PRESIDENZA DEL PRESIDENTE
ANTONINO MINARDO

La seduta comincia alle 8.30.

Sulla pubblicità dei lavori.

PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche mediante la resocontazione stenografica e la trasmissione attraverso la web-tv della Camera dei deputati.

Audizione del Ministro della difesa, Guido Crosetto.

PRESIDENTE. L'ordine del giorno reca l'audizione del Ministro della difesa, Guido Crosetto, nell'ambito dell'indagine conoscitiva sulla difesa cibernetica: nuovi profili e criticità.
Porgo il mio saluto di benvenuto, a nome di tutta la Commissione, al signor Ministro. Nel ringraziarlo per la disponibilità, gli cedo subito la parola per lo svolgimento del suo intervento.

GUIDO CROSETTO, Ministro della difesa. Grazie, presidente. Ringrazio lei e i membri della Commissione per l'opportunità di essere ascoltato su questo tema di assoluta rilevanza per il Paese.
Abbiamo evidenza di come la tecnologia diventi sempre più pervasiva e fondamentale per tutti gli aspetti della vita quotidiana: politica, economia, salute e sfera privata.
L'insieme di sistemi e strumenti tecnologici vecchi e nuovi creano uno spazio solo parzialmente materiale, altrettanto vitale, che si chiama cyberspace.
Nel dominio cyber, più che negli altri domini di operazione (terrestre, marittimo, aerospaziale e spazio in sé), la sicurezza di uno Stato è continuamente, ogni giorno, messa a repentaglio da una durissima competizione non solo tra nazioni, ma anche tra attori non statuali, pur restando sotto la soglia dell'attacco fisico armato. In questo momento, mentre parlo, riceviamo decine di attacchi cyber e li subiamo ovunque. Si tratta di minacce, attacchi ripetuti e interferenze malevole che prendono di mira sia la sfera pubblica che quella privata (economica, industriale, dei trasporti e delle comunicazioni). Parliamo di servizi e funzioni essenziali e vitali per ogni Stato o nazione e per ogni organizzazione internazionale a cui abbiamo deciso di aderire e a cui storicamente apparteniamo (NATO, UE, ONU), ma anche per la vita stessa dei cittadini, a partire dai servizi e funzioni fornite dalle infra e infostrutture che proprio per le loro funzioni così delicate giudichiamo e valutiamo come critiche per il Paese, ma per la natura stessa del dominio cyber gli effetti non sono sempre riconducibili ad azioni palesi, evidenti, che tutti possono constatare con i propri occhi.
Gli attori non sono pertanto facilmente riconoscibili e quindi perseguibili in accordo a norme statuali e costituzionali interne, come nel diritto internazionale. Più precisamente nel dominio cyber è in atto, senza soluzione di continuità, un conflitto caratterizzato da continui attacchi effettuati da attori malevoli difficilmente identificabili. Si tratta di uno dei tanti vettori della cosiddetta «guerra ibrida», sabotaggi di sistemi, sottrazione di informazioni, oltre che campagne di disinformazione mirate a condizionare le percezioni e le convinzioni di cittadini e istituzioni. Si tratta di vere e proprie aggressioni che sfruttano Pag. 4reti e connessioni cyber, aggressioni che avvengono o da sole o perché impiegate per preparare o accompagnare operazioni nei domini tradizionali sul terreno, per mare e nei cieli, e che possono generare anche conseguenze concrete.
Con l'evento «crowdstrike» dello scorso luglio, un semplice aggiornamento automatico dei software con esiti devastanti, abbiamo potuto intuire cosa significa l'indisponibilità di un sistema di gestione computerizzata per il trasporto aereo nel nostro continente e non solo; un impatto preoccupante che, ove ve ne fosse ancora bisogno, ha evidenziato la vulnerabilità dei nostri sistemi informativi, anche quando non sono attaccati, come invece avviene ogni giorno. A conferma di ciò, il recentissimo attacco del collettivo filorusso «NoName 057», che ha colpito siti istituzionali italiani e reti di trasporto, sottolinea l'urgenza di rafforzare la deterrenza contro minacce cyber sia interne che esterne.
Oggi, quindi, per garantire la prosperità e lo sviluppo di un Paese moderno e il benessere dei suoi cittadini, per assicurare la libertà dei territori, dei popoli, delle istituzioni, oltre che per proteggere la nostra economia, è necessario preservare e difendere un utilizzo sicuro e libero dello spazio cyber di interesse nazionale.
«Deterrenza» significa tante cose, ma in buona sostanza consiste nell'avere la forza, la capacità e la prontezza quando si è attaccati o se altri lo sono – se qualcuno mette in pericolo gli interessi reali del nostro Paese – di poter agire con rapidità ed efficacia.
Durante la guerra fredda la deterrenza nucleare ha rappresentato l'elemento chiave per mantenere l'equilibrio strategico, grazie alla certezza di una distruzione reciproca in caso di conflitto. Tale modello si basava sulla trasparenza delle capacità offensive. Ogni attore conosceva con precisione la potenza dell'altro, garantendo così la stabilità attraverso il principio della mutua distruzione assicurata.
Nel contesto cibernetico contemporaneo, invece, la deterrenza assume un'accezione diversa, fondata sull'incertezza. L'esito di un attacco dipende dall'efficacia delle difese della vittima, dalla rapidità di reazione, dalla resilienza delle reti. Le operazioni cibernetiche non garantiscono un risultato certo, né è sempre chiaro quando la violazione possa essere considerata un atto ostile. Questa complessità è accentuata dalla asimmetria e dall'opacità dello spazio cibernetico.
Un attore con risorse limitate, come un gruppo terroristico, può infliggere danni significativi a infrastrutture critiche di Stati molto più avanzati. Al tempo stesso, le capacità offensive di un attore rimangono spesso celate fino al momento dell'impiego, alimentando un senso di incertezza che scoraggia potenziali aggressori.
Risulta, quindi, imprescindibile investire nella deterrenza cibernetica per garantire la sicurezza del nostro Paese contro i rischi legati alla crescente sofisticazione delle minacce, rafforzando la resilienza e creando un effetto dissuasivo credibile.
Con il dovere di perseguire tali obiettivi bisogna essere consapevoli che l'accelerazione dello sviluppo tecnologico, in particolare dell'intelligenza artificiale e delle tecnologie quantistiche, sta ridefinendo la modalità con cui le minacce si manifestano nel dominio cyber.
L'intelligenza artificiale, infatti, condizionerà sempre di più a tutti i livelli gli equilibri internazionali, andando ben oltre quello che oggi possiamo anche solo immaginare, focalizzato su due attori principali, in quest'ordine, Cina e USA. Vale quindi la pena di soffermarsi su questo aspetto. L'intelligenza artificiale si avvicina rapidamente alla singolarità tecnologica. È un concetto introdotto nel 1993 dal matematico professore statunitense, consulente NASA, Vernor Vinge, scomparso nel marzo dell'anno scorso. Questo termine «singolarità tecnologica» – ricordatevelo, perché lo sentiremo moltissimo nei prossimi anni – descrive «l'esplosione di intelligenza», ovvero il momento in cui l'intelligenza artificiale supererà in modo irreversibile l'intelligenza umana.
Tale traguardo è più vicino di quanto si possa immaginare e potrebbe generare scenari in cui le regole sociali attuali sarebbero difficilmente applicabili. L'accelerazionePag. 5 verso questo traguardo è alimentata dalla competizione commerciale e dalla ricerca di vantaggi strategici spesso perseguiti senza un'adeguata considerazione delle conseguenze.
L'attuale quadro regolatorio, come il recente AI Act europeo, per ora ha indotto le aziende principali a non offrire le loro applicazioni in Europa. Intanto, altri Paesi adottano approcci senza scrupoli, privilegiando lo sviluppo tecnologico a scapito di qualunque considerazione etica. Paradossalmente, la stessa intelligenza artificiale è necessaria per mitigare i danni che essa stessa può generare. In tal senso uno degli ambiti più critici è la disinformazione, utilizzando strumenti avanzati come i modelli linguistici e i deepfake, l'intelligenza artificiale facilita la diffusione di contenuti manipolati, rendendo sempre più difficile distinguere tra informazioni autentiche e artefatte.
La rapidità con cui queste falsità si propagano rappresenta una minaccia diretta alla stabilità sociale, alla democrazia e alla sicurezza nazionale. L'intelligenza artificiale è, infatti, tra gli acceleratori della minaccia ibrida, rendendo ancora più sofisticate le minacce nel cyber-spazio.
Si pensi, ad esempio, agli applicativi, i cosiddetti «bot», che generano messaggi coordinati per polarizzare l'opinione pubblica, e alla capacità istantanea di generare un codice malevolo anche per soggetti inesperti.
Parallelamente i progressi del quantum accentuano i rischi legati alla sicurezza cibernetica. Già nel 1994 l'algoritmo di Shor ha mostrato come i computer quantistici possano infrangere algoritmi di crittografia come le «RSA», rappresentando una significativa minaccia alla cyber sicurezza. Attualmente decriptare un algoritmo RSA richiederebbe un tempo pari a dieci-trenta volte l'età dell'universo, mentre un computer quantistico – e Google ha recentemente pubblicizzato un nuovo processore – potrebbe ridurre questa operazione a poche settimane, anche meno.
Subiamo intercettazioni di dati che alcuni attori ostili immagazzinano, anche se non riescono a decifrarli, perché sanno che lo sviluppo tecnologico prima o poi consentirà loro di poterli utilizzare.
L'intelligenza artificiale sta accelerando in maniera esponenziale i progressi delle tecnologie quantistiche, mettendo così a repentaglio qualsiasi ambito della nostra quotidianità, dalla privacy delle nostre comunicazioni alla sicurezza delle nostre transazioni finanziarie, alla certezza dei nostri risparmi. Diventa, quindi, cruciale e non più procrastinabile: sviluppare algoritmi di crittografia post quantistica, progettati per resistere agli attacchi dei futuri computer quantistici; produrre algoritmi valoriali che abbiano al centro principi etici, morali e democratici per i quali ci siamo lungamente battuti e in cui crediamo e investire sulla centralità del dato, sul quale gli algoritmi di cui sopra potranno contare e «allenarsi».
Il dato, la sua disponibilità, l'integrità, l'accessibilità, la sua protezione diventano dunque un tema centrale per il concetto di sicurezza nazionale nel suo senso più ampio. La valorizzazione del dato, la sua protezione – anche fisica – e il controllo di chi ne ha accesso non rappresenta soltanto una questione strategica, ma costituiscono un elemento fondamentale in campo cyber.
Tali aspetti sono essenziali per garantire la resilienza, la deterrenza, la capacità di contrasto verso minacce, che, pur non essendo collocabili sulla mappa geografica, si rivelano sempre più pervasive e sofisticate.
