https://www.pupia.tv - Roma - Contrasto evasione fiscale, audizione Frattasi
Alle ore 8.15, presso l'Aula del VI piano di Palazzo San Macuto, la Commissione parlamentare di vigilanza sull’anagrafe tributaria, in merito all'indagine conoscitiva sulle misure di contrasto all’evasione fiscale, sicurezza delle banche dati dell’anagrafe tributaria e tutela della riservatezza dei dati dei contribuenti, svolge l'audizione del direttore generale dell’Agenzia per la cybersicurezza nazionale, prefetto Bruno Frattasi. (02.04.25)
#pupia
Alle ore 8.15, presso l'Aula del VI piano di Palazzo San Macuto, la Commissione parlamentare di vigilanza sull’anagrafe tributaria, in merito all'indagine conoscitiva sulle misure di contrasto all’evasione fiscale, sicurezza delle banche dati dell’anagrafe tributaria e tutela della riservatezza dei dati dei contribuenti, svolge l'audizione del direttore generale dell’Agenzia per la cybersicurezza nazionale, prefetto Bruno Frattasi. (02.04.25)
#pupia
Categoria
🗞
NovitàTrascrizione
00:00:00Oggi continuiamo e proseguiamo nelle audizioni relative all'indagine conoscitiva sulle misure
00:00:09di contrasto all'evasione fiscale, sicurezza delle banche dati e delle anagrafe tributarie
00:00:14e tutela della riservatezza dei dati dei contribuenti.
00:00:16L'audizione è del Direttore Generale della Direttata per la Cyber-Sicurezza Nazionale,
00:00:22il Prefetto Bruno Frattasi.
00:00:24L'ordine del giorno reca l'audizione del Prefetto Frattasi ed è presente anche il
00:00:29Direttore Generale, oltre al Prefetto Bruno Frattasi, accompagnato dal capo di gabinetto
00:00:34Gianluca.
00:00:35L'audizione si inquadra nell'ambito dell'indagine conoscitiva sulle misure di contrasto all'evasione
00:00:42fiscale, come abbiamo detto, e ne ringraziare i nostri ospiti per la disponibilità a partecipare
00:00:46ai lavori della nostra Commissione.
00:00:47Do la parola al Prefetto Frattasi con la riserva per me e per i colleghi, al termine del suo
00:00:52intervento, di risvolgere domande e formulare osservazioni.
00:00:56Prego, Prefetto, a lei la parola.
00:01:00Grazie, Presidente, ed è l'occasione che vi viene offerta e l'opportunità alla mia
00:01:06agenzia di poter dare un contributo conoscitivo alla vostra attività.
00:01:13Saluto i componenti di questa Commissione, quelli che sono in presenza e quelli che sono
00:01:19in videocollegamento.
00:01:20Mi consenta di dire in apertura che ci sarà un passaggio nella mia audizione che poi conterrà
00:01:34riferimenti a informazioni particolarmente sensibili, per le quali chiederò opportunamente
00:01:43la non divulgazione.
00:01:44Grazie di aver dato questa precisazione, quindi proseguiamo con l'audizione, poi ci saranno
00:01:51i commissari che potranno formulare domande, in circuito chiuso ma aperto sulla Reptivu,
00:01:56al termine di questo, dato che c'è una parte sensibile e riservata, chiuderemo il collegamento
00:02:02e sarà riservata esclusivamente alla Commissione, con esclusione del mondo esterno, compresa
00:02:08i parlamentari collegati, rimarrà riservata alla Commissione.
00:02:11Grazie, prego la parola a lei.
00:02:14Cercherò di dare un quadro espositivo esaustivo, possibilmente, nelle parti in cui non lo sarà
00:02:23anche a seguito dell'interlocuzione, non potrà esserlo, mi riservo di poter poi fornire
00:02:29elementi successivi di chiarimento, di risposta integrativi a quelli che qui offro, nell'intento
00:02:38di dare anche un'esposizione chiara e in qualche maniera anche che dia un ampio spettro
00:02:48di quello che è l'attività che svolge l'Agenzia per la prevenzione del contrasto della minaccia
00:02:55informatica sul nostro Paese, dirò in apertura e in premessa alcune considerazioni che connotano
00:03:03esattamente come ci si confronta oggi in relazione alla minaccia e quali sono le minacce prevalenti,
00:03:11soprattutto con riferimento a quelle che hanno riguardato e riguardano le banche dati critiche
00:03:18del nostro Paese, con particolare riferimento a quelle che sono gestite dall'Agenzia dell'entrata,
00:03:25con riferimento al sistema di fiscalità.
00:03:28Riguardo alla minaccia informatica in generale e alla postura di ACN con riferimento a tale
00:03:36minaccia è ovvio che come riportano le relazioni sia della nostra agenzia, la redazione annuale
00:03:45del 2024 che fa scivastato rispetto al 2023 e tra un mese circa, all'inizio di maggio
00:03:54sarà presentata in corrispondenza con il termine di fine aprile, previsto per legge
00:04:00la relazione annuale 2025 con riferimento al 2024 e si conferma anche qui un trend di
00:04:08crescente esposizione del Paese a superficie digitale del Paese alla minaccia informatica,
00:04:15minaccia informatica che si esprime in vari tipi di attacchi, vari tipi di attacchi che
00:04:20sono legati in parte anche al contesto geopolitico e alla situazione geopolitica che è in atto,
00:04:29come sapete nello scorso mese, perché è stata data anche un'evidenza mediatica a queste
00:04:38forme di attacco, gruppi di attivisti hacker filorussi o comunque proxi all'attore statuale
00:04:49russo hanno sferrato contro la nostra superficie digitale, contro vari siti, portali di amministrazioni
00:04:57pubbliche, enti pubblici, anche operatori del settore privato importanti, soprattutto
00:05:03aziende sanitarie locali una campagna di DOS, cioè sono delle negazioni di servizi che
00:05:15vengono naturalmente determinate da questi attacchi, negazioni di servizi digitali verso
00:05:25il client, cioè verso il fruitore del servizio che è nella impossibilità di vedersi erogati
00:05:33questi servizi digitali a causa del down che i servizi subiscono per effetto dell'attacco
00:05:42che provoca un esaurimento delle risorse di sistema e quindi una impossibilità oggettiva,
00:05:48questi attacchi che hanno una certa gravità in termini di servizio e in termini di disagio
00:05:56dell'utenza, è anche quindi un riferimento al danno sociale che ne può derivare, tuttavia
