PRESIDENZA DELLA VICEPRESIDENTE
MONICA CIABURRO

La seduta comincia alle 13.45.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione di rappresentanti di MERIDIAN Group.

PRESIDENTE. L'ordine del giorno reca l'audizione di rappresentanti di Meridian Group.
Do il benvenuto ad Alessandro Moretti, Presidente di Meridian Group, Andrea Purificato, Vicedirettore di Meridian Group, e Aldo Carabellese, Direttore dei servizi e delle operazioni internazionali di Meridian Group.
Do quindi la parola ai nostri ospiti.

ALESSANDRO MORETTI, Presidente di Meridian Group. Grazie, presidente, grazie a tutti voi per questa opportunità e per il tempo che ci dedicate.
Noi siamo Meridian Group, un'azienda italiana che si occupa di IT da circa 10 anni, con una verticalizzazione sui servizi di cyber security e di cyber intelligence, tema abbastanza centrale in questo periodo.
Recepiamo il testo di legge in modo estremamente positivo, perché partiamo dal presupposto che una legge, al di là di normare, indirizzare e regolare, debba fare anche cultura, quindi qualunque sia l'elemento che accende l'attenzione su un mondo che negli anni passati è stato un pochino sottovalutato è un elemento importante, soprattutto per noi operatori del settore che vediamo l'insidia che può portare la sottovalutazione di certi fenomeni, dalla vita comune agli ambiti della sicurezza nazionale e militari.
Quando si va a identificare la vulnerabilità di un Paese – mentre prima si analizzavano le infrastrutture critiche, i trasporti, le reti energetiche – oggi uno degli elementi fondamentali che viene attenzionato è proprio la capacità di difesa cibernetica. Questo pone un tema importante, a nostro avviso, che, al di là delle norme, sono le posture che si assumono, nel senso che le risorse che vanno messe in campo sono importanti, dovendo esserlo poiché altrimenti si lasciano dei livelli di vulnerabilità all'interno del sistema Paese.
Questo è un tema che apre indubbiamente una ragnatela di domande, alle quali prima o poi bisognerà cominciare pian piano a dare delle risposte. Noi, che abbiamo deciso di operare in questo Paese, di investire in questo Paese, di credere che in questo Paese si possa fare impresa sulle nuove tecnologie e anche su aree come quelle della cyber intelligence, possiamo dire che abbiamo in Italia tutto quello che ci serve. Abbiamo le competenze, abbiamo le tecnologie, siamo in grado di confrontarci con qualunque realtà, europea e mondiale.
È chiaro che, soprattutto per quanto riguarda il settore pubblico, va fatto anche un investimento a livello di competenze e di capacità di intercettare i rischi e le contromisure, perché non è sempre con i soldi che si risolve il problema, ma si risolve maggiormente con la progettualità.
Come settore privato (parlo a nome di Meridian Group, ma credo di poter parlare Pag. 4anche a nome di tante altre aziende italiane che operano nel nostro settore) siamo assolutamente disponibili e pronti a collaborare con le Istituzioni, perché questo è un tema che, al di là del business che si fa nel mondo corporate, sentiamo la responsabilità di dire che siamo a fianco del Paese e, se serve, noi ci siamo come supporto, competenze, soluzioni e prodotti.