Bisogna adottare forme di prevenzione collettiva e di deterrenza scoraggiando gli individui e le organizzazioni statuali e non statuali dal loro vero obiettivo: perseguire scopi illeciti e vantaggi ingiusti e contrastare efficacemente quanti scegliessero di farlo comunque. Non abbiamo alternative: pena danni forse solo parzialmente immaginabili per le istituzioni, per il Paese che siamo chiamati a proteggere e a difendere. Questo è, per usare una metafora, l'«antivirus» di cui lo Stato ha bisogno; un antivirus che deve tenere in considerazione un dato di fatto evidente: le minacce, oltre che dall'esterno, quelle dei cosiddetti «hacker», possono potenzialmente provenire in maniera volontaria o meno anche dall'interno delle organizzazioni statuali. Ecco perché è Pag. 6sempre più necessario rendere strutturale e certo il rispetto di buone pratiche di cyber security.
La sicurezza nazionale, anche quella informatica, deve diventare una cultura condivisa che coinvolga non solo le istituzioni, ma anche le aziende e ogni singolo cittadino. Promuovere una cultura della sicurezza e investire in formazione vuol dire essere capaci di migliorare e insieme di aumentare le nostre difese dagli attacchi, oltre che saper rispondere prontamente in maniera efficace.
Anche in quest'ambito la Difesa e la sua Cyber Academy possono offrire un contributo importante per diffondere questa cultura della cyber-sicurezza e la consapevolezza delle minacce a cui siamo esposti.
Per elevare il livello di sicurezza e difesa nel dominio cibernetico, la Difesa si fa da tempo promotrice: di una condivisione più strutturata, rapida ed efficace del quadro di situazione relativo alle minacce; della definizione di procedure operative comuni con tutti gli attori istituzionali per prevenire, rilevare, monitorare, analizzare e fronteggiare eventi, incidenti e crisi di natura cibernetica, incluso lo sviluppo di piani per la resilienza delle infrastrutture critiche nazionali; del consolidamento delle capacità attraverso iniziative formative esercitative nel campo della ricerca e dello sviluppo, nonché del procurement; dell'avvio di programmi di cooperazione (il cosiddetto «cyber capacity building») con Paesi amici e alleati; e di definire la struttura più idonea per gestire e reagire a eventuali crisi cyber di vasta scala, come quelle già osservate in altre nazioni.
Si tratta di un approccio che punta a mettere a sistema tutte le capacità di contrasto cyber disponibili in Italia, in modo da dissuadere e rispondere efficacemente agli attacchi cyber alla sicurezza nazionale. Infatti, l'attuale quadro, sempre più minacciato e in preda a difficoltà crescenti anche sul piano della sicurezza internazionale, impone una costante attenzione e preparazione.
In questo contesto diventa essenziale predisporre al meglio lo strumento militare, affinché, in collaborazione con le istituzioni civili, si ponga come presidio della sicurezza del Paese sin dal tempo di pace. Tuttavia, nel dominio cyber il concetto stesso di tempo di pace perde significato, perché, come già detto, gli attacchi sono quotidiani e ci sono anche in questo momento.
Per questo motivo è necessario agire in modo proattivo, senza attendere lo scoppio di una crisi palese o di un conflitto aperto. Nel processo di continuo adattamento alle sfide che siamo chiamati ad affrontare, anche nel campo cyber, ritengo però che sia utile fornire un quadro sintetico di quali siano gli approcci adottati dagli altri Paesi.
Dall'analisi della postura assunta da nazioni, come, ad esempio, gli Stati Uniti, Regno Unito, Francia e Germania, emerge un quadro in cui, in estrema sintesi, nel mondo militare di queste nazioni si osservano già significativi potenziamenti degli organici militari dedicati alla cyber, anche nell'ordine di 10.000-15.000 unità, con rami operativi robusti, idonei a integrarsi con continuità nelle operazioni multi-dominio, operando anche nello spettro elettromagnetico nei teatri operativi, in cui le esigenze sono difensive e, necessariamente, controffensive.
I «cyber command» in seno alle forze armate straniere rappresentano punti di riferimento nazionale per la protezione delle infrastrutture critiche e il contrasto dell'attività di manipolazione cognitiva. Svolgono un ruolo di primaria responsabilità nella protezione del cyber spazio nazionale, analogamente a quanto accade nei domini fisici, semplificando, con l'Esercito a protezione del suolo patrio, la Marina le acque, l'Aeronautica la sicurezza dei cieli.
Nei Paesi analizzati la Difesa e il comparto intelligence, difesa e sicurezza, hanno sviluppato un legame ancora più forte e imprescindibile quale fattore determinante per lo sviluppo capacitivo di cyber command e per lo svolgimento di tutto lo spettro di operazioni di contrasto attivo e continuativo alle minacce.
Questi Paesi hanno compreso la necessità di investire sulle capacità di deterrenza cyber, dotandosi di risorse altamente specializzate, tecnologie avanzate e strategie integrate. Sono strumenti che non solo rafforzanoPag. 7 la sicurezza delle infrastrutture, ma creano un effetto dissuasivo, che si basa sulla percezione di un costo imprevedibile e potenzialmente devastante per qualunque aggressore.
Anche nell'ambito dell'Unione europea e dell'Alleanza atlantica, lo sviluppo e l'implementazione delle energie cibernetiche e delle operazioni militari multi-dominio si fondano chiaramente sulle capacità dello strumento militare.
La NATO ha dichiarato quello cibernetico «dominio di operazioni», a pari grado insieme a quelli classici: terrestre, marino, aerospaziale, spaziale. Supportata dall'indispensabile contributo dell'intelligence, fondamentale per garantire la resilienza del nostro Paese, la Difesa riveste un ruolo centrale nella tutela degli interessi delle singole Nazioni e dell'Alleanza. Questo ruolo abilitante si allinea pienamente al nuovo concetto strategico della NATO, estendendo le sue funzioni anche al dominio cyber, così come già avviene per gli altri domini operativi.
Anche in seno alla NATO, come nell'Unione europea, si evidenzia, dunque, l'esigenza di una forte collaborazione civile e militare. Ne sono esempio: il NATO Integrated Cyberspace Centre, centro presieduto da un team di coordinamento misto con la parte militare, primus inter pares, che dovrà essere in grado di migliorare la gestione e il contrasto alle minacce cibernetiche, nonché le missioni e le operazioni dell'Alleanza, questo in piena sinergia con il comando supremo delle forze NATO in Europa e attraverso tutto lo spettro delle possibili missioni NATO, dal tempo di pace a quello di crisi e, speriamo mai, di conflitto; l'EU Cyber Defence Coordination Centre, quale centro militare che, in accordo con le autorità civili dell'Unione, sarà chiamato a migliorare la comprensione e la condivisione di informazioni sulle minacce informatiche e le relative attività malevole.
Di sicuro, nel nostro Paese alcune cose sono state fatte negli ultimi anni. Si pensi: al decreto-legge del 14 giugno 2021, n. 82, che, nel riformare l'architettura nazionale cyber, e più precisamente nel prevedere il Presidente del Consiglio dei ministri quale vertice di tale struttura e organo di indirizzo politico strategico, ha istituito il Comitato interministeriale per la cybersicurezza, con funzioni di consulenza, proposta e monitoraggio circa l'attuazione delle politiche in materia di cyber-sicurezza; all'Agenzia per la cybersicurezza nazionale (ACN), nell'ottica di coordinare il livello politico strategico con gli attori coinvolti in materia, dunque al fine di promuovere iniziative coerenti e una postura nazionale unitaria; al Nucleo per la cybersicurezza a supporto del Presidente del Consiglio dei ministri per gli aspetti relativi a prevenzione e preparazione a eventuali situazioni di crisi; al decreto-legge 9 agosto 2022, n. 115, in particolare l'articolo 37, secondo cui il Presidente del Consiglio dei ministri emana disposizioni per l'adozione di misure di intelligence di contrasto in ambito cibernetico in situazioni di crisi e a fronte di minacce che prevedono la cooperazione del Ministero della difesa e il ricorso alle garanzie funzionali; alla legge 28 giugno 2024, n. 90, che, oltre a dettare disposizioni per sviluppare la capacità nazionale di prevenzione degli incidenti di sicurezza informatica e degli attacchi cyber, inasprisce la risposta sanzionatoria in relazione ad alcuni reati; alla Strategia nazionale di cyber-sicurezza, predisposta dalla citata agenzia, che, nel mettere a sistema le competenze dei diversi attori coinvolti, nel decreto n. 82/2021, ripartisce le competenze in materia cyber su quattro pilastri: la resilienza cibernetica all'Agenzia per la cybersicurezza nazionale; la prevenzione e il contrasto del cyber al Ministero degli interni; la difesa e la sicurezza militare dello Stato al Ministero della difesa; la ricerca e l'elaborazione informativa al comparto informazioni e sicurezza.
Ancora, si pensi al decreto legislativo di recepimento della direttiva dell'Unione europea, meglio nota come Direttiva NIS2, che stabilisce misure per un livello comune elevato di cyber-sicurezza nell'Unione. Tale decreto, recentemente approvato in esame definitivo dal Consiglio dei ministri, riconosce alla Difesa il ruolo di autorità nazionale di gestione delle crisi informatiche per quanto concerne la difesa dello Stato, Pag. 8un compito prioritario attribuito dagli articoli 15 e 89 del Codice dell'ordinamento militare. Questo risultato permette alla Difesa di interpretare una direttiva moderna, adeguata a un contesto di crescente digitalizzazione, di minacce cibernetiche sempre più complesse.
Più nello specifico, la Direttiva NIS2 ravvisa la necessità di una politica nazionale che promuova la divulgazione coordinata delle vulnerabilità, incoraggiando esperti, ricercatori e comuni cittadini che fanno ricerca a collaborare con le istituzioni.
Vale la pena ricordare che lo strumento militare per il suo sviluppo capacitivo e il suo supporto operativo e logistico poggia su un'industria di settore e su una supply chain che necessita di tutela e protezione specifica, anche cyber. Ad esempio, per rendere i prodotti ICT (Information & Communication Technology) sicuri da vulnerabilità e attacchi fin dalla loro progettazione è necessario un lavoro e un pensiero congiunto per garantire adeguati standard di sicurezza. Indirettamente, tutto ciò si traduce in tutela della sicurezza informatica, delle infrastrutture e infostrutture dello strumento militare.
Inoltre, ciò viene incontro anche alle esigenze di tutela dei diritti di proprietà intellettuale, specie quando correlati all'attività industriale multinazionale a supporto della Difesa.
Per garantire il tutto, più in particolare si rende indispensabile: una costante condivisione di informazioni degli scenari di minaccia per implementare sinergicamente un'adeguata prevenzione; la ricezione da parte dei fornitori di tempestive notifiche in caso di attacchi e incidenti cyber; la definizione di standard di sicurezza e resilienza per l'IP che rientrano nella supply chain della Difesa verificata e vigilata dagli organi individuati all'interno della Difesa stessa. Questa specifica omologazione nazionale di cyber sicurezza per beni militari consentirebbe di essere più competitivi anche a livello comunitario e internazionale, consentendo alla nostra industria alternative alle equivalenti valutazioni e certificazioni rilasciate da altre Nazioni.