00:06:04non hanno una rilevanza molto sensibile dal punto di vista dell'integrità, confidenzialità
00:06:11e disponibilità dei dati, perché come credo sia noto non determinano una esfiltrazione
00:06:18del patrimonio informativo del soggetto che viene esposto all'attacco, non determinano
00:06:24quindi una perdita significativa di tale patrimonio e in genere non determinano conseguenze da
00:06:33questo punto di vista, se non quelle che come dicevo, sono legate al disagio che l'utenza
00:06:41tuttavia va incontro. Riguardo alle minacce più insistenti, quella che sicuramente mi
00:06:50permetto di segnalare è pericolosa, è quella del ransomware, oggi è una minaccia di carattere
00:06:58mondiale, è una minaccia che quindi vede interessati tutti i paesi avanzati, interessati
00:07:07sia per l'estensione della superficie informatica, perché è noto che maggiore l'estensione
00:07:15della superficie informatica, maggiore il grado e il livello di esposizione agli attacchi
00:07:21del soggetto che li riceve, dell'entità statuale che può, è suscettibile di vedersi
00:07:33vittima di questi attacchi, è un danno doppio in questo caso, perché come spesso ripeto
00:07:39è un danno informatico che subisce l'entità attaccata ed è un danno anche economico che
00:07:49subisce il paese e l'entità attaccata, perché la restituzione del patrimonio informativo
00:07:55colpito dall'attaccante viene accompagnata dalla richiesta di un pagamento di criptovalute
00:08:05in genere, un pagamento di moneta virtuale che corrisponde in casi determinati a un cuspicuo
00:08:16danno patrimoniale per il soggetto che si trova nelle condizioni di subire tale attacco
00:08:22e questo è un fenomeno mondiale, come dicevo, che viene seguito dalla mia agenzia, ma anche
00:08:31dal Ministero dell'Economia e Finanze, dai colleghi del Ministero dell'Economia e Finanze
00:08:36nell'ambito di questa iniziativa che è stata messa su di contrasto arranzo e di carattere
00:08:41internazionale che vede cooperare più di 50 paesi, forse sono addirittura 60 in questo
00:08:48momento o qualcosa del genere, che si riuniscono per confrontarsi sul modo di reagire in maniera
00:09:01coesa e possibilmente coerente alla minaccia ransomware. In questo ambito, lo dico qui
00:09:10soltanto fugevolmente, si dibatte il tema del divieto del pagamento del riscatto, è
00:09:19un tema su cui noi stiamo riflettendo domesticamente, ci stiamo confrontando, ci siamo confrontati
00:09:25anche nell'ambito del nucleo di sicurezza cibernetica che presiedo presso l'agenzia
00:09:30con i colleghi della Banca d'Italia e con il Procuratore nazionale antimafia e antiterrorismo.
00:09:36Ne approfitto per aggiungere un'altra informazione con una legge recente, di cui poi dirò qualcosa
00:09:44in seguito, la legge 90 del 28 giugno 2024, infatti questo organismo che siede presso
00:09:52l'agenzia, il nucleo per la sicurezza cibernetica, è stato previsto che possa riunirsi in una
00:10:00composizione speciale ma particolare con la presenza di rappresentanti della Banca
00:10:09d'Italia e della Procura nazionale antimafia e antiterrorismo e lo abbiamo già fatto proprio
00:10:18con riferimento, l'abbiamo fatto intorno alla fine dell'anno passato, nel 2024, con
00:10:22riferimento ai fatti che avevano interessato e qui poi vengo all'argomento, le esfiltrazioni
00:10:29di informazioni sensibili in banche dati critiche. Infatti, e qui arriviamo all'argomento, ci
00:10:39siamo concentrati nell'ultimo periodo del 2024 e tale applicazione, tale attenzione
00:10:47prosegue anche ora, sulla particolare forma di minaccia che può essere rappresentata
00:10:55dalla cosiddetta insider threat, cioè dalla minaccia interna rappresentata dall'operatore
00:11:01infedele che per motivi che possono essere i più vari può avere accesso a informazioni
00:11:11critiche, sensibili, di carattere personale a cui si accede, a cui l'operatore infedele
00:11:22può avere accesso in base alle proprie credenziali e poterne avere conseguentemente la disponibilità
00:11:33di questa informazione per poter essere ceduta illegittimamente, illegalmente a terze parti,
00:11:38a terze persone. Nella eminenza degli eventi che hanno contrassegnato i fatti noti emersi
00:11:50verso la fine dello scorso anno, ottobre-novembre del 2024, che contrassegnarono evidentemente
00:11:58con anche rilievo mediatico le sfiltrazioni di dati e di informazioni sensibili che erano
00:12:04state poste a carico di soggetti anche appartenenti al perimetro di sicurezza nazionale cibernetico
00:12:14e poi dirò che cosa si intende per il perimetro di sicurezza nazionale cibernetico, sto parlando
00:12:19di una banca sistemica e sto parlando del sistema informativo Interforza, cioè dell'Interforza
00:12:24del Ministero dell'Interno, ebbe a specificare in quella occasione che questo tipo di minaccia
00:12:31rappresentata dall'operatore interno non era da correlare esattamente soltanto e più
00:12:38propriamente a una debolezza intrinseca delle difese cibernetiche tecniche delle superfici
00:12:45violate, ma era piuttosto da intendersi con riguardo allo sfruttamento illecito di credenziali
00:12:54massimo privilegio che operatori avevano del tutto legittimamente avuto originariamente
00:13:00e di cui avevano fatto abuso per le ragioni, come dicevo prima, più varie, sicché qui
00:13:06non era tanto un tema che veniva in rilievo di adeguatezza e robustezza e invulnerabilità
00:13:14dei sistemi da parte di un attaccante esterno, che era la massima minaccia, la principale
00:13:23minaccia a cui guarda il sistema di difesa dei nostri apparati digitali, ma era sostanzialmente
00:13:29legato allo sfruttamento illegale, illecito naturalmente, della disponibilità di un operatore
00:13:37interno in possesso delle massime credenziali o di credenziali ampie per avere accesso a
00:13:43banche dati critiche e poterne fare commercio delle informazioni così ottenute.
