A.C. 1717-A
Grazie, Presidente, onorevoli colleghi, onorevoli rappresentanti del Governo. Innanzitutto, vorrei aprire questo intervento lanciando da quest'Aula, a nome del gruppo del Partito Democratico, ma spero di tutti i gruppi, un forte messaggio di vicinanza, di solidarietà, di sostegno al sindaco Roberto Gualtieri per le accuse e le minacce che ha subito, proprio nella giornata di oggi. È stato minacciato sui social dopo aver presentato un progetto di rigenerazione urbana, nel quartiere di Tor Bella Monaca, con forme di odio molto forti che sono state espresse nei suoi confronti.
È importante che, di fronte a questo tipo di odio che nella rete si sviluppa in maniera molto forte e netta, ci sia una risposta solidale di tutte le istituzioni. La battaglia contro la criminalità organizzata, che sta portando avanti l'amministrazione in Campidoglio, in VI Municipio, in tutta la città, è una battaglia che deve vedere tutte le istituzioni unite. Questi messaggi - adesso per non far pubblicità non li ripeterò - danno il senso anche di come spesso l'odio sulla rete vada molto veloce. Si parlava, nell'intervento che mi ha preceduto, di cultura, della capacità di essere resilienti nei confronti dei cyberattacchi, della cultura della cybersicurezza.
Ciò a cui, però, purtroppo, assistiamo è un'idea, distorta, di impunità nella dimensione digitale, cioè del fatto che ciò che viene commesso nella dimensione digitale sia diverso e abbia conseguenze in qualche modo meno gravi o che possa incidere in misura minore rispetto a quello che avviene nella dimensione non digitale del nostro agire e del nostro vivere, e questo non è vero. È stato negato da tutti i dati che sono stati citati oggi: non è vero per la vita economica, non è vero per la vita relazionale, non è vero semplicemente perché ormai la nostra vita si sviluppa in un continuum di spazi fisici e digitali.
Ora, per questo, in apertura del mio intervento voglio fare un esempio. Stiamo ancora affrontando il provvedimento, lo abbiamo visto in Commissione, avremo l'occasione - mi auguro - di poter correggere ulteriormente in Aula alcuni passaggi fortemente critici e preoccupanti su cui ci siamo confrontati. Però, vi vorrei fare un esempio per aprire questa riflessione comune, che vorrei portare avanti in discussione generale. Se oggi avessimo di fronte un decreto che non si occupasse di cybersicurezza ma di sicurezza e ci fossero una serie di nuovi impegni (sono stati ricordati negli interventi) e di nuovi oneri non solo per le amministrazioni centrali ma anche per le regioni, per le città metropolitane, per le province, per i comuni e ci fossero delle cose molto importanti che stiamo andando a cambiare, per rendere più sicure le nostre strade, per rendere più sicure le attività vicino alle nostre stazioni o da altre parti; se, alla fine di tutti questi oneri e impegni che andiamo a prevedere e a proporre, ci venisse detto che tutto ciò è “a invarianza finanziaria”, penso che in quest'Aula tutti si alzerebbero e direbbero: ma com'è possibile garantire più sicurezza, mettere più persone che garantiscono la sicurezza, prevedere maggiori oneri e maggiori impegni a invarianza finanziaria? Significa che quelle risorse devono essere tolte da qualche altra parte; che non c'è più sicurezza se si dice “sorvegliamo meglio le stazioni”, ma non si danno alla Polizia le risorse per poter essere presenti nelle stazioni o anche in altri luoghi; che non c'è maggiore sicurezza nel mondo, non digitale, ma nel mondo reale, nel momento in cui non si decide di dare un valore a questa maggiore sicurezza che cammina certamente sulle regole, sulle norme, sugli obblighi, sui divieti ma anche sulle risorse che si mettono a disposizione per fare sì che le norme vengano applicate.
Questo paradosso - che sarebbe di tutta evidenza se stessimo parlando di un decreto Sicurezza - c'è anche in un decreto sulla cybersicurezza, perché questo è il punto veramente dolente di questa discussione.
Per fare un esempio che spiega quanto questo sia il punto dolente - veramente, ringrazio ancora una volta gli uffici per il grande lavoro che fanno ogni giorno e, quindi, sarà molto facile per tutti noi poter ricostruire anche i passaggi in Commissione parlamentare, perché sono solo di pochi mesi fa - vi posso raccontare e ricordare quello che è avvenuto con la legge di delegazione europea.