L'attuale struttura di governance, tuttavia, è stata immaginata molto prima degli sviluppi cyber, che, a partire dal conflitto russo-ucraino, hanno rivelato con maggiore chiarezza, anche nel nostro Paese, l'entità e la portata delle minacce che il dominio cyber può rappresentare per la sicurezza nazionale.
Inoltre, non sono sicuro che molti sappiano che tale architettura – al momento – vede il pilastro della «difesa cibernetica» rivolto sostanzialmente alla protezione delle sole reti militari. La Difesa è il pilastro incaricato della difesa cibernetica, ma di fatto solo di sé stessa, cosa che io trovo una totale contraddizione. Questo, peraltro, come abbiamo detto prima, in evidente difformità da quanto avviene in tutti gli altri quattro domini, in cui ovviamente la difesa è assicurata all'intero territorio nazionale, come credo ognuno di noi si aspetti. Per la parte cyber è diverso: è come se noi dicessimo che la Difesa si occupa sul terreno della difesa dei siti militari, della difesa delle aree marine militari, della difesa degli spazi aerei militari. Se la Difesa si occupa della difesa, si occupa della difesa nella sua interezza, di tutto il suolo, di tutto lo spazio cyber, di tutto lo spazio marino.
Peraltro, nell'ombrello difensivo cyber oggi ricadono solo indirettamente le industrie nazionali della difesa, nonostante queste siano diventate ormai un elemento imprescindibile per i compiti propri del Dicastero. La complessità e le difficoltà della gestione della sicurezza cyber stanno, dunque, nel fatto che questo è solo uno degli aspetti del più ampio tema di come le società moderne devono adeguarsi per sviluppare e sfruttare al meglio e in sicurezza le nuove e potenti capacità introdotte dalle tecnologie emergenti. Tali capacità, essendo trasversali e dirompenti, introducono profondi cambiamenti in tutti i settori della società, imponendo di adeguare e sviluppare competenze, presìdi e nuove e migliori soluzioni che superino preconcetti e ideologie.
Conseguentemente, anche la gestione della sicurezza cyber nazionale, come stanno facendo tutte le nazioni alleate e partner, richiede sinergie e soluzioni che mirino a Pag. 9sfruttare ogni competenza cyber e capacità disponibili nel Paese con maggiore flessibilità che in passato e con un approccio inclusivo e innovativo.
Se un rappresentante di un'organizzazione statuale straniera o anche terroristica vìola lo spazio aereo marittimo è ben chiaro, nei confini del nostro Stato, che la Difesa userà le sue capacità per intercettare e controllare tale minaccia, in modo che non generi conseguenze più gravi. Se lo stesso rappresentante violasse, invece, lo spazio cyber attaccando, ad esempio, centrali elettriche, ospedali o trasporti, mettendo a repentaglio un servizio essenziale per il Paese, i quattro pilastri dovrebbero coordinarsi e consultarsi per addivenire a un'ipotesi strutturata di azione. Questo è quello che succede attualmente. Se un aereo entra nello spazio italiano partono gli aerei della Difesa. Se abbiamo un attacco cyber, c'è il coordinamento, si torna ai quattro pilastri. Un attacco cyber, che avviene con una velocità enormemente superiore a un attacco aereo, navale o terrestre.
Il risultato che osserviamo tutti i giorni è che spesso gli attaccanti riescono a portare a termine le loro operazioni anche se individuati, con scarse probabilità di subire conseguenze adeguate.
Per aumentare la capacità di resilienza e di contrasto alla minaccia cyber, specie quando usata o supportata da nazioni straniere, è necessario evolvere ulteriormente verso un'architettura istituzionale più efficiente, che riunisca le istituzioni e le risorse presenti nello Stato, eventualmente anche complementate da quelle private, senza le quali mai avremmo volumi sufficienti. Tale organizzazione dovrà necessariamente vedere un coinvolgimento attivo della Difesa, in quanto tenutaria dell'uso legittimo della forza in tutti i domini operativi, incluso quello cyber.
La sfida che siamo chiamati a superare a livello nazionale, UE e NATO è quella di creare una capacità di operare e di difendere il cyber space dalle minacce in continua crescita con la stessa efficienza dimostrata da competitor internazionali senza scrupoli, restando ben saldi nei nostri imprescindibili valori sociali e democratici.
Cosa bisognerebbe fare? Per le sue caratteristiche, credo sia ormai chiaro a tutti che quello cyber, per sua stessa natura, non possa essere un dominio segregato né tantomeno gestito separatamente. Per poter proteggere le reti, le connessioni in senso lato, quindi le infrastrutture critiche che di queste si avvalgono, bisogna esserci, presidiare, misurare costantemente le posture malevoli, quindi contrastarle.
Non si può pensare di chiamare la Difesa in soccorso solo dinanzi all'evidenza di un attacco o danno, laddove ritenuto significativo. Non funziona. Quella cyber è una partita che si gioca senza soluzione di continuità, con tecnologie e minacce che cambiano continuamente, quindi bisogna che la nostra migliore squadra sia in campo: mondo accademico, industria, istituzioni civili e militari insieme. Non possiamo permettere di lasciare nessuno negli spogliatoi.
La Strategia Nazionale di Cybersicurezza prevede già un processo per il rafforzamento della deterrenza in ambito cibernetico, in cui la Difesa è attore responsabile. La possibilità di conseguire tale risultato si può tradurre e sintetizzare su quattro fattori, quali: due diligence, obbligo per ogni Stato di vigilare sul proprio cyber-spazio impedendo che attori malevoli lo utilizzino per fini illeciti; denial, sviluppare ed esercitare misure e capacità operative per impedire, limitare e contrastare gli attacchi, statuali e non; attribution, capacità tecnica di risalire con alta probabilità agli autori di attacchi cibernetici; punishment, creare le premesse e le capacità necessarie affinché chiunque attacchi un'infrastruttura vitale per la sicurezza del cyber-spazio nazionale sia soggetto a una legittima azione di contrasto, culminante in misure e sanzioni concrete, applicabili e credibili.
In coerenza con quanto ora esposto, è evidente che non sia immaginabile nessun risultato utile in termini della richiesta deterrenza se non mettiamo i «nostri», a partire dalla Difesa, nelle condizioni di operare in maniera persistente nello spazio cibernetico di interesse nazionale.
Ricapitolando, la complessità delle nostre società e delle tecnologie emergenti su Pag. 10cui questa si basa espone gli Stati a nuove, continue e pericolose minacce cibernetiche, credendo uno cyberspace meno sicuro, pregiudicando una delle condizioni essenziali per lo sviluppo della società italiana, europea o NATO.
Questo dominio presenta delle peculiarità che lo rendono in alcuni aspetti diverso dagli altri domini fisici. Si consideri, ad esempio, che in quanto dominio virtuale e non naturale, è costituito solo in base a investimenti umani, principalmente da industrie private, che quindi giocano un ruolo fondamentale nella sua gestione. Altrettanto singolari sono le sue caratteristiche di immaterialità e il carattere transnazionale, che rendono la difesa del dominio cyber un problema da gestire in maniera innovativa e inclusiva, mettendo a sistema tutte le competenze e le capacità nazionali.
L'Italia ha fatto molto finora, ma secondo me non basta.
Il Ministero della difesa, insieme agli altri pilastri cyber, sta lavorando per evolvere verso un'organizzazione più efficace. Anche solo uno sguardo a come si stanno muovendo le altre Nazioni amiche e alleate ci dice in modo chiaro e netto che serve una forza competente e consistente, un presidio di livello e massa, che si può raggiungere solo investendo in preparazione, gestione e difesa, coinvolgendo anche il settore privato.
Auspico, quindi, che all'esito di questo ciclo di audizioni possa avviarsi un percorso normativo «dedicato» che rivisiti e introduca alcune previsioni di legge, nell'intento di: abilitare le azioni e le capacità della Difesa all'identificazione, mitigazione e contrasto delle minacce cyber, dirette e indirette, alla sicurezza nazionale; legittimare le Forze Armate all'utilizzo di strumenti cibernetici, sia nelle ipotesi di risposta alle crisi, di cui la leadership della gestione e il suo coordinamento sono in capo alla Difesa, sia nelle operazioni promosse in concorso con le autorità civili; allineare il ruolo del Ministero della difesa a quello del comparto intelligence nel caso di adozione e attuazione delle misure (di intelligence) di contrasto in ambito cibernetico in situazioni di crisi e di emergenza; svolgere attività di intelligence preparatorie nell'imminenza di un attacco cyber, a prescindere dall'esistenza di una situazione di crisi e di emergenza e dalla possibilità di fronteggiare tale crisi con azioni di resilienza; estendere garanzie funzionali, di cui all'articolo 17 della legge 3 agosto 2007, n. 124, al personale delle Forze Armate impiegato nella conduzione di operazioni militari nel dominio cibernetico, in territorio nazionale e all'estero, anche quando non opera congiuntamente con il personale addetto ai servizi di informazione e sicurezza; compartecipare alla predisposizione della Strategia nazionale per l'intelligenza artificiale per gli aspetti relativi ai sistemi impiegabili in chiave duale (il disegno di legge di iniziativa governativa in termini di intelligenza artificiale, collegato alla Nota di aggiornamento del Documento di economia e finanza 2023, è posto, attualmente, all'esame delle Commissioni parlamentari competenti presso il Senato della Repubblica).
Ritengo, infine, siano essenziali quattro cose: identificare lo spazio cyber di interesse nazionale per la difesa e la sicurezza dello Stato, un campo di operazioni all'interno del quale il Ministero della difesa operi senza soluzione di continuità per adempiere ai propri compiti istituzionali; un'Arma cyber civile e militare numericamente adeguata a livello di minaccia osservata, che sia operativa e continuamente capace di intervenire su tutto lo spettro delle minacce; un'Arma cyber che abbia tutte le adeguate tutele funzionali per il personale incaricato; un Centro per il contrasto alla guerra ibrida, che esprima la capacità di comando e controllo, condiviso con le agenzie/attori non militari; condivisione di best practice, per lo scambio informativo e il contrasto alla propaganda che sviluppi sinergie tra istituzioni e mondo accademico per creare gli anticorpi di base contro i fenomeni di propaganda e disinformazione.
Il tempo per cambiare, per innovare e per affrontare non le sfide del futuro, ma quelle ormai attuali, è oggi. Sono contento e ringrazio la Commissione per aver voluto questo ciclo di audizioni e per avermi dato Pag. 11la possibilità di esprimere il mio parere e le mie preoccupazioni.
Grazie.