00:13:48Sicché come ebbe anche a dire, sperando di dare un'idea anche a chi non fosse in qualche
00:13:59modo, non avesse una particolare contezza, consapevolezza dei modi e dei sistemi con
00:14:08cui si difendono banche dati critiche, ebbe a dire che sostanzialmente sembrava di trovarmi
00:14:14di fronte a dei casi nei quali, per fare una rozza ma credo forse efficace esemplificazione,
00:14:23il portiere di un albergo passa dei chiavi al topo dell'albergo nel momento in cui si
00:14:29allontana il cliente, quindi è chiaro che tu puoi avere la massima robustezza delle
00:14:34serrature, la massima robustezza delle difese, ma contro una ipotesi del genere ci sono
00:14:41dei metodi comunque per minimizzare questo tipo di danno, certo questo tipo di danno
00:14:49da operatore interno può essere minimizzato attraverso misure organizzative e procedurali
00:14:56che monitorano gli accessi e consentono il tracciamento degli accessi da parte degli
00:15:02operatori interni e questo sistema non è che non esistesse nel momento in cui sono
00:15:10verificati questi fatti nell'ambito della panoplia delle misure di sicurezza informatiche
00:15:16che erano già state stabilite con precedenti provvedimenti, c'erano, il problema che è
00:15:23dato in questi casi e che si è evidenziato in questi casi è che questo complesso di
00:15:27misure era stato, ancorché adottato, tuttavia inefficace a contrastare questi accessi,
00:15:36inefficace a rilevarne l'anomalia, inefficace a rilevarne la non compliance per una evidente
00:15:48ragione a mio modo di vedere, l'evidente ragione sta nel fatto che l'accesso da parte
00:15:55di questi operatori in possesso di credenziali avveniva con modalità tali che anche il sistema
00:16:04di alerting interno, il sistema di allarme interno non avrebbe potuto in tempo reale
00:16:09rilevarlo efficacemente, visto la combinazione tra l'ampiezza delle credenziali ottenute
00:16:16dall'operatore, il numero delle operazioni effettuate che poteva ritenersi anche irrilevante
00:16:22rispetto a un'ipotesi di abuso o comunque non certamente sospetto e quindi da questo
00:16:30punto di vista il sistema di difesa da questo tipo di minaccia non è stato in grado di
00:16:39poterla rilevare adeguatamente ed è venuto a evidenza soltanto ex post, soltanto a fatti
00:16:45avvenuti, quindi il nostro intervento rispetto a questi fatti, poi parleremo dell'agenzia
00:16:55delle entrate, il nostro intervento rispetto a questi fatti che riguarda tutte le banche
00:16:59dati critiche, ovviamente nell'ambito delle banche dati critiche vanno comprese anche
00:17:04quelle da anagrafe tributarie, anche quelle che sono gestite dal soggetto di cui parleremo
00:17:08oggi dall'agenzia delle entrate, naturalmente ha comportato due tipi di reazione da parte
00:17:15nostra, la prima è ribadire il tessuto normativo che avevamo, cioè che avevamo già a disposizione
00:17:24facendo presente due cose, la prima è che questo tipo di minaccia, questo tipo di incidente
00:17:30informatico, perché è comunque un incidente informatico, perché pur quando manca un attaccante
00:17:37esterno e anche quando in effetti la violazione di quel sistema non avviene per effetto di
00:17:42un attacco portato da un attaccante malevolo che opera esternamente ai sistemi, ma avviene
00:17:48per effetto di un'azione interna dell'operatore infedele, è comunque un incidente informatico,
00:17:54perché l'incidente informatico per definizione è quello che compromette la disponibilità
00:17:59del dato, la legittima disponibilità del dato e in questo caso non c'è dubbio che l'intenzionalità
00:18:05dell'operatore, però un'intenzionalità che nel momento in cui accade l'evento non
00:18:10è rilevabile immediatamente, ma è rilevabile soltanto se funziona un sistema di alerting
00:18:16che fa scattare in qualche modo un'allarme, da questo punto di vista è chiaro che andava
00:18:23comunque affrontata con un provvedimento che chiarisse due cose, la prima è che si trattava
00:18:31comunque effettivamente anche in questo caso, l'operatore interno infedele, si chiarisse
00:18:37e si debbadisse che si trattava di un incidente informatico a tutti gli effetti e che l'incidente
00:18:43informatico a tutti gli effetti si avviene a danno di infrastrutture, di banche dati
00:18:47critiche del Paese, soprattutto di quelle che sono poste all'interno del perimetro
00:18:52di sicurezza nazionale cibernetica e per le quali quindi si pone un problema di elevata
00:18:57tutela della riservatezza del dato e di protezione informatica, non può non essere correlata
00:19:07a un obbligo di notifica degli incidenti all'OCSIRT, cioè alla mia agenzia, nell'ambito delle
00:19:14sei ore dall'avvenuta scoperta della rilevazione, obbligo che non c'era, obbligo che abbiamo
00:19:20introdotto ora con una modifica al DPCM del 2021 che oggi all'attenzione del Parlamento
00:19:29è stata portata all'approvazione preliminare del CIC, del Comitato Interministeriale per
00:19:34la Cyber Sicurezza, è stata portata come prevede la procedura approvativa alla parere
00:19:43del Consiglio di Stato che si è già espresso favorevolmente al riguardo e ora è all'esame
00:19:48delle commissioni parlamentari, prima è una commissione parlamentare affari costituzionali
00:19:54e trasporti della Camera dei Deputati per il parere, oltre che è stato comunicato al
00:20:00COPASIR come prevede la norma, quindi oggi, domani anzi quando sarà formalizzato a completamente
00:20:11di questo complesso iter procedurale sarà adottato questo DPCM che chiude in qualche
00:20:20modo questa vicenda con una doppia precisazione, come dicevo prima, che anche in questi casi
00:20:27di operatori infedele non c'è dubbio che si tratti di incidenti informatici, la tossonomia
00:20:32degli incidenti è stata aggiornata quindi, è stata aggiornata prevedendo proprio che
00:20:37c'è un ulteriore casus che è quello dato proprio dall'accesso abusivo fatto da un
00:20:47operatore infedele e naturalmente da un operatore interno, dico infedele per dire che abbia
00:20:55operato in dissonanza rispetto a quelli che sono le norme etiche, ma anche giuridiche
00:21:04che presiedono l'accesso alle banche dati critiche, quindi è un abuso delle credenziali
00:21:14accordate a quell'operatore e che questo tipo di incidente informatico è soggetto
00:21:20obbligo di notifica, erano delle precisazioni doverose, dovevamo farle etc., voglio anche
00:21:26aggiungere che nell'imminenza, siccome il procedimento di aduzione di questo DPCM come
00:21:32ho già illustrato è complesso Presidente, perché comporta una lunga gestazione che
00:21:39porterà adesso credo alla conclusione tra un po' di tempo, per evitare che nelle more
00:21:50dell'adozione di questo decreto, incidenti di tal fatta che avevano anche scosso l'opinione
00:21:55pubblica, perché c'è in qualche modo una compromissione della fede pubblica in questo
00:22:03caso, ma come è possibile? Si domandava, come ricorderà, che informazioni rilevanti
00:22:10che appartengono anche e che riguardano anche la sfera privata di soggetti che hanno responsabilità
00:22:16di rilievo nel nostro Paese, come sappiamo e non faccio riferimenti né a persone né
00:22:21ai loro incarichi, vedessero violata la loro sfera di riservatezza e quindi con grave discredito
00:22:29anche dei gestori dei sistemi, da un certo punto di vista, questo andava affrontato immediatamente
00:22:36e infatti a novembre dello scorso anno, i fatti come ricorderà sono esplosi verso la
00:22:42fine di ottobre dello scorso anno, al novembre abbiamo editato una linea guida che era per
00:22:49il rafforzamento della protezione delle infrastrutture critiche, delle banche dati critiche del Paese,
00:22:54in cui si diceva in attesa e nell'emore dell'adozione di questo decreto, notificate alla mia agenzia,
00:23:01notificate all'Oxirt, notificate all'ACN tutti i casi sospetti nei quali voi avete rilevato
00:23:08accessi, forme di accesso abusivo alle banche dati critiche, perché pur in assenza di norma
00:23:15volevamo conoscere con tempestività se incidenti dello stesso tipo, della stessa fisionomia,
00:23:22della stessa morfologia di quelli di cui sto parlando si verificassero ancora perché fosse
00:23:29attenzione rispetto a questo particolare rischio interno.
