CONOSCERE LA CAMERA
DEPUTATI e ORGANI PARLAMENTARI
EUROPA e ESTERO
Cerca nel sito
MENU DI NAVIGAZIONE PRINCIPALE
Vai al contenuto
Strumento di esplorazione della sezione Lavori Digitando almeno un carattere nel campo si ottengono uno o più risultati con relativo collegamento, il tempo di risposta dipende dal numero dei risultati trovati e dal processore e navigatore in uso.
salta l'esploraResoconti stenografici delle indagini conoscitive
Torna all'elenco delle indagini
Torna all'elenco delle sedute
Commissione IX
3.
Mercoledì 12 settembre 2012
INDICE
COMMISSIONE IX
TRASPORTI, POSTE E TELECOMUNICAZIONI
Pag. 3
PRESIDENZA DEL VICEPRESIDENTE SILVIA VELO
Sulla pubblicità dei lavori.
Audizione di rappresentanti di Confindustria.
Pag. 4
Pag. 5
Pag. 6
Pag. 7
Pag. 8
Pag. 9
Pag. 10
Pag. 11
Pag. 12
Pag. 13
Pag. 14
Pag. 15
Mercoledì 12 settembre 2012
Sulla pubblicità dei lavori:
Velo Silvia, Presidente ... 3
INDAGINE CONOSCITIVA SULLA SICUREZZA INFORMATICA DELLE RETI
Audizione di rappresentanti di Confindustria:
Velo Silvia, Presidente ... 11 13 15
Bergamini Deborah (PdL) ... 12
Busetto Antonello, Direttore dell'Associazione nazionale per l'information technology (ASSINFORM) ... 6 13
Crosio Jonny (LNP) ... 11
Guasconi Fabio, Delegato dell'Associazione italiana sicurezza informatica (CLUSIT) ... 8 15
Kraus Daniel, Vice Direttore generale di Confindustria ... 3
Minozzi Marzia, Responsabile rapporti istituzionali di Assotelecomunicazioni ASSTEL ... 9 14
Nizzi Settimo (PdL) ... 13
Radaelli Cristiano, Presidente dell'Associazione nazionale industrie informatica, telecomunicazioni ed elettronica di consumo (ANITEC) ... 5 13
Sigle dei gruppi parlamentari: Popolo della Libertà: PdL; Partito Democratico: PD; Lega Nord Padania: LNP; Unione di Centro per il Terzo Polo: UdCpTP; Futuro e Libertà per il Terzo Polo: FLpTP; Popolo e Territorio (Noi Sud-Libertà ed Autonomia, Popolari d'Italia Domani-PID, Movimento di Responsabilità Nazionale-MRN, Azione Popolare, Alleanza di Centro-AdC, Democrazia Cristiana): PT; Italia dei Valori: IdV; Misto: Misto; Misto-Alleanza per l'Italia: Misto-ApI; Misto-Movimento per le Autonomie-Alleati
per il Sud: Misto-MpA-Sud; Misto-Liberal Democratici-MAIE: Misto-LD-MAIE; Misto-Minoranze linguistiche: Misto-Min.ling; Misto-Repubblicani-Azionisti: Misto-R-A; Misto-Noi per il Partito del Sud Lega Sud Ausonia: Misto-NPSud; Misto-Fareitalia per la Costituente Popolare: Misto-FCP; Misto-Liberali per l'Italia-PLI: Misto-LI-PLI; Misto-Grande Sud-PPA: Misto-G.Sud-PPA; Misto-Iniziativa Liberale: Misto-IL.
TRASPORTI, POSTE E TELECOMUNICAZIONI
Resoconto stenografico
INDAGINE CONOSCITIVA
Seduta di mercoledì 12 settembre 2012
La seduta comincia alle 14,15.
(La Commissione approva il processo verbale della seduta precedente).
PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso l'attivazione di impianti audiovisivi a circuito chiuso, la trasmissione televisiva sul canale satellitare della Camera dei deputati e la trasmissione diretta sulla web-tv della Camera dei deputati.
PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sulla sicurezza informatica delle reti, l'audizione di rappresentanti di Confindustria.
Do la parola a Daniel Kraus, Vice Direttore generale di Confindustria per lo svolgimento della relazione.
DANIEL KRAUS, Vice Direttore generale di Confindustria. Ringrazio lei, presidente, e i suoi colleghi. Sono accompagnato dal dottor Radaelli, presidente di ANITEC, dal dottor Busetto, direttore di ASSINFORM, dalla dottoressa Minozzi, responsabile dei rapporti istituzionali di ASSTEL, dal dottor Guasconi, delegato di CLUSIT, da Nicoletta Amodio, responsabile ricerca e innovazione di Confindustria, dalla dottoressa La Monica, direttore dei rapporti istituzionali di Confindustria e dalla dottoressa Rizzi, che interverranno su questioni tecniche.
Il sempre più rapido sviluppo tecnologico sta fortemente influenzando tutta la nostra società, il modo di produrre e acquisire conoscenze e di scambiare informazioni. Il futuro è delle comunità intelligenti, le cosiddette Smart Cities, anche se, quando parliamo di Smart Cities, dobbiamo anche parlare di Smart Networks, Smart Grids, tutto quello che costituisce le reti intelligenti, e la città rappresenta un assieme di reti intelligenti.
La Smart Community è una città diffusa, una comunità intelligente dal punto di vista della mobilità, della sicurezza, dell'educazione, del risparmio energetico e ambientale. È un'interazione continua tra luoghi fisici e flussi informativi, resa più intensa anche dalla recente diffusione di applicazioni georeferenziate utilizzate dai moderni devices.
In questo contesto, quindi, il ruolo della sicurezza informatica delle reti, intesa sia come sistema di protezione dei flussi di comunicazione, sia di affidabilità dei sistemi informativi nell'ottica della conservazione sicura dei dati, è di fondamentale e cruciale importanza. Questo è un tema a cui Confindustria e le sue associazioni stanno molto attente e che sono sempre più impegnate a risolvere.
Oggi si ritiene che lo sviluppo di reti ad alta velocità abbia lo stesso impatto rivoluzionario che un secolo fa ebbe lo sviluppo delle reti dell'elettricità e dei trasporti. Grazie all'evoluzione in atto nel settore dell'elettronica di consumo, i confini tra i diversi dispositivi digitali stanno di fatto scomparendo e i servizi convergono e si spostano dal mondo fisico a quello digitale, universalmente accessibile
su qualsiasi dispositivo, che si tratti di uno smartphone, di un PC tavoletta, di un computer, di una radio digitale o addirittura di televisori ad alta definizione.