PRESIDENTE. Grazie, Ministro, per il suo intervento.
Do la parola i colleghi che intendono intervenire per porre quesiti o formulare osservazioni.
Prego, on. Bicchielli.

PINO BICCHIELLI. Grazie, presidente. Ringrazio il signor Ministro. La sua relazione di oggi ci conferma un dato che è emerso in tutto questo ciclo di audizioni. Il tema è prettamente culturale e di postura nel nostro Paese, anche per come viene affrontato dai nostri alleati più importanti.
Io ho alcuni dubbi. Secondo me, lei può sicuramente supportarci, anche dal punto di vista legislativo. Io, come sanno alcuni colleghi, provocatoriamente dico che dovremmo cambiare il nome di questa Commissione in «Commissione per la difesa cinetica e cibernetica», perché di fatto inizia a esserci anche, nella produzione legislativa, una serie di competenze diffuse, per cui non riusciamo a centrare il problema della difesa cibernetica, che – come diceva giustamente lei – è una difesa che va in molti casi a tutelare i privati, sebbene il sistema difesa non sia organizzato per farlo. Infatti, gli attacchi avvengono nei confronti di aziende, di strutture private, ma noi non abbiamo capacità di reazione.
Ci sono, dunque, due punti della sua relazione che vorrei capire come poter coordinare. Da quello che abbiamo colto, c'è una richiesta forte di sovranità tecnologica, in quanto l'Italia, in questo momento, è più fragile. C'è una necessità importante, tuttavia, di cooperazione in questo mondo. Infatti, alla fine della sua relazione fa riferimento all'importanza di una cooperazione con il mondo accademico.
Vorrei, dunque, sapere se, in questo momento, ci sono o sono avviati rapporti con il mondo accademico e se questi possono, secondo lei, rafforzare le nostre competenze, in un mondo in cui credo che, oggi, purtroppo, scontiamo ancora una fragilità enorme.
In tutte le audizioni, da parte di tutti i soggetti che abbiamo audito abbiamo riscontrato una richiesta di aiuto normativo su questa materia. Noi abbiamo una responsabilità, insieme al Governo, importantissima per dare sicurezza a tutti gli attori.