La legge di delegazione europea anticipava già tutta una serie di disposizioni legate alla NIS 2 che, come è stato ricordato dai relatori, è arrivata perché evidentemente la NIS 1 non è stata sufficiente a garantire un miglioramento del livello di difesa del sistema comunitario e, allora, è stata necessaria una nuova direttiva. Quando è arrivata questa nuova direttiva ho presentato un emendamento per chiedere di innalzare i livelli di difesa, anche per quanto riguarda i comuni e le città metropolitane e l'abbiamo fatto in I Commissione. In I Commissione è passato perché c'è concordanza su questi temi, cioè sul fatto di garantire maggiore sicurezza ai dati dei comuni, che sono i nostri dati, evitando che l'Italia diventi la miniera d'oro dei dati personali anagrafici delle persone, con una banca dati di 60 milioni di persone facilmente accessibile e depredabile da parte di tutto il mondo. Quando lo abbiamo presentato, l'emendamento è stato approvato da tutta la Commissione. Era una legge di delegazione europea, non bastava il voto in I Commissione e siamo arrivati in XIV Commissione, in cui era presente la Sottosegretaria Siracusano. È stato approvato anche in XIV Commissione, quindi l'esame di merito si è esaurito e, a quel punto, doveva esserci un passaggio in V Commissione, in Commissione bilancio.
E quell'emendamento proponeva di anticipare la NIS 2 per i comuni e di fare in modo che quello che varrà per le banche dati, ad esempio dei sistemi sanitari regionali, valga anche per le banche dati anagrafici dei comuni; quell'emendamento che avevo presentato, con un parere favorevole di maggioranza e di opposizione e del Governo, è stato cassato dalla Commissione bilancio, perché la stessa ha detto che non si poteva prevedere questo adempimento in un provvedimento a invarianza finanziaria.
Quindi, ciò che noi stiamo per votare adesso, all'articolo 18, prevedendo questi oneri a invarianza finanziaria, è quello contro cui ci siamo espressi solo pochi mesi fa, quando lo abbiamo chiesto, nell'ambito dell'esame della legge di delegazione europea, che andava a recepire la NIS 2; proprio per tutelarci da questo punto di vista, avevamo inserito alcuni principi e clausole di salvaguardia, con un principio di adeguatezza, di proporzionalità, che poteva essere - in qualche modo - orientabile sulla base del tipo di risorse che venivano messe a disposizione.
Quindi, delle due l'una: o si intende - ma allora c'è un cambiamento rispetto a quello che si è fatto solo fino a pochi mesi fa - che, intanto, si fanno le norme e poi si troveranno le risorse per applicarle, oppure - se questo deve essere contestuale - significa che bisogna legare i provvedimenti che noi mettiamo in questo decreto - che, in larga parte, condividiamo, abbiamo sostenuto e stimolato con i nostri emendamenti - a quella dotazione di risorse che serve per metterli in pratica. Da questo punto di vista, noi abbiamo fatto anche delle proposte che non hanno nemmeno oneri aggiuntivi. Ne faccio solo un esempio: è stato ricordato che c'è una quota per la difesa cyber dei fondi del PNRR e, allora, noi abbiamo chiesto che almeno i ribassi d'asta della parte digitale dei bandi del PNRR possano essere utilizzati per rimpinguare la dotazione della parte per la cybersicurezza. Poniamo questo tema perché le grandi democrazie, i grandi Paesi che stanno affrontando a viso aperto la sfida digitale destinano un quantitativo di risorse sul tema della cybersicurezza molto più significativo del nostro, sia in termini di rapporto col prodotto interno lordo, sia in termini di rapporto rispetto alla leva complessiva degli investimenti digitali che vengono fatti. Negli Stati Uniti, ad esempio, dei 65 miliardi di investimenti nel digitale, 11 miliardi sono sulla cybersicurezza. Da noi questo rapporto non c'è. E cosa genera questo squilibrio? Genera che noi acceleriamo nella digitalizzazione, ma non rendiamo - nell'effettivo, non solo nei principi su carta, ma nella realtà - più sicuro questo scenario. E cosa succede? Succede quello che abbiamo visto. Una percentuale pari quasi al 100 per cento, il 99 per cento delle imprese, negli ultimi anni hanno subito almeno un attacco. Quando si parla di un attacco, ci sono piccoli attacchi, ma - si citava prima - in esponenziale crescita è il ransomware, l'attacco per riscatto: viene bloccato il portale di una piccola-media impresa - non parliamo, infatti, solo delle grandi imprese, ma anche delle piccole e delle medie imprese, che sono un elemento fondamentale del nostro tessuto - e impedito di operare e di lavorare, a meno che non si paghi quel riscatto. Quanti pagano questo riscatto? Troppi. Quanto enorme è quel costo, di cui tutto il nostro sistema si fa carico?