ANDREA PURIFICATO, Vicedirettore generale di Meridian Group. Grazie.
Come Meridian Group teniamo molto al fatto di essere 100 per cento italiani con tecnologie italiane sviluppate interamente da noi. In particolare, offriamo una piattaforma dedicata alla cyber intelligence, utilizzata dagli stessi analisti che operano per i nostri clienti.
Come Meridian abbiamo scelto di raccogliere il maggior numero di competenze possibili, derivanti da diversi settori, perché siamo consapevoli che la cyber security non è un argomento che può essere affrontato solo dal punto di vista tecnologico, ma richiede un'eterogeneità di conoscenze e di competenze che possono essere apportate da diversi ambiti.
Provengo da un passato tecnico nella offensive security, abbiamo coinvolto figure di spicco che provengono da ambiti affini, per creare un ecosistema che sia in grado di generare un valore anche creativo nel ragionare su come far evolvere gli aspetti della cyber security e come approcciarli in modo moderno e attuale, poiché purtroppo spesso gli attori criminali sono molto più avanti, specialmente nell'ambito delle campagne sponsorizzate da Stati stranieri, e che, quindi, possono attingere a risorse molto importanti. Spesso si trovano più avanti rispetto a chi è chiamato a contrastare determinati tipi di azione.
Per questo motivo avevamo pensato di portare alla vostra attenzione quattro macro temi che potrebbero migliorare l'approccio della cyber security a livello nazionale, innanzitutto l'importanza della formazione, perché, come già sottolineato in precedenza, oggi è fondamentale prevedere dei corsi di formazione professionale per i lavoratori a vari livelli, insieme a iniziative di sensibilizzazione pubblica, per accrescere la consapevolezza collettiva sulle buone pratiche di sicurezza, perché la cyber security non è appannaggio solamente dei tecnici o degli esperti del settore, ma tutti siamo quotidianamente coinvolti come cittadini in prima persona.
Come potremmo migliorare questo aspetto legato alla formazione? Sarebbe possibile pensare a dei finanziamenti diretti o a degli incentivi fiscali per sostenere dei programmi formativi e delle iniziative di sensibilizzazione legate alla sicurezza informatica, sia per gli Enti pubblici che per gli enti privati. Come Meridian puntiamo molto sulla formazione e sull'aumento della consapevolezza dei soggetti pubblici e privati.
Allo stesso modo, sarebbe utile garantire un accesso alle risorse e agli strumenti per la sicurezza informatica alle pubbliche amministrazioni e alle piccole e medie imprese, che spesso non hanno le risorse per poter accedere a soluzioni ad oggi molto costose. Quindi questo approccio a sostegno di una postura migliore in ambito cyber potrebbe andare a beneficio dell'intera collettività. Infine, campagne informative ed educative che riguardino soprattutto iniziative per educare e comprendere quali sono i rischi.
Un altro tema che ci sta molto a cuore è quello della gestione in caso di operatività in ambito di incidenti di sicurezza. Ci troviamo tutti i giorni a dover gestire, collaborare o supportare aziende private ed enti pubblici nel reagire a incidenti di sicurezza. Potrebbe essere utile sviluppare migliori protocolli, che siano più chiari e aderiscano al quadro giuridico attuale, perché spesso le azioni difensive necessarie per individuare e mitigare gli attacchi potrebbero essere soggette a interpretazioni erronee e portare anche a violazioni delle normative, quindi è un contesto abbastanza delicato che trarrebbe giovamento da una migliore definizione e una più chiara interpretazione.
Parliamo delle piattaforme di cyber intelligence e dell'accesso a fonti CLOSINT (Close Source Intelligence), cioè quelle fonti chiuse e ristrette che richiedono azioni particolari per essere collezionate.Pag. 5
Tutte le informazioni che derivano da questo tipo di contesto sono oggi indispensabili ed essenziali per garantire la reattività in tempi ragionevoli, soprattutto in caso di incidenti informatici, quindi per scongiurare la possibilità per gli operatori di incorrere in reati, e pertanto una maggiore chiarezza e la precisa definizione di alcuni contesti potrebbero sicuramente aiutare.
Sarebbe utile introdurre programmi di bug bounty nazionali, esponendo infrastrutture pubbliche e private all'analisi di terzi che vogliano partecipare a queste campagne per aiutare ad identificare eventuali vulnerabilità, perché oggi, specialmente in Italia, riscontriamo spesso la volontà da parte di soggetti privati di collaborare, dando una mano nella scoperta di vulnerabilità su piattaforme pubbliche, ma questi soggetti, spesso molto giovani, volenterosi e curiosi di intraprendere la professione, non si rendono conto di incappare in reati o infrangere la legge.
Potrebbe essere interessante, quindi, proporre delle campagne nelle quali mettere a disposizione il Codice delle infrastrutture o dei software dell'amministrazione pubblica, per garantire una serie di regole d'ingaggio chiare e aperte alla partecipazione di tutti.

