Sulla pubblicità dei lavori:
Ciaburro Monica , Presidente ... 3
INDAGINE CONOSCITIVA SULLA DIFESA CIBERNETICA: NUOVI PROFILI E CRITICITÀ
Audizione di rappresentanti di Samsung Electronics Italia S.p.A.
Ciaburro Monica , Presidente ... 3
Bellorini Nicolò , Vicepresident Head of Business della divisione Mobile eXperience di Samsung Electronics Italia S.p.A ... 3
Ciaburro Monica , Presidente ... 5
Malaguti Mauro (FDI) ... 5
Bellorini Nicolò , Vicepresident Head of Business della divisione Mobile eXperience di Samsung Electronics Italia S.p.A ... 5
Ciaburro Monica , Presidente ... 6
Bellorini Nicolò , Vicepresident Head of Business della divisione Mobile eXperience di Samsung Electronics Italia S.p.A ... 6
Ciaburro Monica , Presidente ... 7
ALLEGATO: presentazione informatica illustrata dai rappresentanti di Samsung Electronics Italia S.p.A. ... 8
Sigle dei gruppi parlamentari:
Fratelli d'Italia: FdI;
Partito Democratico - Italia Democratica e Progressista: PD-IDP;
Lega - Salvini Premier: Lega;
MoVimento 5 Stelle: M5S;
Forza Italia - Berlusconi Presidente - PPE: FI-PPE;
Alleanza Verdi e Sinistra: AVS;
Azione - Popolari europeisti riformatori - Renew Europe: AZ-PER-RE;
Noi Moderati (Noi con l'Italia, Coraggio Italia, UDC e Italia al Centro) - MAIE - Centro Popolare: NM(N-C-U-I)M-CP;
Italia Viva - il Centro - Renew Europe: IV-C-RE;
Misto: Misto;
Misto-Minoranze Linguistiche: Misto-Min.Ling.;
Misto-+Europa: Misto-+E.
PRESIDENZA DELLA VICEPRESIDENTE
MONICA CIABURRO
La seduta comincia alle 9.05.
Sulla pubblicità dei lavori.
PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.
Audizione di rappresentanti di Samsung Electronics Italia S.p.A.
PRESIDENTE. Buongiorno a tutti. L'ordine del giorno reca l'audizione di rappresentanti di Samsung Electronics Italia S.p.A.
Saluto e do il benvenuto a Nicolò Bellorini, Vicepresident Head of Business della divisione Mobile eXperience di Samsung Electronics Italia S.p.A., Paola Brovelli, Vicepresident General Counsel Legal, Compliance and Public Affairs di Samsung Electronics Italia S.p.A., e Nicole Marnini, Public Affairs Supervisor di Samsung Electronics Italia S.p.A.
Do, quindi, la parola ai nostri ospiti.
NICOLÒ BELLORINI, Vicepresident Head of Business della divisione Mobile eXperience di Samsung Electronics Italia S.p.A. Buongiorno a tutti e grazie.
Anzitutto, come si vede nella seconda slide, Samsung è famosa principalmente per i prodotti al consumo, ma in realtà è una multinazionale soprattutto di ricerca, di sviluppo, di manifattura e distribuzione di tecnologie in tutto il mondo.
Il messaggio che vorrei far passare è che, essendo leader sia nei semiconduttori che nell'assemblaggio e produzione di prodotti finiti nell'elettronica di consumo, Samsung nel mondo ha l'intero controllo della supply chain, quindi non ci sono prodotti che siano non controllati dal punto di vista della produzione, della manifattura anche nelle componenti e nella distribuzione in tutti i mercati mondiali, e il controllo della supply chain evidentemente è un elemento importante per la sicurezza informatica, al fine di evitare intrusioni.
La terza slide è un drill down sulla realtà italiana. Samsung Electronics Italia ha aperto nel 1991, quindi si tratta di una lunga storia d'impresa in Italia, è una S.p.A. con un capitale sociale, quindi una posizione fiscale ben chiara in Italia, ha due sedi più un design center, impiega oltre 500 dipendenti direttamente, ma ha un indotto molto più alto, quindi la Samsung è impegnata in Italia con investimenti e sviluppo.
Quali sono le sfide della cyber security? È evidente – quelli contenuti nella quarta slide sono dati di una ricerca di IBM sul mercato americano – che gli attacchi informatici riguardano sempre di più le organizzazioni sia pubbliche che private, nonché la maggior parte dei device connessi, che rappresentano la spina dorsale della produttività delle organizzazioni, e in caso di violazione dei dati ci sono danni materiali molto importanti. Questa è la ragione fondamentale per cui, a livello di Governo e a livello di Difesa, riteniamo necessario un approccio strutturato sull'approvvigionamento di tecnologie.