00:23:32Questo è un po' il quadro generale di quello che abbiamo fatto recentemente, di come si
00:23:43sta ancora procedendo per dare una risposta più efficace e più efficiente al tema della
00:23:50protezione delle banche dati critiche.
00:23:53Questo di PCM in particolare prevede, e questo è particolarmente importante dirlo perché
00:24:01come poi avrò modo di dire in seguito, trova già corrispondenza nelle pratiche di tutela
00:24:09che vengono applicate dall'agenzia delle entrate sulle proprie banche dati critiche.
00:24:15Prevede, che è fondamentale in informatica, una valutazione preliminare di quelle che sono
00:24:28le possibili case, la possibile casistica di abuso che si può verificare sulla base
00:24:38di qualità e quantità dei dati e delle informazioni che sono inserite e gestite in quella banca
00:24:46dati.
00:24:47Naturalmente non tutte le banche dati hanno la stessa estensione e conformazione, non tutte
00:24:56le banche dati critiche del Paese che sono gestite dai soggetti perimetri, io faccio
00:25:03riferimento principalmente ai soggetti del perimetro di sicurezza nazionale cibernetica,
00:25:07naturalmente laddove c'è custodita la cassaforta, in quella cassaforta sono custoditi
00:25:14i beni della Corona, come si potrebbe dire, cioè le più preziose banche dati critiche
00:25:20che il Paese detiene, perché si riferiscono a funzioni e servizi essenziali per la continuità
00:25:25della nostra vita economica, civile, sociale, politica eccetera, quindi stiamo parlando
00:25:31di sicurezza nazionale.
00:25:36Naturalmente l'attenzione e le misure devono essere correlate alla dimensione quali quantitativa
00:25:48è la banca dati a cui si fa riferimento, per fare un esempio in uno dei casi che si
00:25:57sono verificati la banca dati che era stata in qualche modo interessata da questi accessi
00:26:05abusivi interni era sostanzialmente una banca dati e una banca dati a cui accedono qualche
00:26:13migliaio, centinaia di migliaia di operatori al giorno, quindi avere ripetutamente accessi
00:26:26ripetuti perché sono riferiti sia ad accertamenti di carattere amministrativo, sia ad accertamenti
00:26:31di carattere investigativo, di iniziativa o su delega, quindi in realtà sono accessi
00:26:35e che dove non c'è una segregazione o compartimentazione di questa banca dati, sicché la rilevazione
00:26:45dei casi di abuso diventa più complessa perché è collegata e connessa a un perimetro molto
00:26:59ampio, molto esteso della banca dati che viene in evidenza in questo caso, quindi nella modifica
00:27:08del DPCM a cui ho fatto più volte riferimento e che guarda proprio a questo specifico evento,
00:27:14a questo specifico tipo di impatto, da parte dell'operatore infedele interno noi abbiamo
00:27:21voluto specificare che il gestore del sistema deve anche verificare per tagliare le proprie
00:27:29misure di sicurezza interna in maniera adeguata e conforme al rischio, deve valutare la consistenza
00:27:37della propria banca dati naturalmente, cioè deve proporzionare la sua risposta alla qualità
00:27:44e quantità dei dati che vengono possibilmente aggrediti dall'operatore interno, quindi diciamo
00:27:53che è una valutazione qualiquantitativa, così l'abbiamo chiamata, che deve precedere la definizione
00:27:59delle misure di audit interno che devono essere fatte dal gestore di sistema.
00:28:08Ho affrontato subito, perché mi sembrava che fosse corretto farlo, il profilo di rischio
00:28:18che più interessa questo tipo di eventi che hanno un po' scosso, come dicevo prima, l'opinione pubblica.
00:28:29Passiamo adesso a dare un inquadramento su quelli che sono i sistemi informativi dell'agenzia
00:28:40dell'entrata e come sono tutelati, come sono protetti.
00:28:47Vorrei qui ricordare che l'agenzia dell'entrata è un soggetto del perimetro di sicurezza nazionale
00:28:54cibernetico. Il perimetro di sicurezza nazionale cibernetico è un sistema che il nostro Paese
00:29:02si è dato qualche anno fa, subito dopo la prima direttiva NIS1, è un sistema che vede coinvolti
00:29:13enti, amministrazioni del settore pubblico, ma anche operatori del settore privato, banche
00:29:20sistemiche, Intesa San Paolo, Unicredit, operatori del sistema energetico italiano, nazionale,
00:29:33operatori del sistema della comunicazione, del sistema dei trasporti, che naturalmente conferiscono
00:29:44al perimetro di sicurezza nazionale, cioè consentono l'inserimento in questo perimetro, quindi con una
00:29:55stregua molto elevata di sicurezza informatica, la più elevata che oggi abbiamo nel Paese,
00:30:01quelle funzioni essenziali o quei servizi essenziali alla continuità dell'attività che essi stessi svolgono.
00:30:12Naturalmente non tutte le funzioni e non tutti i servizi che sono amministrati o gestiti da queste entità,
00:30:20pubbliche o private che siano, sono conferite al perimetro, cioè non tutta la superficie digitale,
00:30:27nell'esempio fatto di soggetti come Eni, Enel, Terna o Banca Intesa, sono inserite in perimetro, ma soltanto
00:30:34quelle che sono considerate essenziali alla business continuity e dal punto di vista della sicurezza nazionale
00:30:41dell'entità pubblico-privata appartenente al perimetro. Nel caso di specie, per quello che può riguardare alcuni soggetti,
00:30:54per esempio i servizi e le funzioni legate più strettamente all'erogazione dei servizi digitali
00:31:01che possono essere impattati, la cui compromissione può determinare quella interruzione che può determinare
00:31:09un grave danno al Paese. La legge del perimetro di sicurezza nazionale cibernetica naturalmente poi è una legge
00:31:21che è stata fatta nel 2019 e che poi ha visto a cascata dei provvedimenti attuativi in cui si inseriscono quelli PCM,
00:31:36sono stati fatti, in cui vengono declinate le misure di sicurezza a cui gli stessi soggetti appartenenti al perimetro
00:31:42devono rapportarsi, per i quali è prevista la loro compliance. Devo dire anche che il decreto che ho citato prima
00:31:56e che oggi è oggetto di modifica appartiene proprio a questo plesso di norme di sicurezza che sono state adottate
00:32:03in relazione alla legge del perimetro di sicurezza nazionale cibernetico, quindi sostanzialmente è una legge che poi ha
00:32:10devoluto al governo il compito di fissare attraverso questi provvedimenti il perimetro esattamente delle misure che devono essere rispettate
00:32:23e come devono essere rispettate attraverso quali pratiche, definendo come dicevo la tassonomia degli incidenti, la risposta che deve essere
00:32:32fornita rispetto a questo potenziale rischio in termini di sicurezza informatica e così via, quindi in realtà configura proprio un plesso
00:32:40normativo nel suo insieme. Per quello che riguarda l'agenzia delle entrate, il livello di protezione che è stato conferito
00:32:57e le funzioni di servizio di cui poi dirò dell'agenzia delle entrate è quello approprio definito dalla legge del perimetro e dai provvedimenti attuativi.