Si prevede che entro il 2020 i contenuti e le applicazioni digitali saranno forniti interamente o quasi interamente on line.
L'utilizzo dell'Information and communication technology è ormai trasversale, e qualsiasi attività produttiva nella loro diffusione e valorizzazione è in grado di portare benefici importanti non solo alla competitività e di conseguenza alla produttività delle nostre imprese, ma a interi territori e alla collettività. Pensiamo solo a quando parliamo di reti di impresa, che sono l'evoluzione naturale del distretto, per cui le imprese in rete avranno sempre più bisogno di comunicare tra loro e in questo modo, per raggiungere gradi più elevati di competitività.
La presenza di reti di comunicazioni veloci e lo sviluppo di sempre più avanzati e pervasivi servizi digitali è quindi un fattore critico di progresso e di crescita economica, e spero di qualità della vita. Ciò spiega l'attenzione crescente e lo sviluppo e la diffusione delle innovazioni digitali in Europa. La Commissione europea ha lanciato, nel marzo del 2010, la cosiddetta Strategia Europa 2020, con l'intento di uscire dalla crisi e preparare l'economia alle sfide del prossimo decennio.
L'agenda digitale europea, che è una delle 7 iniziative faro della Strategia 2020, è molto importante in quanto mira a stabilire il ruolo chiave delle tecnologie dell'informazione e della comunicazione all'interno di questo processo di crescita. È quindi fondamentale, e come Confindustria lo abbiamo sempre evidenziato, un impegno continuo e condiviso per puntare sull'economia digitale, al fine di stimolare lo sviluppo economico del nostro Paese.
Per velocizzare la realizzazione dell'Agenda digitale italiana è stata istituita nel marzo di quest'anno la cabina di regia per l'Agenda digitale, a cui partecipano tre Ministeri, ai cui lavori noi abbiamo collaborato sia come Confindustria che come sistema di Confindustria sul tema delle infrastrutture e la sicurezza, l'e-commerce, l'e-government, l'open data, le competenze digitali, la ricerca e l'innovazione e tutta la tematica della Smart community.
Partendo dal contesto nazionale, sono state analizzate le principali motivazioni che frenano la cosiddetta «Network society», individuando sia le priorità che le modalità di intervento per superare questi ostacoli ed elaborare una strategia italiana di recepimento dell'Agenda digitale, che ci permetta di crescere in modo più incisivo puntando sul digitale.
In Italia ci sono ampi margini di crescita per tutto il sistema dell'economia digitale. L'indagine del McKinsey Global Institute evidenzia come il contributo diretto di internet al PIL sia stato del 3 per cento in Francia, di oltre il 5 per cento in Svezia e nel Regno Unito, a fronte del solo 2 per cento in Italia. Questa è quindi la vera motivazione per fare sempre di più, perché rappresenta un volano di crescita laddove abbiamo un importante differenziale di 3 punti da colmare anche per assicurare crescita al Paese.
Per dare concreto avvio all'Agenda digitale italiana è atteso in questi giorni il decreto Digitalia, che il Consiglio dei Ministri dovrebbe esaminare prossimamente e che avrà come obiettivo, attraverso una serie di azioni predefinite, di agevolare e incentivare a trecentosessanta gradi tutto il settore dell'economia digitale dal lato sia delle infrastrutture che dei servizi.
Quello dei servizi è particolarmente importante, perché realizzare solo infrastrutture senza avere servizi significa non avere la domanda che giustifica l'investimento in infrastrutture, quindi le due cose devono procedere parallelamente.
Lo sviluppo di tali servizi richiederà, come illustreranno i colleghi più esperti di me, una continua attenzione condivisa e pervasiva al tema della sicurezza delle reti e dei servizi e al delicato problema della tutela dei dati. Il rischio è che di fronte a una tale diffusione non ci sia la necessaria protezione, quindi è necessario che la tutela dei dati e la sicurezza delle reti possano essere assicurate.
Ringrazio, lasciando la parola al dottor Radaelli, al dottor Busetto e alla dottoressa Minozzi.
CRISTIANO RADAELLI, Presidente dell'Associazione nazionale industrie informatica, telecomunicazioni ed elettronica di consumo (ANITEC). Vorrei aggiungere qualche nota agli spunti che ci ha proposto il dottor Kraus. Tutti condividiamo il fatto che gli sviluppi digitali siano l'elemento più importante di sviluppo dell'economia. Lo sviluppo delle connessioni e della condivisione delle reti è un elemento importante verso cui il nostro come gli altri Paesi sta procedendo speriamo a tappe veloci.
Oggi dobbiamo discutere di quali precauzioni prendere, perché ovviamente, sviluppando delle reti aggregate e mettendovi sempre più dati a disposizione, dobbiamo chiederci come questi potranno essere difesi e gestiti.
Ci sono 2 o 3 argomenti da affrontare. C'è il problema della sicurezza delle reti in quanto tali, nel senso che le reti gestiranno poi le utilities, quindi le reti elettriche, le reti del gas e dell'acqua, che possono essere potenzialmente fonti di cyber attacchi; abbiamo il problema della sicurezza dei dati personali, che possono essere gestiti in banche dati aggregate sia private che pubbliche e abbiamo poi il problema della sicurezza dei singoli devices di tutti i cittadini che si collegano.
In questo senso considero importante segnalare la fortissima differenza nell'approccio dei cittadini tra sicurezza su PC e sicurezza su smartphone. Credo che la quasi totalità dei cittadini (ci sono precise statistiche delle quali possiamo fornire i dati nell'analisi dei PC di ciascuno di noi) abbia sistemi di protezione antivirus, mentre la presenza di tali sistemi di protezione sugli smartphone è bassissima, sebbene si utilizzino con lo smartphone le stesse applicazioni utilizzate su PC, potendo accedere attraverso gli smartphone alle nostre informazioni bancarie piuttosto che alle nostre mail.
Questo pone dunque esigenze di evoluzione e di crescita culturale delle persone oltre che di coinvolgimento degli operatori, che, avendo strutture molto aggregate, hanno già sistemi in grado di supportare i cittadini e di fornire loro anche questo servizio.