ALESSANDRO MORETTI, Presidente di Meridian Group. Aggiungo soltanto due aspetti.
A volte si cita come canzone, altre come un detto cinese, «possiate vivere in tempi interessanti». Diciamo che noi viviamo in tempi estremamente interessanti, da questo punto di vista non ci siamo fatti mancare niente. Siamo in un periodo particolare della nostra storia e questo è un tema estremamente delicato, perché ognuno di noi in realtà è una backdoor, tramite un telefonino, o un computer.
I dati sono il petrolio di questo secolo. Le informazioni, i dati, quello che viene prelevato e venduto, la nostra vita, le nostre informazioni, cosa mangiamo, cosa compriamo, dove ci piace andare in vacanza, oggi è un elemento, che – al di là dei termini di sicurezza del Paese, chiaramente è fondamentale – impatta sulle nostre vite.
Da qui il discorso della divulgazione e dell'informazione anche nelle scuole, perché tutti abbiamo figli, che però tendenzialmente hanno strumenti tecnologici in mano da quando sono estremamente giovani, hanno una facilità di accesso a siti e a caricare informazioni estremamente veloce, intuitiva, perché questi modelli sono fatti per essere intuitivi.
Il tema è complesso, per questo dicevo che c'è una ragnatela di domande alle quali pian piano bisogna dare risposta, non si possono dare tutte insieme, ovviamente, perché è impossibile per chiunque, però indubbiamente vanno messe in fila.
Ci impegniamo molto nella formazione, ci chiamano a farlo anche dalla Francia. L'EDHEC, che è la quarta Business School al mondo, ci chiama per fare formazione e corsi ai suoi studenti, e lo facciamo anche a titolo gratuito.
Credo che si possano trovare tante forme per fare cultura, non tanto comunicazione, perché la comunicazione è una cosa che si dimentica facilmente, invece quando si fa comunicazione per fare cultura e per lanciare un messaggio permanente è un altro tipo di lavoro, sicuramente più complesso, però sarà la sfida dei prossimi anni, almeno dal punto di vista della cyber security.
Grazie.

ANDREA PURIFICATO, Vicedirettore generale di Meridian Group. Considerando la necessità di aggregare il più possibile competenze e gruppi di lavoro, poiché sappiamo che la cyber security coinvolge e impatta ambiti non necessariamente tecnici, un'ulteriore proposta che avanziamo è quella di lavorare il più possibile creando gruppi di lavoro nazionali dedicati alla prevenzione e alla sicurezza informatica in ambito cibernetico, con la partecipazione attiva di piccole e medie imprese, che spesso, purtroppo, non avendo rilevanza non riescono a partecipare a determinate iniziative.
Il nostro obiettivo principale è promuovere la collaborazione interdisciplinare, quindi proponiamo di definire meglio i potenziali profili di formazione per il personale dedicato a intervenire negli ambiti Pag. 6della cyber security, coinvolgendo tutti gli aspetti giuridici. Potrebbe essere utile sviluppare delle piattaforme per la partecipazione attiva di soggetti privati, istituzioni pubbliche, professionisti per poter arricchire, anche dal punto di vista formativo, ambiti non strettamente affini alla normale operatività del professionista o del soggetto che partecipa, quindi creare un ambiente nazionale dedicato al rafforzamento della sicurezza informatica, in cui poter scambiare informazioni che possano circolare liberamente e far sì che sia possibile adottare le migliori pratiche, tenendo conto di tanti aspetti, perché spesso il professionista conosce bene l'ambito tecnico di propria competenza, ma non conosce il contesto in cui quella competenza deve essere applicata.
Far partecipare anche le imprese e le pubbliche amministrazioni a un progetto del genere consente di sviluppare strategie coordinate, che sicuramente aiutano a rafforzare non solo la risposta. Infatti, come Meridian teniamo a sottolineare che spesso si parla di cyber security pensando a qualcosa di reattivo, ma purtroppo i tempi in cui viviamo non consentono più di attendere che succeda qualcosa, ma bisogna imparare ad essere il più possibile proattivi, motivo per il quale il nostro focus principale è quello della cyber intelligence, perché cerchiamo di far evolvere il concetto della cyber security verso un qualcosa che non sia solo reattivo quando l'incidente succede, ma sia in grado anche di intercettarlo, monitorando quello che succede fuori del contesto specifico che potrebbe subire un attacco.
Possiamo pensare alle infrastrutture critiche nazionali o a qualsiasi altro contesto di rilevanza similare, in cui monitorare o comunque aggiungere quel tipo di informazione che consenta di approcciare l'eventuale minaccia prima che questa arrechi un danno un attacco per noi diviene fondamentale. Per questo motivo la collaborazione eterogenea di tutti i soggetti è prioritaria.