00:33:12In quanto soggetto perimetro l'agenzia delle entrate deve essere in compliance, quindi deve essere soggetta e rispettare obblighi stringenti in materia di misure di sicurezza, notifiche di incidenti
00:33:31ho già fatto riferimento al fatto che ci sono delle modifiche portate con il decreto che prevedono che l'incidente a cui facevo riferimento prima, quello dell'insider threat
00:33:47debba essere notificato entro 6 ore, ma nei casi ancora più gravi di incidenti la notifica, vi è soggetto a questo obbligo anche l'agenzia delle entrate,
00:33:57dell'incidente deve avvenire entro un'ora dall'impatto avvenuto, quindi è ancora più immediata la risposta e l'allertamento dell'agenzia.
00:34:11Ne approfitto per dire una cosa che vorrei fosse chiara ai componenti di questa commissione, cioè la sicurezza informatica e la resilienza del Paese si affida a due concetti fondamentali,
00:34:27la prevenzione come ogni forma di sicurezza, che vuol dire in questo caso protezione degli apparati e protezione dei servizi, significa quindi assicurare le difese cibernetiche necessarie rispetto al rischio che viene calcolato, valutato in relazione a quella determinata superficie e risposta,
00:34:47risposta che nel nostro caso non vuol dire capacità di contraattaccare rispetto all'attacco ricevuto, ma in termini di resilienza significa capacità del soggetto di riprendere l'ordinaria funzionalità dei servizi una volta che è avvenuto l'impatto e nel più breve tempo possibile,
00:35:10quindi la sicurezza informatica in termini di resilienza si articola su questi due principi, il principio della protezione e il principio della risposta, ma risposta si intende per risposta nel linguaggio della resilienza la capacità del soggetto, dell'entità impattata di restituire alla originaria, ordinaria funzionalità i servizi che sono andati in down per effetto del rischio.
00:35:41La necessità che un attacco possa determinare una grave perturbazione del soggetto attaccato, ora devo dire che in questo momento nonostante le condizioni a cui facevo scendere in premessa di particolare turbolenza geopolitica,
00:36:09fortunatamente nell'ambito del nostro perimetro di sicurezza nazionale cibernetica non registriamo eventi informatici che ci possano in qualche maniera restituire una fotografia non compromessa della nostra sicurezza nazionale.
00:36:32Quindi diciamo che con tutta la responsabilità del caso e tutta la prudenza del caso possiamo dire che il nostro paese ha un apparato di difesa informatica che si sta irrobustendo, deve crescere, dovrà crescere anche con l'applicazione dell'anissio 2, della legge 90 a cui ho fatto riferimento, ma che ora vede il nostro paese tra i paesi più avanzati dal punto di vista delle sicurezze cibernetiche.
00:36:58Questo va detto, questo va detto Presidente, perché ne approfitto l'occasione per dirlo, perché diciamo la controffensiva che subiamo anche da parte degli attivisti filorussi che come dicevo prima attaccano il nostro paese attraverso le campagne di DOS,
00:37:20attraverso questa forma di disinformazione che accompagna queste campagne di DOS tende a definire il nostro paese come un paese vulnerabile, come un paese che è alla merce dell'attaccante informatico e quindi come un paese che è in grave difficoltà dal punto di vista della sicurezza informatica.
00:37:50E' un frutto del pregiudizio ideologico che muove l'attaccante esterno che tende ad accompagnare la sua attività offensiva con una campagna di disinformazione che tende a disorientare l'opinione pubblica.
00:38:20E' una campagna di disinformazione che tende a colpire. Ora, ritornando alla notifica degli incidenti, ho detto di sei ore, quelli più gravi nel termine di un'ora, termini che devono essere rispettati da tutti i soggetti perimetro, compreso il soggetto dell'agenzia dell'entrata di cui stiamo parlando.
00:38:50La ripresa immediata dei servizi è giustificativa di questo stringente obbligo di sicurezza. Notificamelo entro sei ore, notifica entro un'ora perché l'agenzia abbia la possibilità intanto di avere conoscenza dell'incidente informatico avvenuto,
00:39:20c'è un'attività di consuccesso, un'attività di supporto e assistenza al soggetto colpito nel caso in cui non sia in grado di poter ripartire con le sue sole forze, cioè in base all'intervento che potrà fare con le sue capacità e quindi è necessario un intervento, come a volte è accaduto, di sostegno diretto e di supporto diretto da parte della mia agenzia.
00:39:46E quindi è fondamentale la conoscenza precoce dell'avvenuto incidente ed è fondamentale la notifica.
00:40:16Per i servizi non portati e non conferiti in perimetro i parametri di sicurezza informatica che andremo a stabilire in applicazione di questa direttiva europea. È una direttiva europea importante, io qui ne accenno soltanto per dire che è stata trasposta nel nostro ordinamento interno con un decreto legislativo di settembre dello scorso anno.
00:40:46La nostra agenzia, cioè il sottoscritto, adotterà una propria determina con cui verranno fissati innanzitutto gli obblighi di base che tutti i soggetti della constituency della NIS2, operatori sia pubblici che privati, dovranno rispettare, sia i soggetti importanti sia i soggetti essenziali.
00:41:10La direttiva NIS e la norma italiana distingue tra soggetti essenziali e soggetti importanti. L'agenzia delle entrate, per quello che riguarda il suo rapporto con la NIS2, è un soggetto essenziale.
00:41:24Quindi, ricapitolando, l'agenzia delle entrate è un soggetto perimetro per le funzioni essenziali e per i servizi che sono stati conferiti al perimetro di sicurezza nazionale cibernetica e in quanto tale si adegua e deve rispettare i vincoli di sicurezza informatica stabiliti da questa che è la più elevata e più alta stregua di sicurezza informatica che il Paese conosce e ha fissato.
00:41:48La parte residua, cioè per i servizi e le funzioni non appartenenti al perimetro, deve comunque rispettare l'essere in compliance con i vincoli che andranno stabiliti in esecuzione della direttiva NIS2 e del decreto legislativo 138 che saranno anche quelli presidiati da obblighi e sanzioni nei confronti di soggetti non compliance.
00:42:12Questo vale anche per la normativa perimetro, quindi per rendere effettivo ed efficace il sistema ovviamente sono previste prescrizioni ma sono previste anche reazioni, cioè possibili sanzioni nei confronti del soggetto non compliance.
00:42:42Naturalmente anche altri obblighi più generali che riguardano tutto il panorama pubblico che sono stati già previsti e fissati con la legge 90 a cui ho fatto riferimento più volte nel 2024.
00:43:12Quali sono le normative di rispetto che l'agenzia delle entrate deve avere presente per essere perfettamente in compliance con il nostro sistema di sicurezza informatica, quindi legge perimetro, direttiva NIS2 e legge 90.
00:43:33Dunque, più nello specifico vorrei darvi qualche informazione inoltre su come si è mossa in questo periodo di tempo l'agenzia delle entrate per rispettare tutto quello che ho qui riassunto.