PRESIDENTE. Grazie, on. Bicchielli. Prego, on. Loperfido.

EMANUELE LOPERFIDO. Signor presidente, la ringrazio, anche per il ciclo di audizioni che abbiamo fatto sulla sicurezza cibernetica.
Grazie, Ministro. La relazione è stata densa di contenuti, che hanno cercato di illuminare in modo complesso – esaustivo sarebbe, con tutto il rispetto, difficile – su quanto sia un contesto che può essere affascinante, ma anche inquietante.
L'Italia in questo momento ha fatto tanto e ha cercato anche di dare una visione e un'impostazione etica, come lei ha sottolineato, tant'è che Padre Benanti è stato nominato, da parte del Governo Meloni, quale presidente della Commissione sull'intelligenza artificiale per l'informazione. Tra l'altro, è l'unico italiano membro del Comitato per l'intelligenza artificiale delle Nazioni Unite, oltre che essere consigliere di Papa Francesco sul tema. Questo a dimostrazione del fatto che l'uomo, comunque, deve essere a capo della gestione dell'intelligenza artificiale.
Nella sua relazione è emerso come sia fondamentale il coinvolgimento da parte di tutti gli interlocutori, come Difesa, istituzioni, enti, istituti accademici, ed è sicuramente così perché la sicurezza cibernetica si deve difendere da attacchi che possono provenire da ovunque, sia dal punto di vista virtuale sia materiale e fisico.
Se è una sfida che deve effettivamente coinvolgere tutti – ma anche tutti i Paesi, come abbiamo visto in ambito NATO e Unione europea – mi chiedevo se in questo contesto potrebbe esserci una sorta di progetto pilota di difesa cibernetica integrata europea.

PRESIDENTE. Grazie, on. Loperfido. Prego, on. Graziano.

Pag. 12

STEFANO GRAZIANO. Signor presidente, ringrazio il Ministro. Mi sembra abbastanza densa la relazione che lei ha fatto, Ministro. In particolare, ha dato un quadro che, a mio avviso, per quello che riguarda la cyber in Italia, è «a tinte fosche», perché, in realtà, c'è un problema molto serio che riguarda la lunghezza del tempo di reazione, avendo quattro pilastri. Occorre dunque, a mio avviso, intervenire – e provare a farlo tutti insieme – con una nuova legislazione che permetta di semplificare un processo di attacco, quale elemento fondamentale.
Dovremmo altresì riflettere su come, in ambito cyber, formare persone sin dal primo momento, soprattutto nel versante militare, ma non solo. Infatti, sia in campo civile sia in campo militare, nella pubblica amministrazione, dobbiamo pensare ad una formazione per il personale che inizi dal momento in cui prendono servizio.
Noi oggi abbiamo un problema e chissà che veramente, riprendo le parole del collega Loperfido, questo non possa essere un elemento importante dal punto di vista della difesa europea. È un elemento per il quale si potrebbe coordinare, integrare un'operazione europea che ci permetta di avere una forza da questo punto di vista. Forse questo è anche un elemento di unità delle forze politiche in considerazione del fatto che tutti si debbono iniziare a domandare che cosa accade. Semplificare, da un lato, realizzare una nuova normativa, dall'altro, e provare a farlo insieme – una «costituente della cyber» – perché nessuno fino ad oggi aveva immaginato che si potesse arrivare a tanto sull'intelligenza artificiale e sul tema che riguarda la cyber in generale.
Io penso che ci sia tanto lavoro da fare. Grazie al presidente abbiamo fatto una serie di audizioni. Adesso, dunque, abbiamo bisogno di fare un salto di qualità, perché questa potrebbe essere una «legislatura costituente» sulla cyber, che pone al centro questi temi e la necessità di formare il personale della pubblica amministrazione. Su questi tre assi io muoverei dei passi.
Faccio l'esempio della scuola per ufficiali. Penso che iniziare da lì a formare le persone può avere un valore forte. Ho fatto un esempio, potrei farne altri, pensiamo alla pubblica amministrazione, agli ospedali, ai comuni, alle ASL, a tutti i servizi alla persona o al cittadino, che sono tra i più bersagliati dagli attacchi cyber.
La mia domanda, dunque, è come, secondo lei, si possono affrontare questi temi.

PRESIDENTE. Grazie, on. Graziano. Prego, on. Mulè.