Vorrei elencare i 2 o 3 aspetti principali a questo riguardo. Uno dei punti che riteniamo importante per gli sviluppi e per garantire la sicurezza dei dati è la diffusione dell'identità digitale. Se ne parla da tanto tempo, aspettiamo che con il decreto Digitalia si compiano passi significativi, perché è importante per lo sviluppo - in seguito entreremo più nel dettaglio - che i sistemi delle banche dati possano accertare con sicurezza chi si interfacci con loro.
Riprendendo un punto citato dal dottor Kraus, anche a livello di Commissione europea all'interno della vision 2020 e degli sviluppi per l'economia digitale un elemento essenziale è la fiducia dei cittadini, perché, senza la fiducia dei cittadini nell'usarle, le applicazioni digitali non possono crescere.
Dobbiamo quindi cercare di garantirla all'interno del nostro Paese e di mettere in atto quelle protezioni in grado di assicurarla ai cittadini, facilitando la diffusione delle applicazioni digitali, che a loro volta rendono profittevoli gli investimenti nelle reti.
Un secondo punto sul quale vorrei richiamare l'attenzione è il Computer Emergency Response Team (CERT). È stata definita una normativa europea, che prevede per ogni Paese una struttura di CERT. Questa è stata recepita anche dalla legge italiana e dovrebbe entrare in funzione entro il 31 dicembre di quest'anno, ma si rilevano alcune criticità perché mancano alcuni decreti attuativi o specifiche per implementarla.
Ci sono dei gruppi di lavoro, numerose aziende hanno realizzato reti di impresa per poter collaborare, ed è un aspetto importante per sventare eventuali cyber attacchi alle reti di utilities, alle reti strutturali della nazione. È stata quindi elaborata questa normativa per la protezione e il recupero delle reti e delle informazioni in modo che si possano
superare gli attacchi, e dobbiamo fare in modo che entri in funzione sia per essere in regola con la normativa europea, ma soprattutto per essere protetti nelle nostre attività.
Questo è un punto che mi piaceva sottolineare e penso sia importante nell'implementazione affiancare le strutture istituzionali con strutture pubbliche e private in grado di collaborare e sviluppare queste applicazioni nel campo della cyber security.
L'ultimo punto che cito è quello della grande evoluzione che tutti noi stiamo vivendo dalla gestione di dati su supporto fisico in nostro possesso al cloud computing. Questa è un'evoluzione importante, che permette di avere più servizi, di garantire risparmi di sistema, però è necessario che il legislatore adotti le norme opportune per garantire la sicurezza dei dati, perché ovviamente la gestione dei dati su supporto fisico locale ha un certo livello di sicurezza e di protezione.
Quando andiamo sul cloud computing abbiamo delle funzionalità e delle enormi riduzioni dei costi, ma dobbiamo assicurare che la sicurezza dei dati possa essere mantenuta anche con questo tipo di gestione, che è quella del futuro e che per gran parte già stiamo vivendo. Grazie.
ANTONELLO BUSETTO, Direttore dell'Associazione nazionale per l'information technology (ASSINFORM). Sono Antonello Busetto, direttore di Assinform, che in ambito di Confindustria è l'associazione dell'information technology. Anch'io ringrazio per l'audizione e cercherò di integrare quanto già detto dai colleghi.
Mi permetto di ribadire come questo argomento cominci a diventare sempre più importante proprio grazie alla diffusione che le tecnologie dell'informazione e della comunicazione stanno avendo in ambito pubblico, privato e presso i cittadini. Le imprese utilizzeranno sempre più questi strumenti, le pubbliche amministrazioni si interfacceranno con i loro interlocutori (imprese e cittadini) sempre più attraverso le tecnologie dell'informazione e della comunicazione e attraverso procedure di e-government, e i cittadini sempre più utilizzeranno questi strumenti.
Mentre la tecnologia pervade gradualmente la vita sociale, deve anche garantire sicurezza, ricordando che parte del tema sicurezza è rappresentato dalla privacy, altrimenti rischieremmo effetti controproducenti. Ricordo che quando è stata realizzata l'automobile non possedeva alcuna efficace misura di sicurezza, ma, quando questo strumento determinante per i trasporti e per lo sviluppo si è diffuso, è stato oggetto di approfondite considerazioni sulla sicurezza e sono stati introdotti le cinture di sicurezza, i sistemi di airbag e ora anche strumenti in grado di controllare elettronicamente se il guidatore dall'auto abbia gli occhi aperti, per poterlo allertare qualora stia per addormentarsi e rischiare di causare un incidente.
Dobbiamo anche segnalare che questo tema, che, come ricordato dal dottor Kraus, è al centro della strategia per l'Agenda digitale europea ed è un punto basilare sul quale Bruxelles sta elaborando una strategia, non è così presente negli strumenti attuali che stiamo considerando. Nel decreto digitale, anche conosciuto come «decreto sviluppo 2», come potremo meglio definirlo visto l'ampliamento che ha avuto nel corso di queste settimane, e anche nel disegno di legge Gentiloni-Palmieri che l'onorevole Bergamini sta portando avanti, manca un capitolo dedicato alla sicurezza.
Il tema della sicurezza non è solo una condizione necessaria, ma può essere abilitante all'uso, quindi senza sicurezza rischiamo di frenare lo sviluppo. Dobbiamo prendere in considerazione aspetti organizzativi, logici e tecnologici, quindi pensare a una sicurezza dell'hardware, a una sicurezza del software e a una sicurezza delle cosiddette «inclusioni telematiche».
Gli aspetti devono essere anche di tipo strategico e organizzativo, ma non dimentichiamoci quelli di tipo legale e le norme da emanare, perché manca un quadro di riferimento chiaro che possa attribuire a chi di dovere le dovute responsabilità.
Vorrei toccare un aspetto che mi consente di introdurre l'intervento del dottor Guasconi e riguarda in particolare il tema dell'identità digitale. L'identità digitale è fatta essenzialmente di due componenti: i dati identificativi di una persona e le credenziali di autenticazione. Le due cose non sono separate perché vanno considerate in un'opportuna sequenza.
Vi faccio un esempio: il bancomat, che tutti utilizziamo frequentemente è uno strumento che ha delle credenziali di identificazione (la password, il PIN), però non ha credenziali che consentano di collegare quella identità con la persona, in quanto posso dare il mio bancomat anche a mio figlio o a mia moglie, quindi c'è una separazione tra questi due momenti.