ALDO CARABELLESE, Direttore generale di Meridian Group. Ringrazio la presidente e gli onorevoli deputati.
Vorrei soffermarmi solo su alcuni dati, che immagino siano noti alla Commissione. Noi siamo lo 0,7 per cento della popolazione mondiale, il 2 per cento circa del PIL, subiamo circa il 10 per cento degli attacchi. Questo vuol dire che questa onorevole Commissione ha una grande responsabilità nel perimetro di difesa del nostro Paese, quindi, come dicevano i colleghi Moretti e Purificato, Meridian Group vuole essere al fianco delle istituzioni nel rafforzare e rialzare questo perimetro di sicurezza.
Noi abbiamo una preoccupazione rispetto alle risorse anche finanziarie. Sono stati stanziati 45 miliardi nel PNRR, ma vi è la necessità, ovviamente, di un'ulteriore dotazione per gli anni futuri perché, nonostante gli impegni, siamo riusciti a malapena a circoscrivere il livello degli attacchi.
In questo momento, l'84 per cento degli attacchi è per cyber crime, il 6 per cento sono veri e propri attacchi di spionaggio, il 2 rappresenta un reale, elevato rischio per la difesa nazionale.
Noi abbiamo un tipo di specializzazione, attraverso la nostra capacità tecnica, ma soprattutto human; abbiamo puntato molto sulle giovani risorse umane che questo Paese ha formato nel corso degli ultimi anni e vogliamo metterle a disposizione del sistema Paese per elevare questo perimetro di difesa e migliorare questi dati rispetto all'attacco.
Vi ringrazio molto per l'attenzione.

PRESIDENTE. Ringrazio i nostri ospiti per la loro relazione.
Do la parola ai colleghi che desiderano intervenire per porre quesiti o formulare osservazioni.

ROBERTO BAGNASCO. Ringrazio gli auditi per gli interventi esaustivi e precisi, che ci hanno fatto nascere quella che non è una curiosità, ma forse è qualcosa di più. Le vostre dimensioni: quanti siete, chi siete? Siamo curiosi.

ALESSANDRO MORETTI, Presidente di Meridian Group. Siamo una piccola azienda italiana, poco più di 30 persone, la proprietà è italiana, con tutti soci italiani. Pag. 7Abbiamo un team, composto in parte di ragazzi, analisti, che si occupa sia della parte geopolitica e di crimine fisico sia di quella di cyber crime. Nel mondo reale tra cyber criminale e criminale reale non c'è tanta differenza: prendo una cosa perché voglio fare estorsione, prendo una cosa perché la voglio ricettare, prendo i dati per andare a rivenderli. Quindi, lo schema di ragionamento è che si agisce su una «superficie». Se pensiamo che qualche anno fa l'MIT di Boston ha identificato la superficie dell'internet non visto come tre volte maggiore di quello che noi vediamo, questo ci deve far capire quale immenso mare e quale capacità può avere un criminale cibernetico di muoversi in un mondo senza confini, perché è impossibile delimitarlo.
Siamo un gruppo di persone che ha investito in questa attività, che si è verticalizzati tantissimo, che ci ha investito tante risorse proprie, che lavora. Abbiamo una buona reputazione fuori dal Paese, perché facciamo una cosa e cerchiamo di farla bene, non ne facciamo migliaia.
Siamo fieri di essere italiani, siamo contenti di stare qui, abbiamo avuto la possibilità di investire anche all'estero, a condizioni sicuramente migliori, però la sfida è vincere la partita qui, non andare in trasferta.
Per noi è importante continuare a lavorare, a investire. Lavoriamo sui giovani, li formiamo, ce li portiamo in casa, investiamo sui giovani, anche su figure senior, come il dottor Purificato, che hanno una storia importante nel mondo della cyber security o il nostro direttore generale Pietro Di Maria, Emanuele De Lucia, Ferruccio Vitale, nostri dirigenti che nell'ambito della cyber security sono noti.
Con loro lavorano tanti giovani che hanno voglia di crescere e di mettersi in discussione in un territorio anche inesplorato, perché non è facile entrarvi, però noi li abbiamo fatti appassionare modificando il teorema, nel senso che cerchiamo di individuare la minaccia prima che si manifesti.
Contiamo sulla nostra competenza, flessibilità, capacità di adattarci ed avere un prodotto nostro, cioè noi non abbiamo bisogno di negoziare con nessun altro, non rivendiamo prodotti americani, israeliani o di qualunque altro Paese, che sono quelli che vanno per la maggiore nella cyber security. Noi abbiamo sviluppato una piattaforma nostra, abbiamo competenza, abbiamo passione, ma siamo soprattutto flessibili, siamo taylor made, quindi quando veniamo presso un'organizzazione complessa, che sia un'azienda o un ente pubblico, non andiamo a imporre un modello, ma ci disegniamo sui modelli che hanno e cerchiamo di perfezionarli e metterli in protezione, perché possiamo farlo, perché siamo proprietari della tecnologia, la plasmiamo noi.
Questa è la nostra chiave per poter competere. Altre non ne abbiamo, se non la nostra creatività e l'entusiasmo.

PRESIDENTE. Vi ringrazio.
Se non ci sono altre richieste di intervento, ringrazio i colleghi presenti e i nostri ospiti per le risposte.
Dichiaro quindi conclusa l'audizione.

La seduta termina alle 14.10.