00:43:58Allora noi per dare un panorama più completo possibile a questa commissione abbiamo anche avuto delle proficue interlocuzioni con la stessa agenzia delle entrate per comprendere esattamente la loro postura attuale.
00:44:17Ora, come probabilmente vi sarà stato già detto e già stato portato a conoscenza, l'agenzia delle entrate opera con un patente tecnologico che è il Sogei e naturalmente è un patente tecnologico che assiste non solo all'agenzia delle entrate ma assiste anche a tante altre entità del Paese
00:44:47nella gestione dei servizi informatici, dei servizi digitali e diciamo che in questo compito Sogei affianca tante entità critiche, molti dei servizi che oggi sono anche gestiti dalla nostra agenzia sono su Sogei.
00:45:18Per quanto riguarda l'agenzia delle entrate naturalmente sappiamo tutti che gestisce il titolare di un patrimonio informativo ampio costituito da numerose banche dati, di grandi dimensioni anche, un materiale informativo eterogeneo per strutture e contenuto e che come sappiamo anche per l'evoluzione della dinamica delle situazioni di carattere fiscale e di carattere informativo
00:45:45è soggetto a un costante aggiornamento e quindi con un importante tema anche della profondità temporale di questi aggiornamenti.
00:45:55Ora preciso subito che le regole di accesso e utilizzo degli applicativi e delle banche dati da parte dell'agenzia delle entrate sono tutte ispirate ai principi di necessità, pertinenza, non eccedenza, minimizzazione previsti dal regolamento sulla protezione dei dati personali, regolamento europeo che poi è dal codice in materia di protezione dei dati personali
00:46:25che corrisponde al regolamento 679 del 2016, quindi valgono quei principi generali che sono applicati a ogni entità critica del Paese.
00:46:43C'è un sistema naturalmente molto ben costruito per quello che ci costa di audit interno per quello che riguarda l'accesso alle banche dati dell'agenzia delle entrate,
00:47:13il tracciamento degli accessi, di tutti gli accessi e degli utilizzi dei sistemi informatici, questo proprio con lo scopo di raccogliere e analizzare tutte le informazioni di log che attengono alle operazioni che vengono effettuate dagli operatori interni al sistema,
00:47:43delle possibilità di accesso. Ci sono anche per alcuni sistemi per cui utilizzo e che utilizzo è ritenuto particolarmente delicato delle forme di tracciamento ancora più specifiche che vengono effettuate dall'agenzia senza il supporto di Sogei.
00:48:13La direzione centrale in questo sistema è la direzione centrale audit dell'agenzia delle entrate, che ha sviluppato delle importanti analisi informatizzate dei dati che sono relativi agli accessi alle loro banche dati,
00:48:39finalizzata proprio a che cosa? Ritorniamo alla questione che ho trattato fin dall'inizio, alla evidenza di comportamenti potenzialmente anomali da parte di operatori interni, cioè a questione degli accessi che vengono fatti da operatori interni con uso di credenziali legittime ma per finalità non corrispondenti alle funzioni attribuite
00:49:10ai compiti assegnati. Sono state fatte anche, da quello che ci costa, da parte dell'agenzia delle entrate con il partner tecnologico dell'agenzia delle entrate Sogei, sono state avviate anche dal 2024,
00:49:36dallo scorso anno, delle nuove analisi di protezione, una migliore e più efficace protezione dei propri sistemi per quello che riguarda l'accesso alla banca dati, serpico, da un'altra tributaria.
00:49:56Questo mi consente anche di dire che lo sfruttamento dei sistemi di intelligenza artificiale che oggi avanza, abbiamo una potenzialità ulteriore perché sappiamo che l'intelligenza artificiale può costituire una minaccia, lo sfruttamento dell'intelligenza artificiale verso le superfici digitali del nostro paese come gli altri paesi,
00:50:26sappiamo anche che l'intelligenza artificiale può proteggerci meglio, se ben utilizzata, dalla stessa minaccia informatica, quindi anche l'analisi degli indicatori che possono essere rilevatori della possibile compromissione di una superficie digitale può avvantaggiarsi e può avvalersi di sistemi di intelligenza artificiale.
00:50:53Ora, il sistema che è stato messo a punto è particolarmente complesso, prevede delle verifiche basate su fattori di doppia autenticazione, basate sulla possibilità anche di compilazione di maschere di accesso per l'operatore
00:51:20che consentono naturalmente, ove non venga compilata con precisione, non venga pertinentemente compilata quella maschera di accesso, il blocco dell'attività di accesso stesso, quindi non consentono l'ulteriore prosecuzione dell'accesso,
00:51:39quindi in realtà questi applicativi che sono stati disposti a favore di questa banca dati sembrano appartenere a una categoria di particolare robustezza e di particolare severità nella difesa informatica dei sistemi.
00:52:05Sono state avviate prima sperimentalmente in alcune articolazioni anche territoriali dell'agenzia delle entrate e dall'inizio di quest'anno sono entrate a pieno regime, sono state applicate in tutte le articolazioni e tutte le strutture dell'agenzia.
00:52:24Poi naturalmente l'agenzia delle entrate sappiamo che ha una strutturata forma di collaborazione con tante altre entità, cominciando dalla guerra di finanza, ma anche forme di collaborazione con altre entità non appartenenti al sistema del ministero dell'economia e delle finanze.
00:52:51Indico una per tutte, la direzione investigativa antimafia e altre entità simili con le quali ci sono accorri di collaborazione per stabilire le forme di accesso e di possibile acquisizione di dati e informazioni contenute in quel patrimonio informativo.
00:53:13Naturalmente anche queste forme di accesso che avvengono in forza di accordi collaborativi sono tutelate efficacemente dall'estensione di queste prassi di sicurezza informatica a cui ho fatto riferimento.
00:53:32La nostra interlocuzione con l'agenzia delle entrate, ricapitolando, avviene su tre livelli, su tre registri.
00:54:02Il perimetro, la NIS e la legge 90. Sono interlocuzioni che oggi avvengono nel rispetto di queste tre normative.
00:54:32Non abbiamo avuto segnalazioni di incidenti che abbiano in qualche modo compromesso questa superficie e questo va anche a testimonianza del livello di protezione di queste strutture.
00:54:54Grazie.
00:54:56Grazie Prefetto. È stato molto importante e illustrante quelli che sono i temi della cyber sicurezza che è un tema che riguarda la sicurezza nazionale e è attenzionato non solo da questa Commissione ma è un tema ovviamente nazionale che coinvolge anche la comunicazione, i cittadini e le imprese.
00:55:16Ora io lascerei la parola ai commissari per osservazioni e chiarimenti. Se le domande che dovessero fare i commissari coinvolgeressero situazioni, come abbiamo detto, che riguardano particolarmente la sicurezza lo faremo nella seconda parte in cui sarà più riservata e secretata la sua Commissione, quindi lei dica tranquillamente se risponderemo nella seconda parte.
00:55:42Prego, vedo che è collegato anche l'onorevole Vice Presidente Centemero, c'è qui il segretario onorevole Curti, se qualcuno vuole fare una domanda, prego dei commissari.
