PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.35.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata mediante la resocontazione stenografica.
In deroga all'ordinario regime di pubblicità delle audizioni formali, su richiesta di Poste Italiane, che i Gruppi, da me consultati, hanno ritenuto di accogliere, non sarà invece attivata la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione di rappresentanti di Poste italiane.

PRESIDENTE. L'ordine del giorno reca l'audizione dei rappresentanti di Poste Italiane S.p.A. nell'ambito dell'indagine conoscitiva sulla difesa cibernetica: nuovi profili e criticità.
Saluto e do il benvenuto al dottor Nicola Sotira, responsabile CERT in ambito tutela aziendale Poste Italiane, accompagnato dall'avvocato Luigi Antonio Madeo, relazioni istituzionali e responsabile rapporti con le istituzioni centrali e locali di Poste Italiane, che ringrazio per aver accettato il nostro invito.
Do subito la parola ai nostri ospiti per il loro intervento.

NICOLA SOTIRA, Responsabile CERT in ambito Tutela Aziendale di Poste Italiane. Innanzitutto vi ringrazio. Buongiorno.
Nella presentazione che abbiamo preparato ho messo insieme qualche numero. Come anticipato, mi chiamo Nicola Sotira e sono il responsabile del CERT (Computer Emergency Response Team) e delle security operation del gruppo Poste Italiane.
La funzione di tutela aziendale, che risponde al vertice dell'azienda, ha sostanzialmente una unità, il Computer Emergency Response Team, che si occupa del tema delle operation, quindi delle unità di assalto, nonché dei penetration test, dei vulnerability assessment e di tutte le attività di monitoraggio del perimetro cibernetico (h-24, 365 giorni all'anno). Già dal 2017, l'azienda ha impiegato questa unità in attività di verifica continuativa. Abbiamo, poi, una divisione che si occupa della parte di governance e policy, infatti, nel campo finanziario, la DORA (Digital Operational Resilience Act) ha introdotto questo tipo di separazione, ma l'azienda è già strutturata in questo senso. Esiste, anche, un'unità di privacy, che presiede tutta la data governance e la compliance verso il GDPR. In questo momento è anche la divisione che si sta occupando di regolare all'interno dell'azienda la normativa dell'AI Act.
Abbiamo poi una separazione tra unità. Infatti, ad esempio, la sicurezza non sta nell'IT, in modo da evitare potenziali conflitti.
L'IT al suo interno ha un'unità di primo livello. Inoltre, stiamo spostando alcune parti di security già nelle fabbriche. La fabbrica deve rilasciare un prodotto sicuro, quindi software e infrastrutture, anche per snellire e agevolare la sicurezza.
Ancora, abbiamo le security operation center, il security assessment di primo livello e il NOC (Network Operations Center), che presiede tutte le attività di networkingPag. 4 in modo da garantire la disponibilità dei servizi h-24.
Poste Italiane ha molti business. Chi si occupa di sicurezza nel gruppo Poste Italiane, in ragione dei molti servizi offerti, tocca trasversalmente tutte le normative.
Per la security si aggiunge anche il problema che, quando parliamo di monitoraggio, ci si confronta con 2.4 milioni di transazioni giornaliere; il che vuol dire controllare milioni di eventi al giorno.
Ovviamente, la policy si basa su una strategia. Abbiamo una documentazione che regolamenta tutta la strategia di resilienza e operatività digitale, un testo unico che regola la sicurezza informatica e un modello di information security governance che governa praticamente tutte le attività afferenti a quello che è il tema di sicurezza cyber nel gruppo Poste Italiane.
Parlo di gruppo perché sicurezza e IT sono concentrati nella azienda Poste Italiane. A eccezione di qualche società del gruppo che stiamo finendo di integrare, l'obiettivo è centralizzare tutto verso Poste Italiane, la quale poi eroga i servizi verso le società che si occupano dell'assicurativo, del finanziario e della logistica.
Nell'unità del CERT abbiamo attivato da anni la condivisione delle informazioni. Infatti, scambiamo informazioni con Forze dell'ordine, con altre banche nel settore finanziario e con l'Agenzia per la Cybersicurezza Nazionale (ACN).
Quando si scopre come un attaccante si muove, cerchiamo di condividere queste informazioni in tutto il network, in modo da fare prevenzione. Quello che abbiamo fatto negli anni è spostare molte attività sulla prevenzione, oltre al fatto di dover intervenire quando c'è un problema.
Abbiamo corretto, sulla parte pubblica, oltre 30 mila vulnerabilità. Infatti, per essere il più possibile resilienti occorre essere veloci e capaci di rimediare in fretta alle vulnerabilità.
Per quanto riguarda l'incident abbiamo centralizzato tutto. Il nostro modello prevede che tutta la parte di gestione degli incidenti venga fatta in maniera centralizzata. Quando parliamo di eventi di sicurezza non ci riferiamo agli «incidenti». L'incidente si ha quando attaccano e riescono a prendere il bersaglio, quindi a quel punto bisogna rimediare. L'evento è un tentativo di attacco che, invece, è stato sventato.
