuori dal mondo delle telecomunicazioni. A livello mondiale siamo presenti in 50 Paesi, con 30 miliardi di fatturato, e siamo all'interno dei primi dieci fornitori di servizi IT al mondo.
La cosa interessante, che si ricollega al tema della cyber security, è che disponiamo anche di una rete di connettività internazionale. Il 40 per cento del traffico internet mondiale passa su infrastrutture NTT e NTT DATA, quindi è un gruppo estremamente grande, molto posizionato in Giappone, ma con una presenza globale.
Lavoriamo in tutti i settori, sia quelli privati che quelli pubblici. Abbiamo delle soluzioni proprietarie, degli asset sviluppati nei nostri laboratori giapponesi, ma anche e soprattutto in Italia, che è uno dei poli di eccellenza della ricerca a livello mondiale. Facciamo consulenza, perché riteniamo che la tecnologia da sola non sia sufficiente, ma debba essere sempre accompagnata da una comprensione del processo e delle esigenze Pag. 3del business o comunque delle organizzazioni. Quello che sottolineo è l'attenzione alla sostenibilità, che è propria del DNA giapponese, cioè l'impatto all'interno della società dei cittadini e dei dipendenti è molto forte.
In Italia, NTT è entrata 15 anni fa con forti investimenti e in questo momento ha più di 6.000 dipendenti, un fatturato di circa 600 milioni di euro di ricavi, con una politica di capillare presenza sul territorio. Abbiamo 11 sedi, le due principali sono Roma e Milano, abbiamo sedi storiche a Torino, Treviso, Bologna, Genova e Pisa, ma soprattutto negli ultimi anni abbiamo iniziato una politica di apertura di sedi nel Sud, quindi Napoli, Salerno, Cosenza e Bari (quest'ultima appena inaugurata). Manca la Sicilia, ma ci stiamo lavorando, e la Sardegna, a dir la verità.
Gov&Tech è una società che abbiamo costituito tre anni fa, con il compito specifico di assistere e di focalizzarci sulla trasformazione digitale nella pubblica amministrazione, perché riteniamo che richieda competenze e investimenti caratteristici. Non andrò nel dettaglio di questa, ma la uso solamente per trasferirvi un concetto: come abbiamo detto, lavoriamo su tecnologie innovative, investiamo cifre importanti in ricerca e sviluppo e l'Italia gioca un ruolo fondamentale all'interno dell'ecosistema del gruppo, nel senso che all'interno del gruppo esistono tre poli, tre uffici di ricerca e sviluppo, uno a Tokyo, nell'headquarter, uno a Palo Alto, in California, il terzo – lo dico con orgoglio – in Italia, e molte delle tecnologie che vedete rappresentate qui su 5G, IoT, smart robotic, linguistica digitale sono sviluppate anche con il contributo di risorse italiane, quindi utilizziamo e sfruttiamo le tecnologie che ci arrivano dal Giappone, ma abbiamo una capacità autonoma di sviluppare tecnologie anche sul territorio nazionale.
Credo che, in un contesto in cui la sovranità digitale è un elemento rilevante, questo possa rappresentare un buon binomio tra capitalizzare competenze e investimenti centrali e la possibilità di sviluppare cose in locale.
Grazie.

DOLMAN ARADORI, Vice President, Head of Cyber Security Italia – NTT DATA Italia S.p.A. Grazie mille anche da parte mia per l'opportunità di essere qui con voi oggi.
Abbiamo parlato molto degli investimenti che vengono fatti dal gruppo e il tema della cyber security è riconosciuto come uno di questi pilastri, anche perché, in primis, è importante per la nostra capogruppo, in quanto fornisce servizi all'utente finale e quindi la qualità e la resilienza di questi servizi dipendono anche dall'approccio tenuto in questo contesto.
Siamo una community molto rilevante a livello mondiale, contiamo più di 7.500 persone, di cui 420 operano a livello nazionale, e siamo attivamente coinvolti anche nell'erogazione dei servizi in altre Nazioni, in virtù delle particolari competenze che nel tempo abbiamo avuto l'occasione di sviluppare a livello locale.
