A.C. 3161-A
Grazie, Presidente. Il provvedimento che ci accingiamo a votare è il compimento di un processo di definizione e di ricomposizione di funzioni e di compiti attinenti il settore della cybersicurezza, che sono, in parte, già stati individuati ed adottati da provvedimenti precedenti, in parte sono nuovi, e che sono, ad oggi, scomposti e distribuiti tra diversi enti, diversi Ministeri, che verranno domani ricomposti e attribuiti ad un'unica Agenzia alle dirette dipendenze del Capo del Governo. Questo è sicuramente un risultato importante, ma, onestamente - come hanno fatto i colleghi che mi hanno preceduto - dobbiamo ammettere che è anche un risultato un po' tardivo, visto il tempo, il modo e le risorse con il quale altri Paesi si sono attrezzati per affrontare i rischi e le minacce cyber ; parlo di altri Paesi che hanno la dimensione e il rango del nostro. È questo ritardo che giustifica la decretazione d'urgenza, perché non è il tema della protezione cyber un tema che riguarda il futuro, ma che riguarda il presente. Le tecnologie digitali hanno già cambiato e stanno continuando a cambiare la nostra vita, la nostra quotidianità; basta pensare a come 10 anni fa la presenza delle tecnologie digitali nella nostra quotidianità era diversa da quello che è oggi per capire quello che sarà domani con l'introduzione del 5G, con l'aumento della capacità dell'intelligenza artificiale, delle nuove macchine che applicano il calcolo quantistico, dei milioni di dispositivi di oggetti della vita quotidiana che saranno connessi in rete, in quella che viene chiamata Internet delle cose. Si disegna un futuro che i sociologi chiamano età ibrida nel quale il rapporto tra l'uomo e la macchina è completamente diverso dal passato, offre nuove grandi opportunità per la vita di tutti noi, ma produce anche enormi fragilità e rischi. È per questo che la minaccia cyber è uno dei principali rischi per la sicurezza nazionale. Sono esposte al rischio le infrastrutture critiche che regolano e fanno funzionare correttamente la nostra vita quotidiana. Basta pensare alle infrastrutture della produzione e della distribuzione, del trasporto, dell'energia, alle infrastrutture relative alle telecomunicazioni, alle connessioni di tutto, alle infrastrutture dei trasporti della logistica, i porti, gli aeroporti, la rete ferroviaria, la rete autostradale e stradale, alle infrastrutture finanziarie: un attacco cyber mirato ed efficace ad uno o più di queste infrastrutture può realmente mettere in ginocchio un Paese, quanto può un attacco vero e proprio di guerra. È per questa ragione che la stessa NATO prevede la possibilità di appellarsi e di attivare l'articolo 5, che è quello che comporta la difesa collettiva a fronte di un attacco cyber e parla di guerra cyber, che spesso è sempre più intrecciata a una guerra economica nella quale è più difficile distinguere chi è amico e chi non lo è, chi è dalla tua parte e chi sta dalla parte avversa; minacciato è il know how, sono i segreti industriali, i dati dei cittadini e i dati delle imprese. Lo ha detto con un'espressione molto sintetica e molto efficace l'allora direttore dell'NSA, cioè l'Agenzia americana che si occupa anche della protezione delle comunicazioni governative, che ha parlato del più grande trasferimento di ricchezza nella storia dell'umanità. Allora, è compito dello Stato proteggere i dati, non solo quelli della pubblica amministrazione, ma i dati dei cittadini e delle imprese. Perché il dato dei cittadini è sì un bene dei cittadini e un bene privato, ma nella complessità è anche un patrimonio pubblico, è la ricchezza del Paese. I dati sono conservati in data center e il traffico va da un data center ad un altro data center. La vulnerabilità del dato sta sia nella fase di stoccaggio, che nel trasporto e nella applicazione del dato stesso, per cui primo punto è assicurarsi che sia protetto il luogo dove sono custoditi i nostri dati, sempre più custoditi in cloud, che sono servizi forniti da provider privati, cioè da aziende che, come tutte le aziende, possono andare in disgrazia e portare i nostri dati con sé nella disgrazia. Allora, è compito dello Stato garantire con un cloud nazionale l'integrità, la possibilità di avere nel tempo conservati i dati, la possibilità di poterli utilizzare e copiare con sicurezza, la possibilità di renderli accessibili, leggibili anche in un futuro; anche fra 10, 20 anni quando, magari, i protocolli saranno diversi, un dato deve rimanere disponibile e non andare perso. Questa è una parte della protezione dei dati, poi c'è la protezione dei dati della pubblica amministrazione. Dopo le dichiarazioni chiarissime e molto oneste del Ministro Colao sulla capacità di difesa della nostra amministrazione, che è stata rappresentata sostanzialmente come un colabrodo, è tempo di pensare anche ad una intranet chiusa, cioè una rete chiusa della pubblica amministrazione per proteggerla meglio a cominciare, perlomeno, dai Ministeri del CISR (Comitato interministeriale per la sicurezza della Repubblica), che sono quelli che maneggiano i dati più delicati. È tempo di pensare ad una difesa proattiva, perché in questo campo non esiste la sola resistenza e resilienza, non c'è capacità di resistenza e resilienza se non c'è anche capacità di attacco, non esiste lo scudo se non c'è anche la spada; per potersi dotare anche della spada compito di questa Agenzia sarà aiutare e sostenere, attraverso le modalità di acquisizione, che sono paragonabili a quelle del procurement militare, se vogliamo fare un buon lavoro, le aziende nazionali che possono sviluppare le tecnologie proprie nazionali, le cosiddette armi cyber, che servono soprattutto per lo sviluppo delle componente di cyber intelligence che garantisce una capacità di deterrenza. La deterrenza in questo campo avrà nel futuro la stessa funzione e la stessa importanza che aveva la deterrenza nucleare nel secolo scorso, nei tempi della guerra fredda. Attrezzarsi in questo campo vuol dire garantire il rango del Paese. Poi, bisogna riflettere sulla connettività, cioè sul controllo delle rotte dei dati che sono oggi e domani potere geopolitico. Perché la proprietà delle cosiddette backbone, cioè della struttura basilare delle reti, deve rimanere sotto un controllo pubblico, diretto e indiretto; bisogna fare attenzione a quelli che sono i landing point, cioè i punti di atterraggio dei cavi sottomarini, in particolare quelli afferenti ai consorzi a cui partecipa Telecom Italia Sparkle. Insomma di lavoro da fare ce n'è tantissimo. C'è un'enorme piano di lavoro da sviluppare per recuperare il ritardo tecnico e, credo più importante, anche per recuperare il ritardo culturale che c'è su questo fronte. L'approvazione di oggi che fa il Parlamento non è quindi la conclusione di un lavoro, ma è l'inizio di un lavoro che bisognerà fare, ed è solo la cornice normativa. I risultati non si fanno con la legge; i risultati li garantiranno, come sempre, le donne e gli uomini che si applicheranno in questo lavoro, ai quali dobbiamo augurare buon lavoro. Lavoro che sarà possibile anche grazie alle premesse che oggi noi andiamo a costruire con il quadro normativo, ed è per questa ragione che annuncio il voto favorevole del Partito Democratico al provvedimento.