Uno strumento che consentisse un'identità digitale completa (lo strumento e la persona) non potrebbe che passare attraverso strumenti di tipo analogico, non solo digitale. Mi riferisco a tutte le tecnologie biometriche che fanno riferimento alle impronte digitali, al fondo dell'iride, alla geometria facciale. Solo attraverso questo strumento potremmo avere la garanzia. Ci sono tecnologie sufficienti per effettuare questo tipo di identificazione, in grado di garantire livelli di identità molto più spinti per avere maggiori garanzie.
Tutto questo va poi declinato in varie realtà. Una delle realtà molto importanti che si dovrebbe considerare per lo sviluppo della società dell'informazione in merito ai temi della sicurezza è l'elemento pubblico. Devo dire che sul tema non è stato fatto granché, il Codice dell'amministrazione digitale (CAD), anche nei recenti aggiornamenti, ha sviluppato una serie di elementi che possono contribuire a garantire delle regole opportune per quanto riguarda la sicurezza delle reti e dei sistemi informativi.
Purtroppo, però, dobbiamo registrare che, se vogliamo veramente che si sviluppino servizi di e-government e che i cittadini affidino loro una serie di transazioni nei settori della giustizia, della sanità, della scuola, dobbiamo essere ben certi di fornire tutte le garanzie che servono, non ultimo in termini di privacy.
Faccio un breve cenno all'uso del cloud computing, una tecnologia che si sta affermando in maniera prepotente e sta pervadendo molte delle attività informative e informatiche che una volta si facevano con sistemi residenti. Il personal computer è tipicamente uno strumento personale, nel cui hardware teniamo le nostre credenziali, i nostri documenti e tutto ciò che ci serve.
Ora l'informatica sta gradualmente passando dall'hardware personale e dai sistemi residenti a sistemi remoti. Il cloud computing è un'intelligenza remota che gestisce i nostri dati, le nostre applicazioni, i nostri servizi anche in relazione alle funzionalità delle pubbliche amministrazioni, che si stanno organizzando in questo modo.
Questa è una delle tematiche sulle quali ci dovremo confrontare attentamente perché quella tecnologia, che offre una serie di benefici quali un'ottimizzazione e una diminuzione dei costi e la gestione centralizzata di strumenti di sicurezza, ha anche bisogno di adeguate regole affinché questa opportunità non comporti invece conseguenze negative.
Una delle possibili conseguenze negative nell'uso non adeguato dei sistemi informativi è la perdita dei dati e quindi della perdita della cosiddetta «continuità operativa». Nel momento stesso in cui viene affidata larga parte delle nostre attività, dei nostri dati e dei nostri rapporti in ambito privato e pubblico, ovviamente dobbiamo anche garantire questa continuità, per cui i sistemi di continuità operativa, di business continuity, di backup e di disaster recovery diventano elementi fondamentali per poter dare maggiori garanzie ai sistemi di sicurezza.
La sicurezza non è mai sicura al 100 per cento e la tecnologia ha gradi di imperfezione, ma sta a noi far sì che questi possano essere adeguatamente risolti.
Passerei la parola al dottor Guasconi, che rappresenta CLUSIT, un soggetto che ha una partnership con ASSINFORM, e
che è uno specialista tecnico delle tecnologie della sicurezza. Ho lasciato agli atti due copie del Rapporto ASSINFORM, che è uno strumento di lavoro molto utile.
Poiché anche da quel punto di vista sarà opportuna un'implementazione sul tema sicurezza, stiamo valutando di inserire dal prossimo anno all'interno del rapporto un capitolo ad esso dedicato. Il rapporto ovviamente viene adeguatamente sviluppato dal CLUSIT in senso verticale.
FABIO GUASCONI, Delegato dell'Associazione italiana sicurezza informatica (CLUSIT). Cercherò di essere molto rapido, riagganciandomi all'esempio assai calzante citato dal dottor Busetto sull'automobile, che non è nata con dispositivi di sicurezza al suo interno. Sulla sicurezza informatica la questione è molto simile, ma purtroppo più difficile, perché spesso l'utente finale non ha le capacità o il modo di valutare cosa sia effettivamente più sicuro, salvo che si verifichino gravi incidenti pubblicati sui media.
Questo è un tema di fondo molto importante, perché fa mancare l'incentivo primo per integrare la sicurezza nei sistemi, che possono essere sistemi di cloud computing, sistemi che supportano la creazione di identità digitale e sistemi utilizzati per varie finalità dagli utenti finali.
Il tema è l'identità digitale e la sua sicurezza: oggi la situazione non è drammatica ma è abbastanza preoccupante, gli incidenti registrati e denunciati alla polizia postale sono nell'ordine delle decine di migliaia ogni anno, laddove quelli denunciati possono essere considerati solo la punta dell'iceberg.
Per quanto riguarda le identità digitali, che oggi sono rese possibili attraverso l'uso di un nome utente, di una password, le minacce partono dal phishing, che è la classica e-mail o comunicazione fraudolenta che chiede di inserire nome utente e password per verificare la carta di un utente in quanto scaduta o utilizzando qualunque altro meccanismo fantasioso.
Spesso le si riconosce per il cattivo italiano, ma ultimamente i responsabili sono stati abbastanza bravi a evitare errori grammaticali. Si tratta di un metodo di attacco molto efficace e lo si evince sia per le denunce che per le attività che alcune aziende private commissionano per verificare la sicurezza dei propri sistemi, che quando si parla di fare phishing ottengono percentuali di successo anche superiori al 90 per cento.
La seconda minaccia registrata come denuncia a livello di polizia postale è l'hacking, di cui ci si può accorgere se si hanno i necessari strumenti oppure nella maggior parte dei casi non accorgersi. Per quanto riguarda il furto di identità o l'identità rubata e poi riutilizzata per comprare dei beni con una carta di pagamento, spesso si rischia di ignorare il furto di identità per un tempo significativo, finché magari qualcuno non avvia pratiche per ottenere finanziamenti con l'identità rubata.
Un tema poco denunciato è la presenza di malware, quindi strumenti software autoreplicanti, i virus o worm di cui avrete sentito parlare, che infettano i computer degli utenti finali che magari non hanno il sistema antivirus o non lo aggiornano per mille motivi, e quindi colpiscono la fascia più debole dell'utenza.