A livello locale, infatti, abbiamo circa 25 anni di storia, una realtà nata con un'azienda completamente dedicata al tema cyber security nei primi anni 2000, in un momento storico importante per il percorso digitale che stava facendo il Paese, e ovviamente abbiamo relazioni importanti con i principali enti, come ISACA (Information Systems Audit and Control Association) e la Cloud Security Alliance. Questi anni percorsi nell'ambito della cyber security ci hanno consentito di costruire ottimi rapporti con i player principali che operano a livello mondiale. È un percorso in continua crescita, con riconoscimenti da principali analisti a livello mondiale, in quanto Gartner ci ha riconosciuto al secondo posto a livello mondiale nell'erogazione dei servizi di sicurezza gestita in termini di ricavi generati a livello mondiale e Everest recentemente ci ha riconosciuto nel quadrante dei leader per quanto riguarda i fornitori dei servizi di sicurezza informatica in ambito europeo.
Questo in virtù del fatto che nel tempo abbiamo avuto l'occasione di consolidare un portafoglio veramente omnicomprensivo, che oggi tocca elementi importanti come il tema della IoT security, il tema della cloud security per la costruzione di data center di nuova generazione, in modo Pag. 4tale che possano nativamente essere costruiti in forma sicura, il tema dell'application security, con elemento di forte attenzione per garantire la fruizione di tutto il mondo digitale, ma questo approccio si basa su un reale contributo che riusciamo a fornire a livello end to end, in quanto forniamo servizi che passano dal disegno delle strategie per la messa in sicurezza delle infrastrutture e dei nuovi servizi, la costruzione e il disegno di soluzioni tecnologiche che consentano di proteggere queste nuove infrastrutture e servizi, il tema dei servizi di supporto e, non ultimo, il tema del management service, che in un contesto come quello italiano, costituito da piccole e medie imprese, risulta sicuramente un efficace contributo che possiamo offrire facendo leva sui centri di competenze che abbiamo a livello mondo, ma con persone che abbiamo anche a livello locale, in quanto abbiamo un nostro Security Operation Center nazionale.
Molto importante anche l'opera che stiamo facendo nell'ambito della crisis response. L'effetto dei ransomware è sicuramente uno di quelli più rilevanti a livello locale, ma anche a livello mondiale, e questo può generare un forte impatto in termini di continuità nel normale funzionamento delle aziende. Da questo punto di vista, operiamo in tutte le fasi che riguardano il tema delle crisis management, dall'attività di preparazione (con l'aiutare internamente la costruzione di organizzazioni in strutture che possano intervenire in momenti di crisi), al fornire infrastrutture che consentano il rapido ripristino qualora si generi una situazione negativa.
Come detto, siamo un operatore che opera a livello internazionale, gestiamo le dorsali di interconnessione tra Giappone e Europa e tra Giappone e Stati Uniti, e questo ci consente di avere un punto di osservazione privilegiato su quello che accade a livello mondiale in termini di cyber security. Infatti, accedere al 40 per cento del traffico IT a livello mondiale ci permette di intercettare i nuovi fenomeni in via di diffusione, quali nuove minacce o tecniche di attacco.
Sono tutte informazioni che mettiamo a disposizione in primis dei nostri Security Operations Center, 14 a livello mondiale, i quali ci permettono di essere sempre attivi in ogni momento del giorno.
Questo ci fornisce la possibilità di avere informazioni da utilizzare nella fornitura dei servizi di sicurezza. Allo stesso modo, nel momento in cui offriamo questa tipologia di servizi, possiamo accedere ad altre informazioni che arricchiscono la nostra base informativa.
Abbiamo più di 800 persone che operano nell'ambito dei Security Operations Center a livello mondiale. Come vi dicevo, abbiamo una forte localizzazione anche in Italia, in quanto circa 85 persone operano in questo settore. Noi, di fatto, in questo ambito operiamo già dal 2005, con persone che hanno operato anche presso le infrastrutture dei nostri clienti, ma nel 2016 abbiamo aperto un nostro Security Operations Center e siamo in grado di offrire servizi di sicurezza gestita da nostre infrastrutture in una forma complementare con l'offerta che proponiamo a livello mondiale.
Abbiamo collaborato con altri attori nel mondo della cyber security come Microsoft e altri operatori di telecomunicazioni, siamo stati in grado di eliminare una grossa minaccia come il malware TrickBot, facendo leva sulle nostre capacità in termini di innovazione e sulla nostra imponente capacità in termini di analisi elaborativa dei dati a disposizione, per costruire un'intelligence molto robusta.