00:55:58Ha chiesto di parlare, scusami Giulio, ha chiesto di parlare Vice Presidente Centemero, prego.
00:56:07Allora, prima domanda, ho sentito che parlava del ransomware, quindi dei riscatti che vengono chiesti in criptovalute in caso di sequestro dei dati da parte di hacker, volevo chiedere quali sono le criptovalute più utilizzate?
00:56:26Se non è possibile rispondere in questa sede poi magari mi metto in contatto con il gabinetto del prefetto perché mi interesserebbe proprio svolgere una ricerca su questo.
00:56:35In secondo luogo, ne abbiamo già parlato col prefetto, trovo che sia sempre più importante sviluppare quello che è un progetto dell'Autority, che condivido in pieno e di cui abbiamo discusso,
00:56:52che è l'istituzione di una sandbox, non solo per l'intelligenza artificiale ma anche a questo punto proprio sulla cybersicurezza in modo da sviluppare nuovi sistemi e in maniera rapida perché mi sembra che sia tutto molto in evoluzione.
00:57:08Terza domanda, questa probabilmente non c'è una risposta, però parlava di hacker e attivisti filorussi. Qual è il sistema operativo che utilizzano maggiormente? Se è possibile saperlo? Magari sono anche sistemi operativi diversi, però se ci fosse un dato sarebbe molto interessante per capire le dinamiche degli attacchi.
00:57:35Ripeto, grazie, se la risposta coinvolge solamente una parte più riservata, la risposta va nella seconda parte.
00:57:42Ci sono altre domande?
00:57:46Molto velocemente, intanto per ringraziare la Prefetta della sua disponibilità e dell'ampia relazione che ci ha fatto su questo tema che come Commissione stiamo seguendo sulle vicende oramai fin dall'inizio.
00:58:01Alcune delle domande l'ha già fatto il collega che mi ha preceduto. Facevo questa, sull'immagine ovviamente il sistema della Cyber Security è un sistema sempre in continua evoluzione, in continuo potenziamento così come immagino e come già diceva comunque ci saranno degli investimenti sulle prossime ovviamente che continuano sempre.
00:58:23Era solo per capire se la tecnologia che noi utilizziamo è una tecnologia italiana, chiamiamola, oppure se c'è una priorità, una priorità diciamo nella scienza della tecnologia italiana, ovviamente lo dico per ovvie ragioni, per tante situazioni che stiamo vivendo in questi giorni.
00:58:41L'altra domanda è più una curiosità, quello di capire l'intelligenza artificiale ovviamente è una cosa molto importante, è maggior ragione quando parliamo di sicurezza, quando parliamo di rete.
00:58:52Ovviamente gioca, se noi mettiamo su una bilancia in questo momento potrebbe giocare più a favore degli hacker o più a favore nostro per contrastare gli hacker perché è chiaro che è uno strumento a disposizione non solo nostro ma anche di chi cerca di potenziare la propria attività illecita comunque sia nell'attaccare i nostri sistemi.
00:59:20Quindi immagino che ne avranno un beneficio, dovremmo avere anche il terrore del beneficio da parte loro nell'utilizzo dell'intelligenza artificiale. Ecco queste erano le domande, grazie.
00:59:32Ne faccio anch'io un paio di osservazioni che mi sono scaturite adesso durante la sua relazione che è stata molto ampia e illustrativa e completa.
00:59:44Mi raccollego quello che ha detto anche l'onorevole Curti, noi utilizziamo, ampli la domanda rispetto a se fosse sia nazionale l'utilizzo di sistemi anche al di fuori del nostro perimetro italiano, quindi noi utilizziamo probabilmente nelle varie agenzie software.
01:00:04Gran parte sono fatti da Sogei e credo, come è stato risposto, che in parte sono stati fatti anche da società private.
01:00:14Quindi la prima domanda è in che misura noi riusciamo a controllare la sicurezza attraverso chi produce questi software.
01:00:26Quindi le società, al di là dell'errore umano e della persona infedele, in che misura chi è il produttore di questi software, avendo la sorgente, può intervenire su quello che è l'estrapporazione dei dati.
01:00:48Avviene dai telefonini, avviene dai sistemi di trasmissione generale e quindi anche, oltre ai sistemi dei software, anche l'utilizzo dell'intelligenza artificiale ha un papà o una mamma, quindi chi è quale sistema, come riusciamo a controllare sempre la sicurezza di chi sostanzialmente fornisce software o sistemi di intelligenza artificiale.
01:01:15La seconda domanda è che noi abbiamo visto quello che è il sistema dell'infedeltà umana, della criticità di sistemi informatici, faccio un passo avanti e dico noi abbiamo avuto, non so se si può rispondere qui, ma abbiamo avuto il sorvolo di droni stranieri su sistemi che si stanno occupando, altre realtà importanti della sicurezza nazionale, su sistemi sensibili italiani.
01:01:43Quindi voglio dire in che misura il sistema, se viene considerato e può essere considerato in futuro, il sistema anche dei sistemi di aerospazio, satellitari, eccetera, che possono andare a prendere oltre dati sensibili nazionali nel perimetro soprattutto delle realtà più sensibili.
01:02:03E l'ultimissima cosa è un suggerimento, abbiamo un'accelerazione di quelli che sono i sistemi tecnologici, indubbiamente, ma il sistema legislativo non riesce a correre pari a quelli che sono necessità di velocità, di processi innovativi, ma ugualmente se ci sono dei suggerimenti che possiamo fare oltre a quelli che sono in corso sul sistema legislativo ovviamente questa Commissione saprà recepire con grande attenzione i suoi suggerimenti.
01:02:33Grazie per le domande, grazie molte, cerco di rispondere a tutte, poi se ci sono degli aspetti non sufficientemente affrontati per carenza di dati a disposizione in questo momento ovviamente potrò integrarli in un momento secondo.
01:02:48Parto dalle domande fatte dall'onorevole Centemiro che se è in collegamento saluto molto cordialmente come saluto ovviamente anche quelli che non mi hanno rivolto la mano, è ancora in collegamento.
01:03:18E' la bitcoin che è una delle monete virtuali, degli asset virtuali, ma non è la sola, non è esclusiva, io naturalmente guardo il fenomeno dal punto di vista della resilienza e della difesa da questa minaccia.
01:03:40Riguardo alle forme attraverso le quali si realizza e purtroppo si realizza spesso come dicevo la pretesa estorsiva attraverso il pagamento della somma, naturalmente questi sono gli aspetti e i profili che attengono al crime investigation e quindi ha una dimensione che non è esattamente e propriamente quella della resilienza.
01:04:03Però da quelli che sono i documenti che sono venuti all'attenzione su questo tema del ransomware posso dire che presuntivamente poi farò una verifica, ma credo che una delle monete virtuali, delle criptovalute più utilizzate
01:04:26sia, qui intanto il tema non è quanto quello dell'uso, se mi posso permettere, di quale sia la criptovaluta più usata, più utilizzata.
01:04:37Il problema è del presidio dei trasferimenti che come sappiamo nel sistema della moneta reale è affidato proprio a scopo di non impedire lo sfruttamento dell'intermediazione finanziaria a scopo di riciclaggio con obblighi di notifica, di segnalazione delle operazioni sospette.
