13/02/2023
Mario Laus
Morassut, Carè, D'Alfonso, Toni Ricciardi, Manzi, Marino, Girelli, Malavasi, Simiani, Forattini, Iacono»
2-00072

I sottoscritti chiedono di interpellare il Presidente del Consiglio dei ministri, per sapere – premesso che:

   nei giorni scorsi i sistemi informatici del nostro Paese, così come quelli di tutto il mondo, hanno subito un massiccio attacco tramite un ransomware già in circolazione, così come rilevato dal Computer security incident response team Italia dell'Agenzia per la cybersicurezza nazionale (Acn);

   un attacco che secondo le prime ipotesi sarebbe stato portato da cyber-criminali comuni, interessati a estorcere denaro alle aziende e istituzioni colpite;

   ad essere stati presi di mira sono stati in particolare i server VMware ESXi che, nonostante già da due anni fossero disponibili le opportune correzioni, non risultavano aggiornati dagli amministratori di sistema, rendendoli così facilmente vulnerabili;

   una circostanza evidenziata in una nota della Autorità nazionale per la sicurezza informatica nella quale si afferma «che è prioritario per chiunque chiudere le falle individuate e sviluppare un'adeguata strategia di protezione ...siamo stati in grado di censire diverse decine di sistemi nazionali verosimilmente compromessi e allertato numerosi soggetti i cui sistemi sono esposti ma non ancora compromessi. Tuttavia, rimangono ancora alcuni sistemi esposti, non compromessi, dei quali non è stato possibile risalire al soggetto proprietario. Questi sono chiamati immediatamente ad aggiornare i loro sistemi»;

   nelle medesime ore anche la rete Tim ha subito seri problemi di inoperatività, lasciando milioni di utenti senza internet e provocando disservizi anche ai bancomat, problemi che, tuttavia, secondo l'impresa non sarebbero riconducibile ad un attacco di pirati informatici;

   già il 2 febbraio 2023, ad essere oggetto di un attacco informatico era stata l'azienda energetica romana di Acea, rendendone inaccessibili i siti e le app per oltre un giorno;

   come riportato dal quotidiano Sole 24 ore, a seguito del vertice tenutosi a Palazzo Chigi per fare il punto sulla situazione, «nessuna istituzione o azienda primaria che opera in settori critici per la sicurezza nazionale è stata colpita», mentre 22 imprese sarebbero risultate infettate e ben 437 enti, tra cui università e dipartimenti di ricerca risulterebbero ancora oggetto di verifica;

   ad essere più esposte a tali attacchi risulterebbero le piccole e medie imprese e le web agency oltre, ovviamente, ai milioni di utenti che si vedono precluso l'accesso ai servizi sulla rete o a rischio i propri dati personali con possibili violazioni d'identità;

   grazie al decreto-legge 14 giugno 2021, n. 82 si è ridefinita l'architettura nazionale cyber, con l'istituzione dell'Agenzia per la cybersicurezza nazionale (ACN) a tutela degli interessi nazionali nel campo della cybersicurezza, la quale è impegnata in primis sulla sicurezza degli enti pubblici per il progetto dell'amministrazione digitale;

   il futuro digitale, necessario a garantire la competitività delle imprese e le performance della pubblica amministrazione, risulta minato dal divario digitale attuale, soprattutto nei confronti degli operatori economici più fragili;

   occorrono, pertanto, piani inclusivi che consentano di allargare gli obblighi per la sicurezza informatica e prevedano seri programmi informativi nei confronti dei soggetti più deboli;

   la direttiva NIS 2, n. 2022/2555 (Network and Information Security) amplia l'ambito di applicazione per le principali attività economiche e sociali del mercato interno. In particolare, lo scopo della direttiva è quello di superare le divergenze tra gli operatori dei servizi essenziali e i fornitori di servizi digitali. Una delle principali novità riguarda gli enti locali e le piccole e medie imprese. La direttiva, infatti, considera come soggetti meritevoli di attenzione anche gli enti pubblici minori e le piccole e medie imprese. Tali soggetti sono inclusi nel processo di armonizzazione delle direttiva allo scopo di non trascurare l'impatto che gli stessi possono avere sull'erogazione dei servizi. Tuttavia, rimane ancora indeterminato come agire nei confronti di tutti quegli enti che non sono erogatori di servizi funzionali;

   questo tema deve essere portato all'attenzione di tutti i soggetti economici, così come delle piccole amministrazioni e degli stessi cittadini, soprattutto se appartenenti alle categorie tecnologicamente più fragili e per questo occorrono programmi specifici inclusivi, in grado di raggiungere l'intera collettività –:

   quali urgenti iniziative intenda adottare, con il coinvolgimento dei soggetti economici e sociali ed il sistema della pubblica amministrazione allargata, al fine di affrontare le problematiche sommariamente evidenziate in premessa;

   quali strategie si intendano mettere in campo per affrontare e rimuovere il divario digitale territoriale, generazionale e sociale del Paese, anche al fine di far crescere la consapevolezza dei rischi informatici.