Per non parlare poi del rischio a cui andiamo incontro ogni giorno. Adesso noi valuteremo e capiremo. Sono anche allarmanti alcuni dati, proprio delle ultime settimane, circa l'utilizzo che si sta facendo, in un anno che sarà decisivo per il mondo; votano Paesi importanti, votano miliardi di persone in quest'anno, vota l'Europa, votano gli Stati Uniti e non solo: saranno le prime elezioni in cui, con una così forte profilazione di cyber attacchi, noi avremo anche un processo democratico. Da questo punto di vista, è indispensabile alzare gli scudi del nostro sistema difensivo nazionale ed europeo, ma, per farlo, gli strumenti devono essere concreti ed effettivi.
Io sono preoccupato da un fatto: aver previsto questi princìpi senza avere dato garanzie sulle risorse che servono a metterle in pratica può valere, sicuramente, per annunciare di aver fatto qualcosa, ma potrebbe anche creare alcuni effetti distorsivi. Il primo è che un'amministrazione, un comune, che già fatica tantissimo a garantire i servizi essenziali, per poter adempiere ai nuovi obblighi e ai nuovi adempimenti, per potere assumere quel personale che sarà indispensabile, cosa dovrebbe fare? Tagliare da qualche altra parte? Cosa possiamo chiedergli? Di tagliare dagli asili nido, per avere più risorse per la cybersicurezza?
Ecco, questo non è pensabile, non è ammissibile. Serve mettere in campo un complesso di risorse adeguato. Abbiamo fatto alcune proposte, il Governo può anche decidere di andare in direzione diversa dalle proposte che abbiamo avanzato ai nostri emendamenti, ma sfuggire alla necessità di dare a questi oneri una copertura è, a nostro avviso, molto preoccupante e molto problematico.
Non solo, ci sono altri aspetti che abbiamo evidenziato. Io voglio ringraziare la Sottosegretaria e il Governo, per aver assunto un impegno in Commissione, quello di trovare insieme la riformulazione più adatta. È chiaro, questo è un provvedimento che riguarda alcune Commissioni. Prima che nascesse questo provvedimento, io ho seguito il tema in IX Commissione (che ha competenza sulle comunicazioni). Questo provvedimento è stato attribuito alla I Commissione e alla II Commissione, quindi ci sono altri profili, soprattutto profili di giustizia. Con grande umiltà, non entro negli aspetti più squisitamente giuridici, ma chiedo una considerazione pratica e un impegno del Governo in tal senso, che venga onorato nell'Aula, nella giornata di domani.
Nelle audizioni che abbiamo svolto, noi abbiamo posto il tema della cosiddetta legittima difesa da un punto di vista di cyber attacchi. Possiamo non chiamarla legittima difesa, possiamo chiamarla difesa oppure come si ritenga più utile, però, il punto è molto semplice e molto chiaro: se i sistemi tecnologici per difendersi che oggi vengono utilizzati sono sistemi che prevedono come forma di difesa anche la capacità di bloccare l'offendente, è chiaro che il sistema difensivo ha una componente difensiva atta, potenzialmente, a offendere. Non può essere il semplice fatto di possedere un sistema che può potenzialmente offendere, se quel sistema è lo stesso che serve anche a difendersi e viene utilizzato per scopi esclusivamente difensivi, a essere passibile di sanzioni penali. Altrimenti, il paradosso che stiamo generando è che noi, per difenderci da cyber attacchi che arrivano da fuori dei nostri confini, disarmiamo la difesa. In altre parole, stiamo creando le condizioni per cui chi si difende, comprando un programma con cui difendersi e allo stesso tempo contrattaccare, di fatto, è passibile di sanzioni - e quindi non può essere utilizzato in Italia - ma non facciamo nulla per fermare chi ci sta attaccando.
È chiaro che nessuno debba, nel nostro Paese, compiere azioni ostili, però, è anche vero che, nel nostro Paese, deve essere garantita, come negli altri paesi europei e nei grandi paesi, la possibilità di difendersi dai cyber attacchi con le soluzioni tecnologicamente più avanzate. Naturalmente, noi siamo aperti a ogni tipo di riformulazione e di chiarimento, che sgombri il campo da qualunque equivoco o possibile interpretazione che stravolga questo principio, e che si esplichi nei confronti di attacchi che noi vogliamo assolutamente combattere in ogni sede, in ogni luogo, in ogni latitudine e in ogni longitudine. Però, è anche vero che, se da argomentati interventi, interlocuzioni e sollecitazioni, che abbiamo avuto durante le audizioni, emerge un serio rischio, non solo di non rendere più difficile la vita a chi ci attacca, ma anche di rendere più difficile la vita a chi vuole difendersi in Italia, perlomeno dobbiamo alzare lo sguardo e cercare di capire come inserire una riga - demandando a quello che sarà il compito dell'ACN o dei soggetti che sono chiamati a interpretare questo principio - sgombri il campo da questo dubbio e da questa perplessità.