Come affrontiamo e proponiamo il tema della sicurezza informatica per quanto riguarda tutti i mercati, in particolare quello italiano? Ci sono due pilastri sui quali si basa la nostra proposizione. Il primo, a sinistra nella quinta slide, è un pilastro tecnologico. La Samsung ha sviluppato una Pag. 4piattaforma che si chiama Knox, che sta alla base di tutti i prodotti della Samsung (smartphone, pc, wearables, tablet ma anche tv, monitor, elettrodomestici ed altro) e si basa su un principio: sicurezza by design, infatti la sicurezza informatica passa in primo luogo dall'hardware, e Samsung Knox garantisce delle aree di memoria cifrate su dispositivi, che garantiscono l'inviolabilità dei dati.
Dopodiché ci sono tutti i layer tecnologici sopra l'hardware, quindi kernel, firmware, sistemi operativi e applicazioni, che possono essere protetti da altri prodotti software, ma se l'hardware è vulnerabile, la sicurezza informatica non è garantita.
Knox è una piattaforma in sicurezza, secured by design dall'hardware e anche una piattaforma di gestione, quindi consente a chi deve gestire questa tecnologia di controllare in ogni momento quali dati possono essere usati, trasferiti e da quale applicazione.
C'è poi l'altro pilastro, che è la parte destra della quinta slide e riguarda i valori dell'azienda e del Paese da cui proviene l'azienda. La Samsung è un'azienda sudcoreana, quindi sposa i valori, i principi e la visione strategica dell'Occidente del mondo, dell'Italia, dell'Europa, degli Stati Uniti, del Giappone, e questa affermazione è sostanziata anche da una serie di accordi di cooperazione con la NATO, sia in area di sicurezza informatica, come per esempio l'Accordo di partenariato digitale tra Seul e Bruxelles del 2022, ma anche sullo sviluppo di nuove tecnologie.
Ricordiamoci che la sicurezza informatica, come la sicurezza in generale, è un qualcosa che evolve, quindi bisogna continuare a investire per mantenere protetti i propri ambienti. Sempre nella quinta slide sono elencati alcuni progetti di cooperazione su nuove tecnologie contro il terrorismo, per rilevare esplosivi.
Ovviamente questa nostra impostazione ci ha consentito di avere un alto numero di certificazioni a livello globale sulle agenzie governative e non, in tutti i principali Paesi europei e non, e comunque nelle maggiori economie e mercati, ma anche in Italia abbiamo, per esempio, Knox Manage, che è la piattaforma di gestione di sicurezza, certificata secondo un protocollo con l'Agenzia per la cybersicurezza nazionale (ACN), e collaboriamo ovviamente con Consip da molti anni, con grande soddisfazione, per fornire tecnologia sicura.
Veniamo alla nostra proposizione tecnologica. La missione dei nostri prodotti è soprattutto «mobilità», riteniamo che la mobilità sia alla base dell'incremento di produttività di tutte le organizzazioni private e governative. L'esempio è che tutti noi, nella nostra vita professionale soprattutto, ma anche in quella privata, stiamo diventando estremamente multi devices, perché i task che svolgiamo si svolgono attraverso due o più devices, usiamo lo smartphone e il PC, tablet e il telefono piuttosto che un monitor o un televisore.
Ogni device da un lato ci dà un beneficio a livello di produttività, dall'altro può introdurre un ulteriore elemento di vulnerabilità nell'ecosistema. Ecco perché al centro dell'ottava slide, in cui elenchiamo alcuni esempi di prodotti, c'è lo scudo di Knox, quindi il primo punto è ecosistema di device sicuro.
Il secondo è gestione dei dati, un sistema, una dashboard chiara, accessibile, semplice nella user interface, quindi nell'interfaccia utente dei devices, che consenta di controllare e di avere la sovranità dei dati che si condividono attraverso i device.
Il terzo elemento, che ho già menzionato prima, è una supply chain controllata. Qualunque device venga distribuito sul territorio nazionale italiano è un device che passa attraverso una supply chain del tutto internalizzata e comunque controllata, a partire dalla produzione dei semiconduttori, cioè le memorie, i chipset, gli schermi, le fotocamere sono tutti i prodotti internamente.
Entrando più nello specifico, cosa fa già oggi Samsung per il settore governativo, che in tema di sicurezza informatica ha delle esigenze probabilmente ancora più forti e specifiche? Innanzitutto, nella decima slide possiamo vedere alcuni esempi che possono servire sia da referenza, ma anche da ispirazione per quello che potremmoPag. 5 ulteriormente fare in Italia e in Europa: la collaborazione con l'esercito degli Stati Uniti per il Tactical device, lo smartphone tattico, con protocolli di sicurezza superiori, avendo customizzato il firmware, che si connette con gli equipment dell'esercito in maniera sicura, o i devices nelle auto dei Carabinieri per l'accesso alle banche dati, mentre la polizia australiana usa i nostri device per il servizio di interfaccia con gli utenti sulle strade.