Questo ci ha permesso di inquadrare, analizzare e identificare i meccanismi di funzionamento del malware e i punti da cui venivano gestiti, per passare alla fase di successiva di eradicazione della minaccia.
Il concetto di collaborazione per noi è molto importante, è un elemento fondamentale del nostro modus operandi e lavoriamo molto nella costruzione e nella partecipazione attiva in comunità sia pubbliche che private.
Sicuramente un elemento da sottolineare è la nostra partecipazione nell'ambito della Cyber Threat Alliance. Come vi dicevo, avere queste informazioni consente di agire Pag. 5repentinamente nell'identificazione della problematica e quindi nel contenimento. Lavorare a livello internazionale con tutti questi attori diventa un elemento sicuramente distintivo, ma, come dicevo, abbiamo relazioni molto importanti con le agenzie di sicurezza delle principali nazioni a livello internazionale (Giappone, ma anche Stati Uniti, Inghilterra, Germania, Israele).
Questo per sottolineare che per noi è importante la costruzione di una sensibilità e la definizione di alcuni framework che aiutino le diverse aziende e i diversi contesti a programmare in modo efficace il loro atteggiamento verso il tema della cyber security.
Pensate al NIST (National Institute of Standards and Technology), il cui framework è base del framework nazionale italiano sulla cyber security e in cui noi abbiamo contribuito alla definizione della nuova versione del NIST, elemento che sottolineiamo ancora di più come possibilità di lavorare insieme ad altri attori, per garantire una sicurezza a livello di sistema Paese. Lo facciamo attivamente dal Giappone sin dal 2009, proprio per il fatto che viene riconosciuta l'importanza di avere una collaborazione tra i diversi sector, perché nei momenti di crisi possono consentire di avere tutti gli elementi informativi per essere pronti a reagire e lavorare ad un efficace contrasto.
È un percorso nato in Giappone nel 2009, che porta oggi ad avere circa 3.000 persone coinvolte in questo tipo di attività e ha portato risultati molto interessanti, perché NTT è stata responsabile della sicurezza delle recenti Olimpiadi di Tokyo, quindi è stata riconosciuta come un elemento di successo, non essendovi stati eventi particolarmente significativi di impatto sul funzionamento dell'Olimpiade, a fronte del fatto che abbiamo gestito circa 450 milioni di eventi che potevano essere impattanti sul normale funzionamento.
La collaborazione con tutti gli altri enti ha sicuramente portato a questo importante risultato.
Non ultimo, per noi, è importante il tema della formazione. Sappiamo tutti che il tema dello skill gap, soprattutto nell'ambito della cyber security, è un elemento molto importante, che ha ancora una dinamica divergente tra la necessità e l'offerta dal punto di vista formativo.
Da sempre collaboriamo con le università, abbiamo riportato un esempio ancora più virtuoso, siamo stati partner fin dall'inizio di un master particolarmente interessante, organizzato da Bocconi e Politecnico in joint venture, per costruire i professionisti della cyber security del domani, dando loro tutti quegli elementi, dal punto di vista tecnologico, normativo, processivo, per avere una formazione di base omnicomprensiva che li renda efficaci manager del domani dal punto di vista della cyber security.
È un percorso che proseguiamo anche al nostro interno, con un'attenzione fondamentale alle conoscenze di base che ogni nostro professionista deve avere, con la costruzione di una Cyber Security Academy, che abbiamo fatto partire a livello italiano e abbiamo esportato a livello mondo, per fornire nozioni di base che rendano i nostri professionisti coscienti di tutte le diverse sfaccettature che coinvolgono il lavoro nell'ambito della cyber security.
Abbiamo fatto un ulteriore passo a livello pubblico, in virtù del fatto che abbiamo una nostra offerta in termini di sensibilizzazione al mondo della cyber security per il mondo professionale, ma per noi è molto importante contribuire a fornire l'attenzione alla cyber security a livello pubblico.
Da tre anni facciamo questo tipo di percorso nelle scuole primarie e secondarie, per fornire una testimonianza e un aiuto ai più giovani, per aiutarli a comprendere i rischi nell'utilizzo della rete, nell'utilizzo dei social media dei giochi on line, per renderli pronti a gestire questa tipologia di rischi.
Come vedete, è un percorso accolto con interesse dalla scuola. Ad oggi, per quanto riguarda il 2024, abbiamo erogato 460 ore in termini di lezioni, coprendo appunto 25 città, 120 classi a livello di scuola primaria e 65 classi a livello di scuola secondaria.