GIORGIO MULÈ. Signor Ministro, il pregio che, secondo me, è connaturato alla sua personalità è quello di dire le cose in maniera chiara, dritta e diretta, al di là del ruolo politico. La sua audizione di questa mattina io la definirei disruptive rispetto anche ai temi di cui ci stiamo occupando, perché ha il pregio di mettere sul tavolo temi con l'essenzialità e soprattutto la velocità che meritano.
Io ho disordinatamente preso degli appunti, quindi le chiedo scusa per il disordine con il quale le pongo alcune questioni. Inizialmente vorrei approfondire con lei – adesso o in un altro momento – il ruolo di questa Forza competente. Anche lì, secondo me, Ministro, c'è un problema culturale. Noi continuiamo a definire in termini militari o in termini legati alla nostra storia militare anche l'approccio alla cyber, magari provocando in altri ambiti della pubblica amministrazione una sorta di sospetto rispetto ai militari che vogliono continuare a interessarsi – come è giusto che sia, aggiungo – di questioni che appartengono anche al mondo civile. Il ruolo di questa Forza competente sarà solo quello di occuparsi di minacce di interesse della Difesa oppure sarà di occuparsi, insieme agli altri pilastri, di minacce a qualunque elemento della nazione? Questo per il difficile compito di identificare l'attaccante con l'attribuzione.
La leadership rispetto a queste minacce sarà a tempo o per tipo di minacce? Nel caso fosse per tipo di minaccia, sarà difficile dividere le minacce per provenienza, essendo praticamente impossibile avere l'attributionPag. 13 della singola minaccia. Anche questo può essere un altro elemento nodale da capire.
Ancora, ho interpretato bene quando lei sostiene che la Difesa sarà autorizzata – e io aggiungo l'avverbio «finalmente» – a operare con azioni di cyber operation, quindi cyber attacco, laddove lei dice che bisogna abilitare le azioni e le capacità della Difesa, l'identificazione, mitigazione e contrasto delle minacce cibernetiche alla sicurezza nazionale? Sappiamo entrambi che è pressoché impossibile attuare un cyber-attacco da parte delle istituzioni italiane.
Per svolgere l'attività di intelligence che, ancora una volta, meritoriamente, lei ci invita a recepire, va adeguato un sistema di leggi, dalla privacy ad altri ambiti, italiane, ma anche europee. In questo senso, si pensa di operare congiuntamente tra Italia ed Europa? Dicevano prima i colleghi Loperfido e Graziano del rapporto con l'Europa. Esiste una sotto Commissione Difesa appena insediata nel Parlamento europeo, le chiedo, dunque, se in termini di difesa europea si porterà avanti in combinato disposto con la Commissione europea.
Per andare, invece, dall'altro lato dell'oceano, sulla intelligenza artificiale, sappiamo tutti in quest'Aula che è pressoché impossibile gareggiare con il tipo di investimenti – non tanto basandoci sulle notizie di ieri, i 500 miliardi che tre aziende investiranno nei prossimi quattro anni – ma guardando proprio al livello di investimenti che l'Europa è in grado di fare in intelligenza artificiale.
Vediamo, però, di capire l'architettura. Quando lei, ancora una volta con grande efficacia, ci descrive il quadro, pensa di sviluppare progetti sull'istituendo, quello che in America è il Chief Digital and Artificial Intelligence Office, il famoso «zar» della intelligenza artificiale, con un Dipartimento che è dedicato a questo tema? Anche perché in quel caso dovremmo vedere che tipo di risultati hanno raggiunto loro che l'hanno introdotta nel 2021. In questo senso – questa è una sollecitazione che do anche ai colleghi della Commissione e al presidente che sul tema è particolarmente sensibile – forse potrebbe essere utile un allineamento tra le Commissioni italiane e quelle degli Stati Uniti d'America per verificare lo stato di avanzamento che li ha portati a fare questa scelta oramai quattro anni fa, considerando soprattutto quello che il Ministro diceva, che la difesa cyber non può essere soltanto del singolo Stato, ma deve essere necessariamente internazionale.
Da ultimo, come secondo lei bisognerà rendere noti gli attacchi cibernetici non sapendo a priori, per il problema dell'attribution, se sono civili o militari? La popolazione, secondo lei, avrà diritto a sapere quando e come siamo attaccati?
Grazie.

PRESIDENTE. Grazie, on. Mulè. Prego, on. Fassino.

PIERO FASSINO. Anch'io ringrazio il Ministro per averci fornito un quadro molto esaustivo.
Quello che emerge dalla relazione – che non è un tema soltanto che attiene alle questioni che stiamo discutendo – è il problema della pubblica amministrazione italiana, cioè la difficoltà a lavorare in termini interdisciplinari e trasversali.
La struttura della pubblica amministrazione in Europa è quella napoleonica. Sono strutture verticali. Ogni ministero agisce secondo una logica verticale. La legislazione attribuisce a ogni ministero competenze che gestisce in termini verticali. L'interdisciplinarità non c'è mai. Come sapete, ho anche fatto il Ministro e ho dovuto prendere dei provvedimenti di concerto. Io e l'altro Ministro ci mettevamo d'accordo in un quarto d'ora. Quando la cosa passava alle due amministrazioni si bloccava, perché non c'è questa cultura dell'interdisciplinarietà.
Se c'è una cosa che stride è che, invece, la dimensione digitale è per definizione orizzontale. Non è verticale. Questo è il tema, perché quando io ho sentito, come il Ministro ci descriveva, «c'è questo qui che fa quello, quello che fa quell'altro, quello che fa quell'altro ancora», tra me e me dicevo «buonanotte». Già per riunirli ci vuole non so quanto. Poi, quando si riunisconoPag. 14 discutono, formalmente si mettono d'accordo, ognuno va via dicendo «ora ci penso io», e finisce così.
Da questo traggo che, secondo me, una delle indicazioni conclusive che il Ministro ha fatto, cioè la necessità di un dispositivo normativo nuovo e diverso che per il possibile – perché poi le norme non cambiano la testa degli uomini e quindi è complicato lo stesso – preveda una unificazione e un'unicità di comando nell'azione è essenziale. Se c'è una cosa che i militari ci insegnano è che l'unicità di comando è decisiva per l'efficacia. Qui noi rischiamo di dover affrontare un tema che sarà sempre più invasivo e pervasivo in ogni dimensione, avendo difficoltà a mettere in campo una unicità di guida, di direzione di comando. Penso che questo sia il problema.
È stata molto utile tutta l'attività che noi abbiamo svolto qui, tutte le audizioni che abbiamo ascoltato. A questo punto io credo che bisognerebbe lavorare, d'intesa con il ministero, a costruire un testo normativo o, quantomeno, delle indicazioni per un testo normativo che ci consenta di «aggredire» i problemi che il Ministro ha posto.
Grazie.

PRESIDENTE. Grazie, on. Fassino. Do la parola al Ministro per le risposte alle vostre domande.