Abbiamo parlato di Polizia, di Carabinieri, tablet rugged, ovvero con requisiti di durevolezza superiori. I tablet rugged sono indistruttibili, si possono utilizzare anche con i guanti, possono resistere alla polvere e a tutte le temperature, quindi indicati per servizi di mobilità sulle macchine della Polizia, dei Carabinieri, ma anche per altri servizi per la pubblica amministrazione, come censimenti o concorsi pubblici.
La cosa importante è quindi avere una collaborazione con la Difesa, che garantisca flessibilità nella soluzione per adattarsi alle esigenze specifiche.
Nella dodicesima slides mostriamo un progetto che stiamo già discutendo con molti Paesi come, ad esempio, gli Stati Uniti, ma c'è una discussione anche in Germania ed è evidente che la situazione attuale dei conflitti, sia in Europa che in Medio Oriente, porta all'attenzione questo tema del device tattico, che in maniera sicura si connette con tutti i sistemi informatici dell'Esercito, anche in mobilità, anche presso i teatri di guerra, in maniera sicura da un punto di vista fisico, ma soprattutto dal punto di vista del firmware.
Samsung è in grado di mettere a disposizione del Governo e della Difesa il firmware dei devices, affinché possa essere customizzato in base a particolari esigenze di sicurezza. Questa flessibilità si chiama custom binary.
Nella tredicesima slide abbiamo sintetizzato dei concetti che ho cercato di esprimere durante questa presentazione. Il primo punto è che tutte le volte che si acquista tecnologia, sia essa device o soluzioni combinate hardware/software, è necessario tenere conto in maniera oggettiva di criteri che garantiscano la cyber security.
Questo si collega al secondo punto: oggi risparmiare qualche euro sull'acquisto di un device, che proviene, probabilmente, da Paesi non tanto amici o da provider che non riescono a garantire una supply chain controllata o la trasparenza in tema di cyber security, potrebbe generare un costo molto superiore nel ciclo di vita del prodotto, quindi bisogna introdurre il concetto di total cost of ownership.
Terzo punto. Samsung e la Corea del Sud sposano i valori dell'Occidente, hanno una visione strategica allineata a quella dell'Europa e degli Stati Uniti, e la dimostrazione è un certo numero di cooperazioni sia con l'Europa che con la NATO.
In ultimo, Samsung è ad oggi l'unico player in ambito mobility globale in grado di sviluppare e personalizzare le soluzioni in base ai principi e alle esigenze di sicurezza informatica nelle comunicazioni del Governo italiano e in particolare della Difesa. Questo elemento di flessibilità e di trasparenza ci rende sostanzialmente unici nel panorama mondiale.
Grazie.
PRESIDENTE. Ringrazio i nostri ospiti per la loro relazione.
Do la parola ai colleghi che desiderano intervenire per porre quesiti o formulare osservazioni.
MAURO MALAGUTI. Grazie, presidente.
Una curiosità. Noi votiamo ancora con la matita e il foglietto di carta. Il fatto di non essere ancora arrivati ad elezioni informatizzate è una questione di costi, di organizzazione o anche di sicurezza?
NICOLÒ BELLORINI, Vicepresident Head of Business della divisione Mobile eXperience di Samsung Electronics Italia S.p.A. Per quanto ci riguarda, da un punto di vista puramente tecnologico non ci sono problemi, non è un tema di sicurezza informatica, a patto che la soluzione informatica venga sviluppata e gestita in maniera sicura, quindi utilizzando hardware e soluzioni software certificate e sicure, di provenienza sicura e anche con un modello di gestione trasparente.Pag. 6
Dopodiché è evidente che è una decisione che verrà presa su un altro livello, non solo da un punto di vista tecnologico, ma per quello che compete a noi, e sono le nostre sfere di competenza da un punto di vista di vista puramente tecnologico, la sicurezza può e deve essere garantita anche in caso di un processo totalmente digitale.
Ad oggi, gestiamo già molti processi critici, in cui le comunicazioni evidentemente debbono essere messe in sicurezza. Pensiamo, per esempio, ai censimenti Istat, in cui si raccolgono informazioni che non possono essere violate, e a tutte le comunicazioni che avvengono sulle auto dei Carabinieri, della Polizia o anche in missioni critiche dell'Esercito, quindi evidentemente la capacità di rendere la comunicazione e il trasferimento dei dati sicuri esiste.