Per concludere, volevo sottolineare che per noi il tema della cyber security deve Pag. 6avere un approccio sicuramente molto educativo. È quello che facciamo anche con i nostri clienti, ai quali forniamo un framework strutturato per cercare di inquadrare le diverse problematiche negli aspetti più importanti.
Il tema della cyber security è un viaggio continuo, che non ha un preciso punto d'ingresso e un preciso punto di uscita, ma è un qualcosa di dinamico che cambia nel tempo, ogni anno deve essere aggiornato.
Sottolineando il fatto che per ogni azienda il proprio approccio deve essere costruito in forma efficace, suggeriamo un'agenda che brevemente tocchi i principali ambiti su cui operare, che vanno dal cercare di conoscere sé stessi e capire le esigenze che nascono da nuove normative o nuovi servizi che vengono offerti al pubblico, la costruzione di infrastrutture di protezione molto efficaci, l'adozione di contromisure «reattive» per garantire in termini operativi l'intervento laddove la fase di pianificazione non abbia potuto garantire la giusta copertura.
Dobbiamo infatti fronteggiare minacce sempre nuove costruendo un ecosistema molto robusto, con il coinvolgimento di partner che hanno un peso rilevante nel funzionamento del sistema Paese, ma anche a livello della singola azienda che opera nel mercato.
Non ultimo, è necessario guardare oltre, per essere sempre preparati e rapidi nell'intervenire nel momento in cui si presentino nuovi elementi di minaccia. Il tema della sostenibilità, che noi raccontiamo da tempo, va tenuto in considerazione anche nell'affrontare il tema della cyber security non in forma emotiva, in termini reattivi e nell'inserimento di soluzioni nuove.
Sottolineiamo la costruzione di un robusto sistema di controllo e di valutazione di quanto viene fatto, perché è importante partire dalla misura dell'efficacia di quanto è stato fatto, per una programmazione efficace di quello che deve essere fatto in futuro.
Grazie.

PRESIDENTE. Ringrazio i nostri ospiti per la loro relazione.
Do la parola ai colleghi che desiderano intervenire per porre quesiti o formulare osservazioni.

PINO BICCHIELLI. Signor presidente, ringrazio sia il dottor Diaz che l'ingegnere Aradori per la presentazione preziosa, utile e approfondita.
Metterei in evidenza l'impegno di queste aziende, che anche se arrivano dall'estero investono in Italia, nel coinvolgimento di personale. Apprezzo che molti centri siano nel Mezzogiorno del Paese e anche il lavoro che viene fatto sulla ricerca tecnologica, perché, come sta emergendo sempre più dalla nostra ricerca, la sovranità digitale in una situazione geopolitica complessa è fondamentale.
Ho una curiosità, rivolgendomi forse più al dottor Diaz. Ieri abbiamo approvato in Aula l'Accordo GCAP (Global Combat Air Programme), avente ad oggetto il caccia di sesta generazione, che nasce proprio da una collaborazione tra Italia, Giappone e Regno Unito.
Poiché ho capito che voi avete rapporti sia con Leonardo che con Mitsubishi, le due aziende leader per l'Italia e per il Giappone su questo progetto, che noi riteniamo fondamentale non solo per il nostro Paese, ma per tutto lo sviluppo tecnologico mondiale, volevo capire se abbiate un ruolo anche dal punto di vista della cyber sicurezza in questo progetto. Grazie.

NICOLA CARÈ. Mi unisco ai ringraziamenti per la presentazione.
Io mi muovo più nella piccola manifattura italiana, che è l'essenza del nostro PIL. La formazione è essenziale per le aziende, non soltanto per quanto riguarda domanda e offerta, ma anche da mantenere per il personale una volta impiegato, e naturalmente da doversi condurre mediante un percorso continuo.
Il secondo aspetto è la consapevolezza delle piccole e medie aziende della cyber security, un conglomerato indefinito che non sanno come approcciare, considerando che le piccole e medie imprese hanno difficoltà non soltanto a produrre il loro prodotto, ma anche a portarlo all'estero e a venderlo.Pag. 7
Cosa suggerisce la vostra azienda per aumentare la consapevolezza delle piccole e medie imprese, visto che l'avete già fatto per quanto riguarda i giovani e la loro sensibilizzazione in merito ai pericoli di internet e quindi la necessità della cyber security? Possiamo fare dei corsi? Perché, a mio avviso, occorre assolutamente aumentare la consapevolezza degli imprenditori, che si focalizzano tantissimo sulla produzione e su come vendere il prodotto, ma è necessario che comprendano la necessità di proteggere i loro dati aziendali ma anche tecnici. Cosa suggerite?