GUIDO CROSETTO, Ministro della difesa. Intanto ringrazio per l'attenzione e per le domande, che in qualche modo si intersecano.
Partendo dalle domande dell'onorevole Bicchielli, posso confermare che c'è il tentativo di una cooperazione molto forte con il mondo accademico.
Peraltro, apro una parentesi che in qualche modo interseca tutte le vostre domande. Noi abbiamo un problema in questo ambito e anche in altri: il nostro pubblico impiego e le nostre regole del pubblico impiego sono totalmente incompatibili per affrontare i tempi in cui viviamo. Lo dico prendendomi la responsabilità. Il limite retributivo, per i dipendenti pubblici, a 240.000 euro va bene per prendere qualche voto, ma non va bene per avere le migliori competenze che possono servire a un Paese per affrontare queste sfide.
Con 240.000 euro, faccio l'esempio della cyber, non trovi neanche il più «sfigato» degli hacker, perché gli esperti in questo settore, nel mondo, in tutte queste tecnologie, sono in parte molto rilevante italiani. Tra questi, non ce n'è chi abbia interesse a lavorare in Italia, perché c'è l'interesse per la ricerca ma anche l'interesse economico, di costruire la solidità più grande possibile per la propria famiglia. È legittimo? Sì, è legittimo e allora noi troviamo le intelligenze italiane sparse per il mondo, al di fuori dell'Italia, che portano la loro capacità nelle aziende private o anche pubbliche.
Ad esempio, ho «fermato» una delle più grandi esperte di intelligenza artificiale, una professoressa di Torino, che è stata richiesta in Francia, in Germania e negli Stati Uniti. Ti devi inventare dei sistemi per tenere queste persone, perché c'è una attrattività. Oltretutto, sono sistemi che ti forniscono la possibilità di fare ricerca, ti danno risorse maggiori per la ricerca. C'è un tema sostanziale, che vale per tutte le materie STEM, per tutte le materie scientifiche, vale anche per altro, secondo me, non solo per questo. È un tema che dobbiamo porci, altrimenti non avremo le competenze umane per competere.
La formazione cyber base – lo diceva l'onorevole Graziano – è una cosa che noi abbiamo iniziato a fare. La Cyber Academy che ha aperto la Difesa è messa a disposizione di tutta la pubblica amministrazione che, a mio avviso, deve crescere e integrarsi anche con altri, deve essere trasversale – come diceva l'onorevole Fassino – serve perché chiunque affronta il mondo in futuro, deve capire cos'è il mondo cyber. Lì non formeremo mai degli esperti. Gli esperti si formano sul campo.
I maggiori «killer», tra gli hacker, hanno 17, 18 e 19 anni. Quelli che riescono a «bucare» le cose «imbucabili» hanno l'età dei nostri figli. Quelli servono per qualche cosa, gli esperti sono quelli che nascono dalla ricerca dopo decenni, i grandi esperti.
Noi abbiamo bisogno di una pubblica amministrazione che abbia informazioni Pag. 15sul cyber come ce l'ha su come funziona il provvedimento legislativo. Non sono tutti giuristi, non sono tutti esperti di diritto, ma sanno come funziona il processo legislativo. Allo stesso modo devono sapere quali sono le modalità di funzione e i pericoli che derivano dal cyber, sapendo individuare gli esperti che gli servono per affrontarli. Abbiamo bisogno di una formazione di base diffusa per tutta la pubblica amministrazione – e in questo, ripeto, la Difesa è a disposizione – e poi abbiamo bisogno di figure specifiche, di gruppi di studio, di luoghi in cui mettere assieme le persone migliori.
Noi potremmo non disporre di tutte le tecnologie perché non abbiamo la capacità di investimento che, ad esempio, ci sono negli Stati Uniti, ma intanto dobbiamo conoscere lo stato dell'arte delle tecnologie per poterne disporre, poterle utilizzare e poterle governare. Anche solo questo è difficile se tu non metti insieme le migliori teste.
Io sto cercando di costituire alla Difesa una specie di «piazza cibernetica» nella quale far incontrare queste teste che abbiamo sparse per il mondo, pagandole nell'unico modo con cui posso pagarle, con il loro amore verso l'Italia, verso il luogo in cui sono nati: «scusate, mi prestate la vostra testa per qualche minuto al mese, per condividere con me, che sono la Difesa, le informazioni che possono servire a consolidare e, comunque, a mettere in grado il nostro Paese di affrontare le sfide del futuro?». Che, peraltro, sono sfide sempre più difficili e sempre più – e questo è il problema più grande – veloci.
Il nostro problema, la totale impreparazione che abbiamo, come Europa e come Italia, è la mancanza di velocità. Io ho un gruppo di lavoro che segue l'evoluzione delle tecnologie in questi settori. Non c'è un giorno nel quale non arrivi una notizia, una scoperta, un passo in avanti potenzialmente rivoluzionario.
Il dato che vi ho detto prima, cioè computer in grado di fare calcoli in poche settimane, che i computer che usiamo attualmente, i più potenti, fanno in tre volte il tempo di vita dell'universo, significa una capacità di processare dati tale per cui non possiamo neanche immaginare le conseguenze.
Pensiamo alla crescita dell'intelligenza artificiale. Faccio questo esempio per spiegarlo a casa. Pensate ad Einstein che parla di fisica con un bambino di sei anni, magari un bambino intelligentissimo. Tra qualche anno, l'intelligenza artificiale parlerà con Einstein nello stesso modo con cui Einstein può parlare con un bambino di sei anni, perché avrà raggiunto una tale capacità di evoluzione, avrà superato il quoziente intellettivo umano, e avrà una tale capacità di elaborazione dati da poterlo fare. Pensate a un uomo che tutto il giorno, 24 ore su 24, per 365 giorni l'anno, senza mai fermarsi, pensa a un argomento specifico, essendo in grado di elaborare tutti i dati che gli arrivano da miliardi di raccolte dati. Pensate alla capacità di produzione di contenuti e di conoscenza di questa cosa.
Pensate che nel 2030 avremo 100 miliardi di agenti IA, cioè persone come noi, ma non persone fisiche, che pensano tutto il giorno. Pensate alla capacità di pensiero di 100 miliardi di persone: uno pensa alla fisica, uno alla chimica, uno alla matematica. Tutto il giorno, 365 giorni all'anno, tutte le persone più intelligenti che esistono al mondo. Questo è il mondo che abbiamo davanti.
Come diceva prima l'onorevole Fassino, affrontare questo mondo con un'organizzazione napoleonica diventa veramente difficile.
Mi fermo al tema della difesa, ma se in Italia arriva un missile intanto io lo abbatto. Non mi chiedo se lo ha lanciato una nazione o se lo ha lanciato un privato. A me Difesa non interessa. Partono gli aerei e lo abbatto. Lo stesso vale se arriva qualcuno via mare o via terra. Dopo vedo chi è e agisco di conseguenza.
Nella materia cyber non è così. Sembrando una cosa immateriale, la difesa è una cosa che abbiamo in qualche modo annacquato, e io ritengo sia sbagliato annacquarla. Intanto qualcuno lo ferma, individua chi è e, poi, a differenza di quanto avviene negli altri spazi, devo avere una possibilità di deterrenza, cioè devo andarlo Pag. 16a colpire. Mentre se devo farlo tirando un missile o andando con le truppe è difficile, devo passare da un'autorizzazione parlamentare, lì, siccome non abbiamo vittime civili, posso agire diversamente. Nel dominio cyber la capacità di deterrenza è forse ancora più importante che negli altri.
Parliamoci chiaramente. La nostra capacità di deterrenza negli altri domini non è nostra, è quella americana. È l'ombrello americano che ci ha consentito di avere la deterrenza. È la potenza nucleare americana che ci ha consentito di avere capacità di deterrenza, non siamo noi che facciamo paura agli altri Paesi. Ed è quello che sta dicendo Trump adesso: cercate di proteggervi anche senza gli investimenti americani.
Nella cyber non è così. Non abbiamo un ombrello di altri Paesi nella cyber, quindi dobbiamo farcelo noi. Anche la capacità di deterrenza fa parte di questo ombrello. Per quello alla fine dico che dobbiamo fare un ragionamento. Certo, dobbiamo fare un ragionamento – come diceva l'onorevole Fassino – che in qualche modo non sia affrontato come li affrontiamo in Italia: queste sono le competenze di questo Ministero, me le tengo; o il tentativo di invasione – di cui parlava prima l'onorevole Graziano – di un campo rispetto a un altro.
La Difesa ha la responsabilità della difesa e la possibilità di utilizzare la forza per la difesa. È nel Ministero della difesa, questo, per lo Stato, vale per la cyber. Decliniamolo in modo che sia utilizzabile anche per la cyber. Questo è il ragionamento che, a mio avviso, prima o poi dovremo fare. Non possiamo farlo, però, se non affrontiamo un tema normativo che riguarda le competenze, che riguarda le garanzie funzionali e che riguarda il pubblico impiego. Non vale solo per me, ma anche per altri Ministeri. È un tema che dobbiamo affrontare.