PRESIDENTE. Grazie. Vorrei porre anch'io una domanda.
La supply chain garantisce il controllo di materie prime, ideazione, produzione e distribuzione. Da qualche anno, soprattutto dal post pandemia, assistiamo a un'evoluzione incredibile di porte di accesso di device da parte sia del cittadino comune, sia di tutte le pubbliche amministrazioni, perché c'è stata un'accelerazione importante rispetto alla digitalizzazione dei processi, e mi viene da pensare che tra poco entreremo anche nello stato civile, che rimane di accesso diretto dal cittadino, piuttosto che altri servizi che già stiamo fornendo, oltre a videosorveglianza, lettura, targhe, tutti sistemi molto utili per una serie di valutazioni o interventi per la sicurezza, il controllo del territorio o per rendere servizi, ma molto vulnerabili, perché ognuno si è mosso a seconda di cosa aveva a disposizione, dei prodotti che trovava con aziende locali e di prossimità.
È immaginabile pensare ad uno strumento che intervenga post installazione di software, hardware e infrastrutture, per mettere in sicurezza tutta l'Italia, attraverso queste piccole porte rappresentate da grandi, ma anche piccoli, Comuni che spesso sono anche sui confini nazionali e quindi sono ancora più facili bersagli?
Nel caso in cui fosse possibile, di cosa abbiamo bisogno e se voi, al di là della possibilità di immaginare una soluzione, anche sotto il profilo della realizzazione delle materie prime, abbiate una forza interna o vi siano situazioni che si devono ancora creare a livello di filiere e catene di approvvigionamento, possibilmente in Italia, in modo da essere più seguite e controllate.
NICOLÒ BELLORINI, Vicepresident Head of Business della divisione Mobile eXperience di Samsung Electronics Italia S.p.A. Grazie per la domanda. L'argomento è estremamente ampio, perché le vulnerabilità possono arrivare da qualunque parte.
Non so se la domanda si riferisse più al cittadino o all'utilizzo corporate o business. Per quanto concerne il cittadino, ovviamente dipende anche dai comportamenti, ma in ogni caso, il requisito fondamentale è avere dei criteri di approvvigionamento della tecnologia che tengano conto della vulnerabilità informatica dello strumento e non solo del prezzo. Questa è la prima cosa, cioè non solo, perché ovviamente il prezzo è importante, ma è il costo che va considerato, non il prezzo, il costo della gestione del device telefonico, non il suo prezzo al momento dell'acquisto.
La seconda cosa è sapere di chi ci si può fidare. Avere una supply chain totalmente controllata e la trasparenza nelle relazioni di fornitura è un altro elemento fondamentale, dopodiché è chiaro che si possono mettere in piedi dei servizi di supporto, per esempio, alle amministrazioni locali, che evidentemente non hanno tutte le competenze, affinché questa tecnologia possa essere gestita in maniera sicura.
Faccio un esempio. Nel comportamento quotidiano delle persone che utilizzano smartphone o tablet, c'è l'installazione di applicazioni e non è detto che uno sappia ex ante se quello che sta installando è sicuro o no, quindi cosa deve fare la tecnologia? La tecnologia deve permettere di poter accedere a tutte le autorizzazioni che uno ha dato anche in passato in qualunque momento in maniera semplice e chiara, e controllare se quell'autorizzazione sia ancora valida oppure debba essere revocata.
Oggi, nel nostro uso quotidiano, siamo in grado di revocare autorizzazioni che Pag. 7abbiamo dato magari anni fa, sulla interfaccia utente dei nostri smartphone. Questa operazione è semplice, quindi il tema è insegnare un'operazione semplice invece che un'operazione molto complessa. C'è quindi un elemento di prevenzione importantissimo, più infrastrutturale e architetturale, quindi scegliere il provider affidabile e scegliere una soluzione intrinsecamente sicura, e c'è un tema anche di supporto dell'utente finale, sia esso un'amministrazione locale o centrale, nel gestire il trattamento dei dati in maniera più sicura possibile.
PRESIDENTE. Grazie molte. Se non ci sono altre richieste di intervento, ringrazio i colleghi presenti e i nostri ospiti, anche per la presentazione informatica che ci avete illustrato (vedi allegato), di cui autorizzo la pubblicazione in allegato al resoconto stenografico della seduta odierna.
Dichiaro quindi conclusa l'audizione.
La seduta termina alle 9.30.
Pag. 8ALLEGATO
1
Pag. 9
2
Pag. 10
3
Pag. 11
4
Pag. 12
5
Pag. 13
6
Pag. 14
7
Pag. 15
8
Pag. 16
9
Pag. 17
10
Pag. 18
11
Pag. 19
12
Pag. 20
13
Pag. 21
14