Nel 2023 vi sono stati circa 1,3 milioni di tentativi di attacco. Ad esempio, alcuni giorni fa il nostro sito è stato oggetto di un'azione di scansione di ricognizione. Uno Stato straniero – non ancora identificabile – ha fatto delle scansioni per cercare di capire lo stato delle risorse. Tale azione è stata identificata e bloccata. Chiaramente, adesso stiamo lavorando per cercare di capire a chi si possa attribuire questa attività, tuttavia, l'attribuzione è un'attività complicata.
Ci sono, poi, tutte le attività di brand protection, quindi tutte le attività che servono a far sì che i cittadini non finiscano in frodi. Partono, magari, come eventi di cyber sicurezza e spesso finiscono in frode. Noi collaboriamo moltissimo con il Dipartimento antifrode di Poste Italiane. La frode e la cyber sono spesso legate da un filo sottile. Nel mondo dei market store sono state rimosse 319 App, il che vuol dire che sono state individuate 319 App che sembravano quelle di Poste Italiane allo scopo di trarre in inganno il cittadino, che le avrebbe utilizzate pensando che fosse una App lecita, portando invece sul proprio telefonino un grosso problema. Questa attività di «spazzolamento» dei market store viene fatta di continuo, in modo da individuare quelle più pericolose, per poi passare alla rimozione. Vi è poi un problema legato ai Paesi in cui non si può effettuare tale rimozione e in cui agiamo in altri modi. In ogni caso, questa è un'attività di presidio costante.
Quando si parla di security by design che cosa vuol dire? Vuol dire che ogni volta che viene rilasciata una nuova iniziativa di business e c'è uno sviluppo software viene fatta l'analisi del codice, tutte attività che servono a mettere in linea il software affinché sia il più possibile sicuro (by design).
Abbiamo anche fatto delle esercitazioni. Infatti, va bene fare politiche, policy, documenti che spiegano come si deve lavorare per garantire la sicurezza, come si deve Pag. 5gestire un incidente. Il problema è che se non si prova, diventa difficile tradurre quella carta in un comportamento. Abbiamo cominciato a fare delle esercitazioni trimestrali. In cosa consistono queste esercitazioni? Si simula un incidente cyber, dopodiché tutti devono lavorare sulla nostra piattaforma come se ci fosse un incidente vero. Noi, poi, andiamo a misurare la differenza tra quello che abbiamo pubblicato nelle policy e il comportamento dell'organizzazione, in modo da fare un continuous improvement della nostra postura. Ogni trimestre vengono anche lanciate delle campagne di simulazione di phishing verso i nostri dipendenti. Interessano tutti i dipendenti digitali, quindi oltre 60 mila persone. I nostri dipendenti sanno che ogni trimestre arriva una mail e che, se cliccano e sbagliano, vengono obbligati a seguire un corso. Questa è un'attività che, ormai dal 2017, viene fatta di continuo e ha portato i suoi risultati. Siamo scesi a rate molto bassi di gente che viene ingannata.
In questi anni, quello che abbiamo fatto e le tre parole su cui ci siamo mossi sono: automazione, integrazione e conformità. Quando si monitorano 4-5-6 milioni di eventi al giorno è evidente che pensare di avere persone che li controllano, diventa complicato. Oggi il monitoraggio, per oltre il 50 per cento del volume complessivo, viene fatto da macchine: protocolli machine to machine (M2M). Abbiamo adottato già dal 2017-2018 modelli di machine learning.
L'automazione ha permesso di aumentare il numero di eventi nel perimetro che controlliamo del +170 per cento. Con riferimento all'identificazione, invece, siamo ad un +273 per cento.
Fare esercitazioni trimestrali di phishing vuol dire far scendere il tasso degli utenti che non riconosce la mail e, infatti, in questo senso abbiamo riscontrato una diminuzione di questi incidenti del 38 per cento.
Abbiamo lavorato tantissimo anche sulla vulnerabilità. Il problema è che i numeri sono talmente grandi che quello che abbiamo fatto è lavorare con l'intelligenza artificiale ad algoritmi di prioritizzazione. La Difesa sta cominciando a orientarsi su quello che è veramente critico. I pillar in questo ambito sono: analisi del rischio, e prioritizzazione rispetto al contesto, in modo da concentrare gli sforzi su quello che è effettivamente critico.
Abbiamo un dashboard disponibile che dà una visione di quello che succede in real time. Chiunque, tra i vertici aziendali, può avere una rappresentazione di quello che sta succedendo. Questo ci ha permesso anche di illustrare al vertice, in maniera chiara, come si sta lavorando, qual è la postura, l'andamento della sicurezza in real time o quasi in real time. Quello che abbiamo cercato di fare è non fornire fotografie statiche di quello che succede, proprio perché è un ambiente dinamico, che cambia in continuazione.
Per farvi un esempio, è come se per valutare lo stato di salute di una società mi basassi sul bilancio, che tuttavia è una rappresentazione statica dell'anno precedente. Se in un anno cambiano le cose e voglio sapere la sua situazione economica, molto probabilmente devo fare un'analisi su un bilancio aggiornato per capire com'è lo stato di quella società. Qui il concetto è uguale. Se qualcuno vuole capire come è lo stato del rischio, l'analisi di vulnerabilità, qual è la postura dinamica rispetto agli eventi cyber, apre queste dashboard, che sono a disposizione del nostro management e delle società del gruppo, e vede in real time la figura dinamica di rischio.
Grazie.

