Dichiarazione di voto
Data: 
Giovedì, 24 Ottobre, 2019
Nome: 
Vincenza Bruno Bossio

A.C. 2100-A

Presidente, onorevoli colleghe e colleghi, con l'approvazione di questo decreto-legge, che riguarda il perimetro nazionale della sicurezza cibernetica, il Parlamento responsabilmente affronta un tema strategico e fondamentale: non solo però per la sicurezza, ma anche sotto il profilo dello sviluppo economico del Paese.

Oggi, oltre alle quattro dimensioni in cui l'umanità ha tradizionalmente condotto le sue battaglie, il dominio cyber rappresenta quella quinta dimensione che probabilmente costituisce anche la più straordinaria opportunità di sviluppo. In termini generali possiamo affermare oggi l'esistenza di una dipendenza generale del sistema globale da questa nuova dimensione. Lo spazio cibernetico rappresenta un network di copertura globale, che è però prima di tutto fattore di crescita, di ricchezza, di informazioni. Pensiamo per un attimo alle innovazioni tecnologiche più importanti di questi ultimi anni: Internet delle cose, big data, elaborati con gli strumenti di supercalcolo, machine learning, intelligenza artificiale; e poi le reti, fattore abilitante, ed in particolare la nuova rete 5G, che rappresenta una tecnologia altamente innovativa, che ridisegnerà profondamente i servizi di connettività, sia di tipo fisso che di tipo mobile, abilitando la diffusione pervasiva di oggetti che avranno la capacità di interagire con l'uomo ma anche tra di loro, condividendo le conoscenze acquisite: impensabile fino a meno di un lustro fa!

Intanto, per quanto riguarda l'Italia, tra l'altro, l'indice DESI 2019, che ci mette sempre agli ultimi posti, nel caso del 5G vede l'Italia al secondo posto, proprio grazie alla positiva collaborazione tra Stato e operatori. Dobbiamo quindi realizzare questa compiuta ed efficace trasformazione digitale, sapendo che è un tema fondamentale per la sicurezza, senza perdere però la sfida della competitività internazionale. Le reti di telecomunicazioni sono appunto la piattaforma abilitante, e per questo la sicurezza di tale piattaforma, che questo decreto-legge affronta, è di cruciale importanza: sia per lo Stato nella declinazione dei pubblici poteri che per il settore privato, ad iniziare dagli stessi operatori di servizi essenziali che usano le reti.

Ma vediamo però qual è il punto in cui siamo nella problematica e nella governance della cybersicurezza. Non siamo all'anno zero. Certo, non è lontanissimo il tempo in cui l'Italia ha incominciato ad adeguarsi: il 2012 e 2013, con i primi quadri strategici e piani operativi; ma poi la governance effettiva viene disegnata con il Governo Gentiloni nel 2017, che definisce e ridefinisce la catena di comando e controllo, realizzando quell'assetto della cybersecurity nazionale.