Questo lascia l'utente finale senza protezione, ma la causa è che vengono utilizzati in rete per l'identità digitale dei sistemi che erano stati pensati per essere utilizzati fondamentalmente in locale: il nome utente e password è un mezzo che andava bene negli anni '70 per autenticarsi a un terminale, ma non oggi per autenticarsi su Internet e magari con una serie di soggetti intermediari.
Il problema quindi c'è, si può tamponare in maniera più immediata sensibilizzando gli utenti finali, cosa che sicuramente è utile, ma probabilmente nessuna azienda privata che usi strumenti di identità digitale si prenderà mai il carico di fare, oppure si può raggiungere l'obiettivo imponendo dei requisiti. Chiunque fornisca dei servizi di identità digitale oggi o meglio domani, quando saranno strumenti più avanzati e completi, dovrà fornire garanzie di sicurezza, cosa che, come dicevamo
prima per le automobili, non è detto che il mercato da solo sia in grado di fare, anzi vi posso garantire che molto difficilmente lo sarà.
L'alternativa è quella di modificare il sistema alla base, ossia di evitare che venga utilizzato il vecchio nome utente e password per attività di un certo tipo. Le banche lo fanno e molti sistemi bancari inviano un sms per la conferma della transazione o effettuano altre verifiche incrociate richiedendo dei codici o forniscono il generatore di codice casuale (OTP).
Sono tutti sistemi che già esistono e ce ne sono anche di più validi in progettazione, ma il punto è che deve esserci qualcuno che dica che devono essere utilizzati per l'identità digitale. Il mondo della standardizzazione non sta facendo granché in proposito, né dal punto di vista internazionale, né dal punto di vista nazionale, ci sono dei temi in discussione nell'Agenda digitale e nel suo contesto, ma non hanno ancora dato i loro frutti.
L'identità digitale viene ad oggi gestita in tanti piccoli feudi, che sono i soggetti che hanno bisogno di utilizzare un'identità digitale, quindi Google gestirà la sua piuttosto che qualunque altro fornitore di servizi nel suo ambito gestirà la propria. Manca un sistema, una piattaforma, un requisito che sia anche sufficientemente sicuro per permettere uno scambio e un'interazione tra questi soggetti.
Ci sono delle iniziative aperte in merito come OpenIDEO o information card che hanno diversi stati di implementazione e un supporto all'e-government, e proprio l'e-government potrebbe essere una leva molto importante per imporre dei requisiti di sicurezza e un sistema di identità digitale che sia in grado di reggere i tempi e le minacce che ci sono. Grazie.
MARZIA MINOZZI, Responsabile rapporti istituzionali di Assotelecomunicazioni ASSTEL. Quanto abbiamo ascoltato finora attiene alla sicurezza delle reti informatiche, cioè strettamente all'aspetto informatico IT. Mi soffermerò, invece, sul discorso sicurezza e sulle reti di telecomunicazioni, dove effettivamente la situazione è differente, nel senso che il tema è sicuramente all'attenzione dal punto di vista sia normativo che istituzionale, sia a livello comunitario che nazionale.
Possiamo dire quindi che per quanto concerne l'infrastruttura - non dei servizi, per tornare alla distinzione iniziale - sia sotto il profilo di security che di privacy il tema della sicurezza è un tema presidiato a livello comunitario, con i conseguenti riverberi a livello nazionale.
Da un punto di vista normativo, quello che riguarda la security ha avuto un ulteriore conferma con la direttiva n.140 del 2009, recentemente recepita in Italia, che ha accresciuto le competenze dell'organismo comunitario di riferimento che è l'Agenzia ENISA, European Network and Information Security Agency, che si occupa di tutti temi di sicurezza per le reti e le informazioni, ma che, in particolare per le reti, sta portando avanti una serie di attività che si declinano nel Programma europeo per la protezione delle infrastrutture critiche.
Nell'ambito di questa direttiva n. 140 c'è anche la normazione del CERT cui faceva riferimento il presidente Radaelli prima. Non vi tedierò con l'illustrazione dei compiti dell'ENISA, rispetto ai quali, se riterrete, vi invieremo un'illustrazione successiva. Il referente nazionale dell'ENISA è il Ministero dello Sviluppo economico, il Dipartimento comunicazioni che partecipa attivamente, perché ENISA ha un suo Strategic Board, al cui interno c'è il Direttore dell'Istituto Superiore delle Comunicazioni, cosa che testimonia come il raccordo tra le attività a livello comunitario e nazionale sia piuttosto stretto.
Tale raccordo coinvolge anche l'azione degli operatori, che, sia associativamente tramite ASSTEL sia in proprio, sono coinvolti nelle attività dei gruppi di lavoro attraverso i quali si dispiega la partecipazione del Ministero dello sviluppo, Dipartimento delle comunicazioni.
Questo per dare un quadro riguardo ai presidi di sicurezza, che risponde ai primi
punti segnalati come oggetto di indagine dell'attuale audizione, cioè l'aspetto relativo alla intrusione sulle reti e ai tavoli di concertazione in materia a livello sia nazionale che internazionale.
Questo tipo di organismi e di articolazione dei lavori è importante perché consente di tenere il passo con gli elementi tecnologici e di standardizzazione relativi alla security, perché non dobbiamo dimenticare che quando parliamo di reti di telecomunicazioni parliamo sempre di qualcosa che ha al suo interno i concetti di interoperabilità e di interconnessione, per cui deve esserci sempre una coerenza delle azioni a livello internazionale. Questo riguarda i requisiti minimi di sicurezza e protezione delle infrastrutture critiche.
Parlando di sicurezza, è necessario accennare al fatto che, una volta assicurata la protezione delle infrastrutture critiche ai livelli minimi di sicurezza, ci sono gradi successivi e progressivi di sicurezza che diventano un elemento di mercato, un elemento che qualifica le diverse offerte, perché questi diversi livelli qualitativi rispondono a diverse esigenze di comunicazione, quindi a diverse esigenze di protezione dei flussi comunicativi che dipendono strettamente dalla natura dei flussi stessi.
Per quanto riguarda il profilo delle problematiche di privacy il discorso è sostanzialmente analogo, perché, come forse è anche più noto perché l'Autorità garante per la tutela dei dati personali è sicuramente più conosciuto dell'Istituto Superiore delle Comunicazioni e dell'ENISA, c'è un'Autorità indipendente e specifica che tratta la materia con basi legislative che risalgono nel tempo.