Così come è importante - è stato ribadito - un ruolo che va potenziato. Noi abbiamo presentato emendamenti per un potenziamento del ruolo dell'ACN, dell'assetto istituzionale di cui noi ci stiamo dotando per fronteggiare questa grande emergenza nazionale dei cyber attacchi; penso che ciò sia giusto. Da un certo punto di vista, serve anche a sanare alcuni problemi che avevamo avuto. Faccio l'esempio della crittografia, sul quale abbiamo presentato emendamenti e sul quale c'è stata un'occasione di approvazione di alcuni emendamenti e alcune riformulazioni, anche condivise da parlamentari di opposizione, di maggioranza e di varie forze, a dimostrazione di quanto questo fosse un tema trasversale. C'era una formulazione del codice delle comunicazioni elettroniche da un punto di vista della crittografia che, in certi passaggi, non era tecnologicamente ammissibile. Rischiavamo di vietare la crittografia in Italia e consentirla da altre parti, a determinate caratteristiche. Questo rischio, che era presente nel codice delle comunicazioni elettroniche, non era presente nelle linee guida dell'ACN, che, invece, chiarivano molto chiaramente come si doveva procedere. Da questo punto di vista, abbiamo posto una domanda nell'ambito delle audizioni e presentato alcuni emendamenti.
Questi emendamenti sono stati approvati e - almeno da questo punto di vista - si è sanato un aspetto e ci potrà essere un sistema equilibrato, che deve richiedere che norme molto complesse e complicate, che si stanno scrivendo in un contesto che si sta evolvendo mentre noi lo affrontiamo, siano in grado di avvicinarsi il più possibile all'obiettivo per cui vengono portate avanti.
È chiaro che c'è una componente anche di difficoltà, di rischio, di problematicità nel procedere in uno scenario in così rapida evoluzione, ma è fondamentale che, proprio di fronte a sfide come questa, un sistema Paese sia in grado, al di là delle differenze, di cogliere l'importanza strategica, di cogliere le priorità e di agire in maniera conseguente.
Non interverrò su ogni singolo punto, ci sarà poi l'occasione nell'ambito dell'esame degli emendamenti. Noi abbiamo ripresentato in Aula gli emendamenti che avevamo presentato in Commissione, nella speranza che possano essere accolti, o direttamente o attraverso riformulazioni.
Non entrerò nello specifico di alcune formulazioni che hanno aperto una serie di interrogativi - che spero possano essere sanati dal Governo nelle prossime ore - circa i vari aspetti. Mi limiterò a rivolgere, ancora una volta, da questa ala, questo appello: il valore che si attribuisce ad alcune politiche è fatto da tante componenti, ma una componente essenziale è il valore delle risorse che si decide di destinare a un tema.
Non si può dire, nello stesso momento, che la cybersicurezza è un'emergenza nazionale, che la cybersicurezza richiede più interventi, più oneri, più impegni da parte di tutti i livelli istituzionali e poi prevedere che tutto questo aumento di oneri, di impegni, valga zero. Perché significa che si dà alla cybersicurezza valore zero euro.
Noi siamo convinti, invece, che questo non possa avvenire, così come non avviene nei grandi Paesi, che, a differenza nostra, riescono a crescere nella digitalizzazione e, al tempo stesso, a crescere nella capacità di proteggersi nel mondo digitale. Al contrario, noi cresciamo nella digitalizzazione e perdiamo rovinosamente posizioni da un punto di vista degli attacchi gravi che subiamo ogni giorno, che, come abbiamo visto, mettono fortemente a rischio tanti aspetti, a partire dagli aspetti democratici fino ad arrivare agli aspetti della sicurezza dei nostri dati personali, agli aspetti economici e sociali e alle imprese, anche piccole e medie. Da questo punto di vista, noi auspichiamo che ci possa essere un cambiamento e che questo cambiamento possa avvenire già domani, con il superamento di un principio che rischia veramente di fare sì che questo provvedimento garantisca solo su carta un miglioramento sotto il profilo della difesa stabile del Paese, senza però mettere in campo gli strumenti per fare sì che detta difesa si realizzi nella società.