PRESIDENTE. Ringrazio il nostro ospite per la relazione.
Do la parola ai colleghi che desiderano intervenire per porre quesiti o formulare osservazioni.

PINO BICCHIELLI. Signor presidente, ringrazio per la relazione esaustiva e preziosa per il nostro lavoro. Presidente, mi consenta di dire che, poiché uno dei temi che abbiamo affrontato durante queste audizioni è il tema culturale, troppe volte c'è la mancanza di cultura di protezione del dato digitale.
Facciamo sempre l'esempio che tutti abbiamo una cassaforte a casa, magari vuota, Pag. 6e poi invece il telefonino, nel quale sono contenuti non solo i dati, ma anche molte volte le risorse, è abbandonato su una scrivania a disposizione di tutti.
C'è un aspetto che mi interessa capire, che non ho ben compreso dalla relazione. Voi siete l'azienda per eccellenza vittima di un attacco criminale, perché toccate tutti i servizi digitali che sono obiettivi dei cyber criminali. Sicuramente vi devo fare i complimenti perché le azioni di formazione vera e propria sono molto all'avanguardia. Il phishing è l'attacco cyber che va a colpire il cittadino direttamente e voi avete una tale dimensione e una tale diffusione per cui c'è ogni tipo di cittadino tra i vostri clienti. Non ho capito se, poi, le vittime reali del phishing finale sono meno del 38 per cento – sarebbe un numero elevatissimo – e soprattutto cosa succede a una vittima, visto che voi siete un'azienda comunque partecipata dal MEF, un'azienda pubblica. A un cliente vittima del phishing, che perde le sue risorse, che succede? C'è una garanzia da parte dell'azienda, ci sono assicurazioni che gli garantiscono di recuperare le cifre perse? Un pensionato potrebbe trovarsi dalla mattina alla sera il conto svuotato perché ha abboccato a un phishing malevole.
Grazie.

PRESIDENTE. Grazie, onorevole Bicchielli. Prego, dottor Sotira.