Il Codice privacy del 2002 è stato recentemente aggiornato, con il decreto legislativo n. 69 del 2012, che ha dato attuazione alle direttive 136/2009 e 140/2009; il pacchetto di direttive è proprio chiamato e-privacy, perché il legislatore comunitario è assolutamente conscio della rilevanza dei temi di privacy quando si tratta di dati personali sulle reti e quindi c'è tutta una serie di requisiti assolutamente stringenti anche per quanto riguarda il discorso delle intrusioni nei sistemi, della perdita dei dati personali.
La direttiva e-privacy quindi anticipa alcune delle misure che il recente pacchetto normativo che la Commissione ha presentato in tema di data protection che è in corso di esame legislativo estende anche agli altri settori economici, quindi non più soltanto confinata alle telecomunicazioni, come ad esempio il discorso sulla notifica nell'intrusione sui dati personali.
Questi termini per quanto riguarda il discorso delle reti di telecomunicazioni sono presidiati in maniera molto attiva sia a livello comunitario che a livello nazionale, con poteri anche molto rilevanti perché, ad esempio, per quanto riguarda il nuovo Garante della privacy i poteri del Garante di enforcement delle normative sono molto stringenti, perché il Garante ha anche un potere di ispezione diretta nelle sedi aziendali per verificare come vengano implementati i requisiti di sicurezza che determina.
In questo contesto c'erano altri tre spunti da approfondire sugli argomenti oggetto di indagine. Per quanto riguarda il tema delle effrazioni alla riservatezza, c'è questo discorso che nel settore viene chiamato del data Brick attualmente in implementazione, in quanto è aperta una consultazione del Garante su questo tema, perché la direttiva è stata recepita recentemente, e quindi le aziende del settore sono attivamente impegnate in questo senso.
Per quanto riguarda invece il tema dei servizi di comunicazioni vocali e video alternativi alle normali comunicazioni su rete fissa e mobile, che utilizzano la larga banda e le risorse della rete Internet che nel settore chiamiamo servizi OTT, il tema della riservatezza è addirittura capovolto, perché il documento d'indagine fa riferimento alle esigenze di conoscibilità di queste comunicazioni nel caso di esigenze di giustizia e qui questa conoscibilità non c'è, perché è noto che le comunicazioni sono effettuate tramite operatori non soggetti
alle normali procedure dell'attività giudiziaria. Qui il tema dell'effrazione e comunque della conoscenza delle comunicazioni riservate si pone semmai al contrario.
Per quanto riguarda invece l'aspetto del cloud computing, faccio un'integrazione a quanto è stato già detto aggiungendo che anche qui, proprio perché il cloud computing solleva temi di privacy, il Garante è intervenuto dettando linee guida di comportamento. Nel momento in cui si parla di cloud computing e servizi di cloud acquisiti dai clienti finali, la cosa più importante è informare i clienti finali delle potenzialità e dei rischi che si possono correre.
Sotto questo profilo è rilevante in particolare la nazionalità dei sistemi perché, se un servizio di cloud viene acquisito da un operatore nazionale, questo si impegna al rispetto della normativa nazionale, garantendo, attraverso gli strumenti di mercato e contrattuali, il rispetto della legislazione nazionale e comunitaria. Maggiori rischi provengono quindi da chi non può fornire queste garanzie.
L'altro punto importante da sottolineare è che l'attenzione è di lunga data e che tutti gli interventi normativi a livello comunitario sono stati effettuati con istruttorie sicuramente complesse. Per le imprese è importante la prevedibilità del quadro normativo anche in questi campi, perché tutti i requisiti di security e privacy comportano rivolgimenti all'interno dell'organizzazione aziendale con un'ovvia ripercussione sui costi sostenuti dalle aziende.
Eventuali interventi sporadici rischiano di complicare la gestione delle reti, però difficilmente migliorano l'affidabilità, perché il tema delle reti è di dimensione sovranazionale in quanto si parla di tecnologie standardizzate a livello mondiale, che per lo più ricalcano la stessa tipologia di funzionamento in tutti i Paesi, quindi c'è un tema di relazione fra l'attività di queste istituzioni e quella degli organismi di standardizzazione.
PRESIDENTE. Do la parola ai deputati che intendano intervenire per porre quesiti e formulare osservazioni.
JONNY CROSIO. Grazie, presidente. Ringrazio i rappresentanti di Confindustria per questa importante audizione. Condivido l'osservazione fatta dal dottor Busetto e dal dottor Guasconi, ovvero questo parallelismo con la sicurezza delle automobili.
L'auspicio è che la parte produttiva non attenda, come è successo nel campo della sicurezza delle automobili, la disponibilità della tecnologia per la sua applicazione, perché dalla scoperta dell'ABS all'applicazione nell'industria delle automobili sono passati venti anni, con le decine di migliaia di morti che abbiamo avuto! Condivido quindi la speranza che si agisca diversamente.
Approfitterei della presenza dei rappresentanti di Confindustria per chiedere due cose molto importanti per questa Commissione sulla questione sicurezza, che procede parallelamente con la qualità della rete.
Le reti NGN (Next Generation Network), che sono il futuro del Paese e dell'Europa e sono parte integrante dell'Agenda digitale europea, prevedono da parte degli Stati membri determinate azioni di investimento. Questa Commissione ha approvato una risoluzione molto importante che contiene impegni che il Governo ha condiviso.
Per quanto riguarda le reti di nuova generazione abbiamo chiesto di privilegiare i poli industriali in quanto fonte di forte interesse. Chiediamo che le autostrade informatiche vengano fatte dove si trasportano i dati. Nel nostro Paese questo determina l'esigenza di una scelta: siccome realizzare le reti di nuova generazione richiede una forte disponibilità economica, che forse non abbiamo, per soddisfare l'Agenda europea che ci impone quanto sapete (i 50 megabit/secondo per il 50 per cento degli utenti, ecc.), non potendo soddisfare questa volontà europea, abbiamo chiesto al Governo di avere la volontà e la forza di andare in Europa e scegliere di
fare un mezzo sgarro all'Europa facendo però un favore al Paese.