Usciamo dall'equivoco. La storia che uno vale uno non è vera. Basta guardare il mondo. Uno non vale uno. Qualcuno nel campo cyber vale duecento e qualcun altro vale zero. Purtroppo viviamo in un mondo in cui la competenza si paga, e se non paghi non hai competenza, e se non hai competenza non hai futuro. Questo è un ragionamento che prima o poi dovremo fare, anche se esula da questa discussione.
In molti – Loperfido, Graziano, Mulè stesso – hanno parlato di Europa. Questo è un settore in cui ci sono forse ancora più gelosie, ancora più difficoltà rispetto ad altri settori nella possibilità di condividere. Perché? Perché tutti sono consapevoli che i dati diventeranno le miniere del futuro. Con questa capacità di analisi di dati, più dati hai più hai possibilità di crescere; più tu mantieni dati sovrani, meno dai vantaggi ai competitor. Siccome, per quanto noi crediamo nell'Europa, l'Europa è un'Europa di nazioni, in cui ogni nazione – come vediamo su tutto – ha il suo prodotto interno lordo, ha le sue emissioni di debito, ha i suoi problemi nell'emettere il debito, paga tassi d'interesse diversi dagli altri, ha diversi livelli di indebitamento, ce ne rendiamo conto tutti i giorni. Siccome non esiste un'Europa che abbia in comune la ricchezza, perché la ricchezza è nei forzieri delle nazioni, come lo sono i debiti, a quel punto tutto ciò che ha a che fare con la ricchezza viene protetto dalle nazioni.
Il motivo per cui l'Europa non diventa l'Europa che vogliamo è che nessuno mette in condivisione le parti positive tenendosi quelle negative, ed è il problema che avremo anche in altri campi nella discussione in Europa. Noi abbiamo accelerato anche da questo punto di vista, stiamo cooperando con gli altri Paesi, scambiandoci informazioni. La NATO può essere utile, perché la NATO ha attivato un meccanismo, ma sono meccanismi che ci mettono in difficoltà. Tutte le volte che c'è una riunione in NATO noi abbiamo difficoltà perché gli altri hanno militari e da noi c'è la discussione su chi va.
Io sono contento se il Parlamento affronta la questione in modo asettico, che è l'unico modo. Lo dicevate tutti. Tutto questo non ha un colore politico. Qui stiamo parlando delle fondamenta del nostro Paese. Io non sarò più Ministro, non mi interessa costruire una cosa per me, ma costruire una cosa per il Paese, che serva alla difesa di questo Paese. Ripeto: questi sono temi rilevanti e saranno sempre più Pag. 17rilevanti, perché gli attacchi fisici sono più problematici. Quelli cyber avvengono tutti i giorni. Se un giorno entrassero nell'INPS e gli italiani non prendessero la pensione per un mese, oppure se un giorno facessero scomparire i conti correnti, scoppierebbe la rivoluzione, senza bisogno di fare attentati.
Così come è fortissima l'azione di attori, anche statuali, nella ricerca di dati e di informazioni. L'ho detto l'altro giorno in un'intervista. Io non so perché, ma qualcuno da una nazione ha aggirato il Ministero dell'economia e si è studiato il bilancio. Chissà perché, mi incuriosisce. Sarà perché Giorgetti ha vinto il premio come migliore Ministro. Il livello di intromissione è continuo, costante. Lasciamo perdere le principali aziende tecnologiche: penso a Leonardo. Tutti i giorni c'è un tentativo di rubare tecnologie. Non tutti hanno le tecnologie, noi pensiamo di non essere avanzati, ma in molte tecnologie siamo la prima nazione al mondo.
È una difesa di interessi economici e strategici fondamentale, per l'oggi e per i prossimi anni, per cui serve un'attività legislativa. Ritengo sia uno degli atti legislativi fondamentali su cui costruire il futuro.
Non so, onorevole Mulè, rispetto al discorso di dare informazioni alla popolazione su cosa accade tutti i giorni, penso sia più utile fermarli. Va informata la popolazione, ma su cosa può essere pericoloso. A noi manca una formazione digitale avanzata, dalla scuola in su. Guardate tutto quello che succede su TikTok negli Stati Uniti, volendo aprire il capitolo di come i social vengono utilizzati per catturare le informazioni.
Qual è il tema alla base di tutto ciò? Prima abbiamo parlato dell'intelligenza artificiale. L'algoritmo base dell'intelligenza artificiale è quello che determina il modo con cui pensa l'intelligenza artificiale. Dopo un po' si perde il controllo dell'intelligenza artificiale, ma, anche quando si perde il controllo, l'anima è quella determinata dai valori che si mettono nell'algoritmo base. Se nell'algoritmo base non si mettono valori, quella non ha valori.
In una parte del mondo c'è un discorso molto ampio, profondo sui valori che si devono mettere e su come metterli. Penso alla battuta su ChatGPT che ha degli standard valoriali ben precisi. In alcuni Paesi non esiste alcuno di questi problemi. Per cui si crea uno strumento di cui, dopo un po', si perde il controllo, che non ha alcun valore. Questo è un altro tema che dobbiamo porci.
La quantità di dati che l'intelligenza artificiale potrà processare – ci tengo che rimanga agli atti – dipende dalle barriere che gli Stati hanno messe dalla privacy. Le barriere che il mondo occidentale ha – giustamente – messe dalla privacy (ad esempio sui dati sanitari), altri mondi non le hanno. Questo consentirà in alcuni settori, in primis quelli medici e biomedici, di avere molti più risultati in nazioni in cui non si ha alcuna barriera della privacy, la Cina in primis, che in alcuni settori, ad esempio quelli dei dati sanitari, ha una possibilità di elaborazione dati che tutto il resto del mondo non ha, sia per quantità di soggetti sia per assenza di qualunque tipo di barriera, ed è un altro tema che dobbiamo porci, perché è un tema estremamente rilevante. Viviamo in un mondo totalmente diverso da quello in cui vivevamo cinque anni fa, che muterà ogni mese.
Dico una cosa che non dovrei dire. Ieri, passando dalla Camera al Senato, ho visto la differenza dei tempi di approvazione e dibattito. Non mi ero mai reso conto di come funzionasse il Senato rispetto alla Camera. È un altro mondo, come tempistica. Questo mondo accelerato riguarda anche i nostri meccanismi, la velocità con cui vengono affrontate alcune decisioni all'interno di questi consessi. Dovremmo anche pensare a procedure, a canali di procedure, accelerate all'interno di questi consessi. Io sono un fautore dell'aumento del potere legislativo, sono sempre stato uno che ha visto male, quando ero parlamentare, ma lo vedo male anche al Governo, l'utilizzo del decreto-legge come strumento, ma bisogna coniugare il potere legislativo con la velocità, perché temi come questi non possono avere un dibattito che dura un anno o due. In un anno o due cambiano le Pag. 18premesse da cui si è partiti, cambia il mondo.
Scusate, esco fuori tema, ma è impressionante vedere quello che è successo negli Stati Uniti, ad esempio. Trump mentre usciva dal giuramento ed entrava nel luogo della festa è uscito dall'Organizzazione mondiale della sanità e dal Patto per il clima di Parigi. Mentre passava da una stanza a un'altra ha preso due decisioni – lasciate perdere la condivisibilità o meno delle scelte – per le quali in Italia ci sarebbero voluti quattro-cinque anni per tutte e due. Lasciamo perdere le 100 firme messe il giorno dopo, ma in quel minuto, mentre passava, ha preso quelle decisioni. Questo è rilevante, perché Trump è comunque il Presidente di una nazione che è una nazione amica, ma dal punto di vista economico è una nazione che compete con noi, perché attrae capitali, attrae ricchezza, attrae anche nostre aziende. Se noi non costruiamo le stesse condizioni di attrattività, di velocità nel nostro Paese, non riusciamo a vincere la competizione internazionale. E parliamo di una democrazia. Le autarchie sono ancora più veloci: non devono neanche mettere le firme, probabilmente.
Questo è un tema, partendo dal discorso che abbiamo fatto oggi, secondo me, ancora più ampio, che coinvolge tutti voi. Sono temi che non hanno parte politica. Sono le regole su cui possiamo governare questo Paese nei prossimi anni. Non vedo colore politico: la velocità, secondo me, non ha colore, non è di sinistra o di destra, non possono esserci divisioni. La velocità del legislativo è come la cyber, non ha colore.
Grazie.

PRESIDENTE. Grazie a lei, Ministro.
Se non ci sono altre richieste di intervento, ringrazio i colleghi intervenuti e il Ministro Crosetto per le risposte.
Dichiaro, quindi, conclusa l'audizione.

La seduta termina alle 9.45.