NICOLA SOTIRA, Responsabile CERT in ambito Tutela Aziendale di Poste Italiane. Innanzitutto distinguiamo. Quando parlavo di esercitazioni, chiaramente le esercitazioni le possiamo fare in un contesto interno; quindi, queste esercitazioni, e il numero cui lei faceva riferimento, si riferiscono ai nostri dipendenti, che comunque sono oltre 60.000 dipendenti digitali, cioè persone che lavorano tutti i giorni con una email. Perché cerchiamo di tutelarci anche rispetto ai dipendenti? Avendo un perimetro così largo, è chiaro che uno dei primi attacchi è proprio verso i nostri dipendenti, attacchi cyber che finiscono in truffa verso i nostri dipendenti. Quindi, abbiamo addestrato i nostri dipendenti e messo anche misure tecnologiche. Da un lato, quindi, si interviene con la cultura, ma poi ci sono anche misure tecnologiche.
Il nostro dipendente, anche se «casca» in un'operazione di phishing, ha poi una multi-factor authentication che gli garantisce anche un monitoraggio continuo di anomaly behaviour, cioè controlliamo anche anomalie nel comportamento. Questo serve a tutelare rispetto al fatto che, anche se il phishing fosse fatto benissimo, e questo dipendente «casca» in questo tipo di attacco, vi sono altre misure tecnologiche che fanno da «salvagente».
Per le utenze, quindi i nostri clienti, abbiamo un programma di awareness continuo e sul sito internet poste.it esiste una sezione in cui si spiega come proteggersi, perché ovviamente cerchiamo di includere tutti nella digitalizzazione. Abbiamo anche un media, TgPoste, in cui ieri, per esempio, spiegavamo proprio come difendersi da una nuova truffa sulla segreteria telefonica. Quando noi scopriamo che c'è un nuovo tipo di attacco o di comportamento, cominciamo a fare diffusione sui nostri canali, lavoriamo con le associazioni dei consumatori continuamente, con incontri, in modo che anche loro diventino «predicatori» di queste informazioni. Quindi, c'è un'attenzione continua ad aumentare questa cultura. Lavoriamo con le università e con le scuole, in modo continuato e massivo.
È logico che se falliscono queste misure, poi ci sono delle misure tecnologiche. Ormai gli accessi sulla parte finanziaria sono fatti dall'app, che ha una serie di controlli di sicurezza. Ad esempio, sulle transazioni ci sono anche delle analisi comportamentali, quindi le transazioni vengono sottoposte a motori di machine learning, di intelligenza artificiale, che fanno dei controlli di comportamento.
Dunque, c'è una massima tutela verso il cittadino. Inoltre, vi è la normale giurisdizione che cerca di capire se il problema era di chi offriva il servizio o vi sia stato un eccesso di fiducia da parte di chi utilizzava il servizio, forse in una maniera non proprio corretta.

ROBERTO BAGNASCO. Chiedo scusa se esco un pochino dal tema, ma approfitto Pag. 7dell'occasione, che non ci capita molto spesso, di avere un interlocutore così importante e significativo nel nostro panorama. Volevo sapere, molto brevemente, quali sono le prospettive di Poste Italiane con riferimento a quanta parte di servizio pubblico, inteso in senso stretto, sarà ancora oggetto del business dell'azienda.

PRESIDENTE. Grazie, onorevole Bagnasco. Prego, dottor Sotira.

NICOLA SOTIRA, Responsabile CERT in ambito Tutela Aziendale di Poste Italiane. Su questo tema, purtroppo, non sono io la persona che può rispondere.
Tuttavia, potrei dirle che col progetto Polis – con il quale stiamo offrendo ai cittadini la possibilità di lavorare insieme alla pubblica amministrazione e quindi offrire il rilascio di passaporti, carte d'identità e altri servizi – sicuramente Poste si conferma ancora un'azienda che offre un servizio pubblico verso i cittadini.
Poi, sulla strategia del gruppo possiamo sicuramente darvi altri dettagli attraverso i vertici aziendali.
Ancora, tenga conto che SPID, che è un servizio utilizzato da circa 32 milioni di utenti tutti i giorni, fa parte sempre di quell'ottica di servizio pubblico. Quindi, direi che l'azienda è impostata molto in questa direzione.

PRESIDENTE. Grazie mille. Se non ci sono altre richieste di intervento, ringrazio i colleghi presenti e il nostro ospite per le risposte.
Dichiaro quindi conclusa l'audizione.

La seduta termina alle 9.