Siamo quindi disposti a dare i 100 megabit/secondo all'industria, magari penalizzando l'utente del Passo del Fuscagno in Valtellina, al quale probabilmente bastano 20 megabit/secondo. Questo impone una certa forza di contrattazione in Europa, anche perché la conformazione geomorfologica del nostro Paese non è quella dell'Olanda, dove cablare ed effettuare questi interventi di carattere fisico risulta più semplice piuttosto che nei nostri centri storici.
Ci interesserebbe capire la posizione di Confindustria qualora Governo e Parlamento dovessero fare quest'azione verso l'Europa. La seconda cosa che mi interesserebbe capire riguarda sempre le reti di nuova generazione, che poi sono il perno dello sviluppo del Paese, e condivido le vostre considerazioni in merito all'esigenza di investire, giacché abbiamo la certezza di avere un ritorno anche in termini di PIL.
C'è un forte imbarazzo nel Paese: in questo momento c'è la posizione di Telecom e la posizione di Metroweb, chi vuole una cosa, chi un'altra. Abbiamo audito i rappresentanti di Telecom, che hanno una loro visione per quanto riguarda le reti di nuova generazione, ovvero vorrebbero che il Paese si indirizzasse verso una tecnologia FTTC, in cui privilegiare ancora il rame nella sua parte finale. Dall'altra parte c'è una visione diametralmente opposta o comunque discordante, che vorrebbe avere la fibra fino all'interno degli edifici.
Il problema è che in questo momento il Ministro Passera, che è impegnato in tante questioni, forse è latitante sulla parte infrastrutture di rete del Paese. È venuto in audizione, ha volato a 10.000 metri, però non ha dato al riguardo risposte concrete; attualmente manca all'interno del Paese qualcuno che vada a dirimere questo contenzioso, che crea imbarazzo sull'investimento (sono soldi a disposizione del Governo, che bisogna decidere di impiegare scegliendo una delle due direzioni prospettate).
Corriamo quindi il grosso rischio - e raccomando a Confindustria di drizzare le antenne - di trovarci tra qualche anno con 2 reti simili, parallele, ma di fatto interferenti fra loro anche nella tecnologia, nella fisicità della rete.
A noi interessa capire la posizione di Confindustria da questo punto di vista perché, se è vero che il Parlamento deve essere da stimolo al Governo per fare tutte queste azioni, per noi è molto importante conoscere la vostra opinione.
Non andrei oltre, anche se mi piacerebbe poter dialogare di più con i rappresentanti di Confindustria, perché riteniamo veramente che possano essere gli attori principali nel Paese per quanto riguarda lo sviluppo e la qualità delle reti che, come ho detto in premessa, viaggiano parallelamente alla sicurezza della rete.
La ridondanza dei dati richiede reti efficienti e di conseguenza la tecnologia per mantenere in sicurezza queste reti. La rete è patrimonio del Paese da tutelare e su cui vigilare, quindi mi dichiaro pienamente d'accordo con le vostre affermazioni. Grazie.
DEBORAH BERGAMINI. Non mi dilungo, ma intervengo brevemente per ringraziare i rappresentanti di Confindustria della loro utile presentazione.
Vorrei partire dal dato che il dottor Kraus ha presentato sulla relazione McKinsey, che evidenzia come il contributo della rete al PIL nel nostro Paese sia circa la metà di quello di altri Paesi comparabili con il nostro. Si tratta quindi di un gap assolutamente da colmare e, come voi sapete bene, c'è un grosso sforzo congiunto da parte sia del Parlamento con il disegno di legge Gentiloni-Palmieri, approvato in questa Commissione prima della pausa estiva, sia del Governo, come dimostra il fatto che avete ampiamente fatto riferimento alla cabina di regia e al decreto Digitalia o Sviluppo 2 più volte rimandato, che dovrebbe essere in dirittura d'arrivo.
Vediamo come finalmente, seppur con qualche pesante ritardo, si sia sviluppata
una coscienza a livello istituzionale e di categorie produttive dell'impossibilità di permetterci ulteriori ritardi e dell'esigenza di accelerare fortemente, obbedendo all'Agenda digitale europea e alla vocazione del nostro Paese.
Quanto avete spiegato è abbastanza allarmante, perché avete giustamente messo in evidenza come il dato sulla sicurezza in generale passi sempre in secondo piano rispetto allo sviluppo delle infrastrutture in particolare e allo sviluppo dei servizi, forse perché viene dato come acquisito ma acquisito non è, come ho sentito affermare anche da voi.
Avete distinto - e questo ci aiuta molto - tra sicurezza delle reti, sicurezza dei dati personali e sicurezza dei singoli devices, lasciata più alla coscienza del singolo utilizzatore (e anche su questo ci sarebbe da discutere). Si tratta però di armonizzare perimetri estremamente diversi di messa in sicurezza a fronte di minacce sempre più efficienti e incisive.
C'è un grande dibattito su questi tre livelli a livello comunitario e le risposte non sono semplici perché, come avete evidenziato, c'è un enorme problema di standardizzazione e un altrettanto grande problema di velocità di sviluppo, che ovviamente rende difficile anche legiferare su questo in modo efficace.
Alla luce di tutto questo, vorrei chiedervi se secondo la vostra esperienza e le vostre evidenze, al netto del capire quali saranno i profili di competenza dell'Agenzia digitale italiana, elemento non secondario per il lavoro che dovremo fare e stiamo facendo, dal punto di vista del controllo e del potenziamento della sicurezza non ci sia l'esigenza di effettuare un tentativo di razionalizzare tutto e di armonizzarlo con l'istituzione di un ente, di un organismo.
È vero che esiste l'Authority per la protezione e la sicurezza dei dati personali, però è legata specificamente al noto problema della privacy di dubbia risolvibilità, mentre le componenti sono tante altre. Vorrei chiedervi quindi se riteniate che da un punto di vista istituzionale l'attuale assetto, nella commistione tra organismi comunitari e organismi nazionali, sia sufficiente a garantire un livello di sicurezza necessario nel momento in cui ci stiamo preparando a digitalizzare il Paese, oppure se secondo voi questo sia un ambito su cui bisognerà riflettere e confrontarsi. Grazie.
SETTIMO NIZZI. Vorrei chiedere ai rappresentanti di Confindustria se siano in possesso di dati che riguardano l'utilizzo di modelli standard di informatizzazione dell'auto.