Su questa complessa macchina organizzativa, che abbiamo comunque già delineato, si sono innestate le diverse norme europee: da quella del 2016, nota come regolamento GDPR, a quella sostanzialmente sulla sicurezza proprio delle reti, la direttiva NIS, fino al Cybersecurity Act. In particolare, lo scopo della direttiva NIS è stato proprio quello di innalzare la sicurezza cibernetica di quegli operatori pubblici e privati, che non sono soltanto quelli classici di trasporti acqua ed energie, ma anche di sanità, servizi bancari, mercati finanziari, collegati alle tecnologie dell'informazione e della comunicazione. In altre parole, quelle che un tempo si chiamavano infrastrutture critiche, oggi nel linguaggio NIS vengono definite come operatori di servizi essenziali. Abbiamo attuato quella direttiva con il decreto legislativo 18 maggio 2018 n. 65 e anche qui si è disegnato lo schema con le autorità nazionali competenti e soprattutto indicando il dipartimento delle informazioni per la sicurezza, il DIS, come punto di contatto unico rispetto all'Europa e anche rispetto alla situazione globale e creando presso la Presidenza del Consiglio dei ministri un unico Computer Security Incident Response Team, cioè un centro di risposta all'incidente informatico che coordina sostanzialmente i CERT esistenti. Questo è lo scenario in cui si colloca il decreto sul perimetro di sicurezza nazionale cibernetica e approdiamo a questo voto dopo un buon lavoro svolto non solo dal Governo ma anche nelle Commissioni di merito e in Aula. D'altra parte in queste fibre ci sono le nostre vite, la stessa vita pubblica della nostra comunità. Dobbiamo incominciare a ragionare su queste cose. Il rischio vero, come abbiamo visto quando abbiamo affrontato il provvedimento in Aula e in Commissione, è che le norme, supposte per la sicurezza nazionale, potessero essere da blocco a quegli investimenti. Non è stato così perché il legislatore ha saputo svolgere la sua funzione. Molto utili sono state le audizioni che abbiamo svolto in Commissione e inviterei i colleghi e i cittadini a leggere i documenti depositati. D'altra parte l'obiettivo del perimetro è identificare e tutelare tutti i servizi e i relativi operatori, sia privati che pubblici, che svolgono un ruolo cruciale per gli interessi dello Stato e i cui malfunzionamenti potrebbero creare pregiudizi per la sicurezza nazionale. Così l'articolo 1 individua i soggetti inclusi nel perimetro di sicurezza nazionale attraverso un decreto del Presidente del Consiglio dei ministri, che deve essere emanato entro quattro mesi e che - è la modifica importante approvata in Commissione - deve avere il parere anche delle competenti Commissioni parlamentari entro 30 giorni. Allo stesso modo il parere deve essere espresso sull'altro regolamento, da emanarsi entro dieci mesi, che invece definisce procedure, modalità e termini a cui devono attenersi le amministrazioni pubbliche e ancora un altro fatto importante del decreto-legge è la creazione del CVCN che sostanzialmente ha il compito di verificare le condizioni di sicurezza e l'assenza di vulnerabilità dei prodotti, degli apparati, dei sistemi. Anche in questo caso è stato raggiunto un buon compromesso tra le esigenze di sicurezza e di verifica da parte degli organi dello Stato e gli operatori che devono rispondere entro i termini di legge alle richieste sostanzialmente con il silenzio-assenso.

L'articolo 3 detta le disposizioni del raccordo con la normativa di esercizio dei poteri speciali sul 5G. L'articolo 4 estende l'ambito operativo della golden power e poi il famoso articolo 4-bis del Governo che disciplina i poteri speciali inerenti la rete di telecomunicazioni con tecnologia 5G con norme analoghe a quelle previste del già decaduto decreto-legge n. 64 del 2019. Anche su questo articolo 4-bis si è tenuto un primo positivo risultato nel confronto Governo-Commissioni in sede referente con un accorciamento significativo delle tempistiche procedimentali in linea con le esigenze istruttorie della PA ma anche in linea con le esigenze delle aziende e con la promessa contenuta nell'ordine del giorno approvato n. 9/2100-A/16 a mia prima firma di istituire un vero e proprio tavolo tecnico consultivo.

Da questa prima impostazione - finisco - emergono tuttavia due elementi su cui bisognerà riflettere anche successivamente. La previsione dei provvedimenti attuativi che definiscono gli elementi cruciali del sistema e che devono essere realizzati entro i mesi effettivamente previsti, quattro e dieci, e la necessaria collaborazione con i soggetti obbligati. Alla luce della vastità e della complessità delle reti 5G e della superficie d'attacco da parte di malintenzionati, credo che sia riduttivo limitare l'analisi dei rischi per la sicurezza nazionale, ad esempio, alla provenienza dei fornitori delle apparecchiature e delle reti di accesso, come è avvenuto nel dibattito recente.

Credo che con il decreto che, ripeto, conclude un percorso, abbiamo un sistema chiaro dove la sicurezza deve valere per tutti a prescindere: deve funzionare il sistema così come è stato disegnato. D'altra parte non mi pare che abbiamo guardato la provenienza del Paese d'origine del fornitore del motore di ricerca quando le nostre vite e la nostra reputazione sono state profilate e indicizzate o quando abbiamo affidato i nostri dati privati sulle piattaforme social. E ancora ci sarà da fare sicuramente sulla formazione, soprattutto delle competenze digitali, per i giovani, però possiamo dire che con il provvedimento il nostro Paese sicuramente vede rafforzarsi le difese immunitarie in un ambito molto delicato e giunge per una volta nei tempi opportuni e non in emergenza. Questo è un segno di maturità e quindi per queste ragioni come gruppo PD esprimiamo parere favorevole.