PRESIDENTE. Se non vi sono altri interventi, do la parola al dottor Diaz per la replica.

LUDOVICO DIAZ, Amministratore Delegato di NTT DATA Italia S.p.A.
Sul tema delle piccole e medie aziende le confermo che è quello che osserviamo anche noi, c'è un tema sicuramente culturale di far comprendere agli imprenditori che ormai i dati sono uno degli elementi più importanti delle loro aziende, certamente gli stabilimenti produttivi sono importanti, ma i dati che gestiscono stanno diventando sempre più il vero valore delle aziende, quindi la loro protezione è fondamentale.
Qui c'è il tema culturale di far comprendere che la cyber security è una sorta di assicurazione che va pagata front e va investita front, quindi risparmiare rischia di avere dei risultati deflagranti. C'è sicuramente un tema di consapevolezza e, come dicono gli americani, di awareness, che va sviluppata.
Secondo aspetto. Abbiamo parlato di cyber security, che è un argomento molto tecnico, molto specifico, anzi direi specialistico, che richiede delle competenze molto verticali. La verità è che noi abbiamo bisogno di disseminare competenze di cyber security in tutta l'azienda, cioè abbiamo bisogno degli specialisti di cyber security, certamente, ma abbiamo bisogno che ogni persona all'interno dell'azienda, che lavori nell'informatica o meno, abbia una competenza di base di cyber security, perché, come dicono sempre gli americani, la security deve essere by design, cioè non posso sviluppare un sistema informatico e poi pensare a posteriori di proteggerlo, devo proteggerlo dall'inizio, quindi il modo in cui si costruiscono queste applicazioni è fondamentale, e qui il nostro ruolo è quello di accompagnare nella consulenza e dire «pensate subito alla sicurezza, non dopo».
Il terzo punto è quello di mettere a disposizione delle piccole e medie aziende dei sistemi, delle soluzioni, delle piattaforme, che consentano loro di accedere ai benefici della cyber security senza fare investimenti importanti e senza necessariamente internalizzare.
Quello che l'ingegnere Aradori citava in termini di managed services, cioè di servizi gestiti per conto dell'azienda, significa dare la possibilità alle aziende che hanno magari budget non estremamente rilevanti, che non possono costruirsi all'interno un Security Operations Center, un team di cyber security, poter utilizzare i servizi di terzi per proteggersi.
Tuttavia, la capillarità dell'industria italiana rende questo percorso molto lungo, però siamo sulla strada giusta.
Tornando al tema del GCAP, come diceva l'onorevole Bicchielli, NTT DATA in Giappone ha un rapporto consolidato di partnership con Mitsubishi e stiamo lavorando con loro su questi temi da decenni. Lavoriamo anche in Italia con Leonardo. Credo che, mettendo a fattor comune queste esperienze, possiamo sicuramente contribuire a questo tipo di progetto.
Non ne abbiamo parlato, ma NTT DATA lavora anche nel mondo dei data center, è uno dei tre principali costruttori e gestori di data center al mondo, un terzo dei data center che vengono utilizzati dai cosiddetti hyperscaler, quindi Microsoft, Google e Amazon, è progettato, gestito e costruito da NTT DATA.
In questo momento non abbiamo data center in Italia, ma nella roadmap di evoluzione abbiamo un investimento molto importante nei prossimi 3-5 anni, perché riteniamo che l'Italia debba dotarsi di infrastrutture di data center di nuova generazione, per un tema di sostenibilità energeticaPag. 8 e di gestione dell'intelligenza artificiale.
Tutto questo, evidentemente, con l'idea di costruire questi data center da zero, in modo che siano protetti e gestibili in maniera assolutamente sicura, visto che tratteranno dati di sicurezza nazionale. Lo metto a fattor comune, perché è un tema su cui nei prossimi anni investiremo veramente molto.

PRESIDENTE. Grazie.
Se non ci sono altre richieste di intervento, ringrazio i colleghi presenti e i nostri ospiti per le risposte.
Dichiaro quindi conclusa l'audizione.

La seduta termina alle 9.05.