Ciascun utente acquista una macchina con servizi optional che non sempre hanno qualità standardizzate, come ad esempio la possibilità di accedere tramite Wi-Fi soprattutto per quanto riguarda la telefonia, perché è sempre difficile per l'utente collegarsi con un proprio telefono autonomo. Vorrei sapere quindi se abbiate i dati delle case automobilistiche in merito agli sviluppi futuri o attuali in questo senso. Grazie.
PRESIDENTE. Do la parola ai rappresentanti di Confindustria per una breve replica.
CRISTIANO RADAELLI, Presidente dell'Associazione nazionale industrie informatica, telecomunicazioni ed elettronica di consumo (ANITEC). Credo che le domande sollevate siano molto importanti. Forse ad alcune riusciremo a rispondere oggi, mentre ad altre ci riserviamo di rispondere più nel dettaglio, visto che presenteremo un documento relativo a quanto detto oggi.
Cederei la parola ai miei colleghi per poi eventualmente concludere alla fine.
ANTONELLO BUSETTO, Direttore dell'Associazione nazionale per l'information technology (ASSINFORM). Vorrei aggiungere una breve osservazione per quanto riguarda lo sviluppo delle infrastrutture rispetto allo sviluppo dei servizi.
Sicuramente l'Italia non è un Paese che ha risorse eccedenti né nell'ambito pubblico né nell'ambito privato. La scelta deve essere equilibrata e noi come Confindustria abbiamo sempre privilegiato le politiche
sulla domanda rispetto alle politiche per l'offerta, perché riteniamo che lo sviluppo dei servizi e delle applicazioni sia un forte traino per lo sviluppo delle infrastrutture.
Se oggi le infrastrutture sono secondo alcuni insufficienti, secondo altri abbastanza adeguate, forse lo sono perché i servizi utilizzati non sono così sviluppati ovvero non sono quelli più utili, perché ovviamente bisogna fare un'analisi costi/benefici e al momento dell'investimento prevedere gli opportuni rientri, altrimenti il business plan non torna.
Anche quella della sicurezza è una questione di analisi costi/benefici e, se la sicurezza ancora non è stata oggetto di un attento sviluppo di regole o di strumenti per garantirne l'efficacia, è proprio perché la diffusione è ancora a macchia di leopardo. Man mano che le tecnologie e i servizi si svilupperanno, anche la sicurezza verrà adeguatamente sviluppata. Pensate ad esempio ai pagamenti elettronici e allo sviluppo del commercio elettronico, in cui purtroppo siamo la Cenerentola nel mondo.
Ho subìto un'unica frode utilizzando uno strumento di pagamento elettronico negli Stati Uniti venti anni fa, quando clonarono la mia carta di credito e mi arrivò un pagamento. In Italia forse è ancora impensabile perché anche quello strumento è poco utilizzato.
Procediamo con una certa gradualità e peraltro abbiamo organi di eccellenza. Mi riferisco ad esempio al lavoro della polizia postale e delle comunicazioni, con cui operiamo in stretta sinergia e che è perfettamente in grado in questo momento di fronteggiare le minacce.
Certo, dobbiamo ragionare anche in un'ottica di programmazione, e per questo facciamo la nostra azione di stimolo, di lobby, perché ci auguriamo che, grazie ai provvedimenti del Governo e del Parlamento per lo sviluppo dell'Agenda digitale e delle politiche per l'innovazione tecnologica, questi strumenti crescano. Le imprese sono pronte a fare la loro parte, però ovviamente non mettiamo il carro davanti ai buoi.
MARZIA MINOZZI, Responsabile rapporti istituzionali di Assotelecomunicazioni ASSTEL. Risponderei brevemente alle prime due sollecitazioni. Dal punto di vista della sicurezza delle reti l'attuale assetto ci sembra sufficiente. Come dicevo, ci sono molte attività con tavoli di confronto aperti che riescono a cogliere tutte le necessarie considerazioni, quindi direi che la risposta è questa.
Per quanto riguarda invece il discorso infrastrutturale, come diceva anche il collega Busetto, il dibattito è aperto sotto tanti profili dal punto di vista dell'attuale adeguatezza, perché c'è chi sostiene che non siano adeguate e chi invece che lo siano, e obiettivamente da un punto di vista statistico l'Italia è partita presto nel fare certi investimenti e quindi ancora ne beneficia.
Ci sono investimenti pronti per essere fatti che non riescono ad arrivare a realizzazione per una serie di blocchi, su cui attualmente il Governo sta lavorando con il disegno di legge sull'Agenda digitale. È un tema comune anche alle altre infrastrutture quello della difficoltà di realizzazione anche sotto il profilo delle autorizzazioni e dei permessi, e anche questo incide, perché spesso si è portati a ragionare sulle reti di telecomunicazioni come qualcosa di immateriale, mentre di fatto la rete è materiale, molto simile a un'infrastruttura energetica piuttosto che autostradale.
Ritroviamo quindi anche qui il tipo di problemi che ostacolano la realizzazione di investimenti in questi settori e mi sembra che ad oggi siano molto rilevanti, per cui speriamo di riuscire a sbloccarli con l'azione tuttora in corso.
Quello che differenzia il settore delle comunicazioni dagli altri a cui facevo riferimento è che vi sono più soggetti e quindi anche più soggetti in grado di reperire questi finanziamenti dal punto di vista di una logica strettamente privatistica. Nel momento in cui si creano le condizioni per favorire l'investimento, questo poi si realizza.
FABIO GUASCONI, Delegato dell'Associazione italiana sicurezza informatica (CLUSIT). Se mi sono concessi trenta secondi, mi farebbe piacere rispondere al dubbio sollevato dall'onorevole Bergamini sull'opportunità di avere un soggetto istituzionale, oltre a quelli già esistenti, che possa lavorare sul punto di vista della sicurezza.
Come professionista, in base alla mia visione di tutti i giorni della sicurezza di tante aziende e tanti soggetti italiani direi che sarebbe necessario come l'acqua, ossia è un elemento di cui si sente la mancanza, perché le strutture attualmente esistenti hanno una competenza verticale su certe tematiche, ma mancano di una visione d'insieme da una parte e di una preparazione tecnica specifica dall'altra, quindi spesso agiscono in maniera scoordinata o non adeguatamente approfondita per ottenere dei risultati.
PRESIDENTE. Ringrazio i rappresentanti di Confindustria e dichiaro conclusa l'audizione.
La seduta termina alle 15,20.