01:05:02Nelle operazioni che vengono in evidenza invece nel ransomware ovviamente avvengono attraverso questa forma di registro distribuito che si chiama blockchain che come conoscete tutti è una forma dove non esiste intermediazione da parte di un soggetto che gestisce in maniera centralizzata,
01:05:24ciò si chiama registro distribuito proprio per questo perché non esiste un'entità centralizzata che sostanzialmente interviene all'interno di una transazione tra un soggetto e un altro soggetto, una seconda parte,
01:05:41quindi in realtà l'intercettazione dei trasferimenti illeciti come potrebbe essere quello del pagamento di un ransomware non è presidiata con la stessa efficacia e con le stesse modalità in cui questo avviene nella finanza reale.
01:05:58Per quello che riguarda le sandbox normative sono perfettamente d'accordo con l'onorevole Centemero, sono degli spazi sostanzialmente di sperimentazione che vengono fatti anche in deroga alle normative vigenti perché in qualche modo tentano di conciliare quello che è un po' il tema che il Presidente Casasco ha toccato,
01:06:28e forse non soltanto lui, riguardo alla continua rincorsa tra regolazione e avanzamento tecnologico perché naturalmente noi normiamo cose di cui sappiamo o crediamo di sapere qualcosa,
01:06:45certamente non possiamo normare quello che non conosciamo ancora perché quando lo conosciamo probabilmente non facciamo le norme già quando questa stessa cosa è cambiata, quindi c'è questa continua rincorsa.
01:07:15Il sandbox normativo in qualche modo corrisponde all'esigenza di far sì che la regolazione normativa avvenga sulla base di una sperimentazione previa che è appunto fatta con deroga necessaria all'impianto normativo esistente e questo potrà riguardare anche lo sfruttamento dell'intelligenza artificiale perché si stiamo avventurando in un campo,
01:07:42quello dell'intelligenza artificiale che è già molto conosciuto perché i sistemi di intelligenza artificiale commerciali open source già esistono, vengono commercializzati e vengono anche usati, possibilmente vengono anche usati dagli attaccanti, ma i spazi di espansione dell'intelligenza artificiale sono assolutamente ancora tutti da esplorare e vedremo che cosa accadrà.
01:08:06Per quello che riguarda la terza domanda, cioè gli attivisti fidorussi come agiscono, con quali modalità, se ho capito bene la domanda, esattamente come c'è una forma centralizzata anche in questo caso degli attacchi che viene organizzata da questo gruppo che è un gruppo che non ha una radicazione territoriale nel nostro paese soltanto,
01:08:36lo dobbiamo immaginare anche qui come abbastanza eterogenea la loro collocazione territoriale, quindi l'attacco naturalmente fa sì che nel momento stesso in cui c'è l'attivazione di queste bot che vengono a esprimere la richiesta di accessi ai siti,
01:09:04determina il disservizio che poi procura l'interruzione dei servizi digitali.
01:09:34Cioè che contrappongono alla nostra sicurezza digitale la loro offensiva per motivi di appoggio ideologico alla federazione russa nel conflitto con l'Ucraina.
01:10:04E' l'evento che ha scatenato il conflitto medio orientale tra Israele e Hamas, quindi anche lì abbiamo avuto degli attacchi ridossi che sono stati mossi con le stesse identiche modalità dell'attaccante, con le stesse identiche modalità nei nostri confronti.
01:10:28Almeno probabilmente reiterati, anche numericamente inferiori, ma significativi anche questi dal punto di vista dell'impatto che hanno avuto sulla nostra superficie, anche se fortunatamente ora non se ne registrano da tempo.
01:10:52Ora passo alle domande dell'onorevole Augusto Curti che poneva una domanda sulla tecnologia italiana.
01:11:05Dobbiamo avere perfetta coscienza del fatto che noi adoperiamo pubbliche amministrazioni, entità private, adoperano tecnologie digitali prevalentemente di origine statunitense.
01:11:28Questo è evidente, noi adoperiamo un sistema di post elettronica che fa riferimento a un operatore, a Big Tech, adoperiamo software che fanno riferimento a operatori statunitensi e così via.
01:11:52Questo accade in ogni paese voluto, accade in tutta Europa, in tutto lo spazio europeo, c'è una diffusione ampia in tutto il mondo di questa tecnologia avanzatissima.
01:12:11Quello che le pone, onorevole, è il tema della sovranità digitale, se non ho capito male, legato alla sicurezza nazionale e su questo ci sono iniziative in corso.
01:12:25Adesso vedremo anche come si svilupperà questo discorso con riferimento al piano di prontezza perché come è stato già annunciato dal governo il piano di prontezza, quello che si è chiamato prima Rearm e adesso si chiama Prontezza,
01:12:44sarà un piano che dovrà anche integrare la sicurezza cibernetica nelle misure che dovranno essere adottate, nelle attività e azioni che dovranno essere intraprese.
01:13:00Quindi da questo punto di vista io mi aspetto che il... sì, dobbiamo finire.
01:13:07Allora riguardo all'intelligenza artificiale vado a chiudere, ho detto che oggi abbiamo un uso dell'intelligenza artificiale anche malevolo, non è però quello dalle ultime analisi che abbiamo fatto proprio in agenzia, sappiamo che oggi l'intelligenza artificiale riesce a incrementare il numero degli attacchi che vengono portati.
01:13:37Non tanto a incrementarne, almeno fino a questo momento, ma non è detto che non venga domani, la qualità offensiva di questi attacchi.
01:13:47Per quello che riguarda le domande fatte dal Presidente Casasco, riguardo all'episodio del sorvolo del drone, io non ho evidenze riguardo a una compromissione di assetti informatici quindi non posso risponderle, poi vedremo se sarà necessario fare delle integrazioni.
01:14:18Come è importante, ne ho fatto un cenno prima, l'integrazione della dimensione cibernetica anche con riguardo agli investimenti che dovranno essere fatti in questo campo nel piano di prontezza e di risposta che dovremmo dare in relazione alle iniziative che si stanno portando avanti anche in Europa.
01:14:38Grazie direttore, noi credo che siamo soddisfatti, poi credo che magari potevo ampliare con delle domande parallele per la conclusione dell'indagine nella luce di quello che succederà e quindi poter chiedere eventualmente anche risposte come abbiamo fatto.
01:14:57Considerando i tempi che ci stanno chiamando alla Camera direi che c'è anche una parte riservata che la Commissione è particolarmente interessata, quindi se siete d'accordo chiudiamo che non è interrompere perché la proseguiremo questa collaborazione perché è estremamente importante con la vostra agenzia anche in funzione del comitato interministariale appunto oggi fatto sul site per sicurezza, quindi è una collaborazione che continuerà ufficialmente o eventualmente in via.
01:15:27Se siete d'accordo passiamo e quindi interrompiamo il discorso della web tv e del circuito chiuso, passiamo alla parte riservata che poi ovviamente è secretata alla sola Commissione, grazie.