CONOSCERE LA CAMERA
DEPUTATI e ORGANI PARLAMENTARI
EUROPA e ESTERO
Cerca nel sito
MENU DI NAVIGAZIONE PRINCIPALE
Vai al contenuto
Strumento di esplorazione della sezione Lavori Digitando almeno un carattere nel campo si ottengono uno o più risultati con relativo collegamento, il tempo di risposta dipende dal numero dei risultati trovati e dal processore e navigatore in uso.
salta l'esploraResoconti stenografici delle indagini conoscitive
Torna all'elenco delle indagini
Torna all'elenco delle sedute
Commissione IX
7.
Lunedì 17 dicembre 2012
INDICE
COMMISSIONE IX
TRASPORTI, POSTE E TELECOMUNICAZIONI
Pag. 3
PRESIDENZA DEL PRESIDENTE MARIO VALDUCCI
Sulla pubblicità dei lavori.
Audizione di rappresentanti di European Electronic Crime Task Force (EECTF).
Pag. 4
Pag. 5
Pag. 6
Pag. 7
Pag. 8
Pag. 9
Pag. 10
Pag. 11
Pag. 12
Pag. 13
Pag. 14
Pag. 15
Pag. 16
Audizione di rappresentanti della Conferenza delle regioni e delle province autonome.
Pag. 17
Pag. 18
Pag. 19
Pag. 20
Pag. 21
Audizione di rappresentanti di ABI Lab.
Pag. 22
Pag. 23
Pag. 24
Pag. 25
Pag. 26
Lunedì 17 dicembre 2012
Sulla pubblicità dei lavori:
Valducci Mario, Presidente ... 3
INDAGINE CONOSCITIVA SULLA SICUREZZA INFORMATICA DELLE RETI
Audizione di rappresentanti di European Electronic Crime Task Force (EECTF):
Valducci Mario, Presidente ... 3 14 15 16
Grassi Stefano, Presidente di European Electronic Crime Task Force (EECTF) ... 3 15
Crosio Jonny (LNP) ... 14
Audizione di rappresentanti della Conferenza delle regioni e delle province autonome:
Valducci Mario, Presidente ... 16 19 21
Crosio Jonny (LNP) ... 19
Nicolini Andrea, Consulente del Centro interregionale per i sistemi informatici, geografici e statistici (CISIS) ... 17 19
Pasetti Lucia, Vicepresidente del Centro interregionale per i sistemi informatici, geografici e statistici (CISIS) ... 16
Perniola Fabio, Rappresentante della regione Emilia-Romagna ... 21
Audizione di rappresentanti di ABI Lab:
Valducci Mario, Presidente ... 21 24 25 26
Crosio Jonny (LNP) ... 24
Gaggi Pierfrancesco, Vicepresidente di ABI Lab ... 21 25
ALLEGATI:
Allegato 1:Documentazione depositata dai rappresentanti di European Electronic Crime Task Force (EECTF) ... 27
Allegato 2:Documentazione depositata dai rappresentanti della Conferenza delle regioni e delle province autonome ... 43
Allegato 3:Documentazione depositata dai rappresentanti di ABI Lab ... 90
Sigle dei gruppi parlamentari: Popolo della Libertà: PdL; Partito Democratico: PD; Lega Nord Padania: LNP; Unione di Centro per il Terzo Polo: UdCpTP; Futuro e Libertà per il Terzo Polo: FLpTP; Popolo e Territorio (Noi Sud-Libertà ed Autonomia, Popolari d'Italia Domani-PID, Movimento di Responsabilità Nazionale-MRN, Azione Popolare, Alleanza di Centro-AdC, Intesa Popolare): PT; Italia dei Valori: IdV; Misto: Misto; Misto-Alleanza per l'Italia: Misto-ApI; Misto-Movimento per le Autonomie-Alleati per il Sud: Misto-MpA-Sud; Misto-Liberal Democratici-MAIE: Misto-LD-MAIE; Misto-Minoranze linguistiche: Misto-Min.ling; Misto-Repubblicani-Azionisti: Misto-R-A; Misto-Autonomia Sud - Lega Sud Ausonia - Popoli Sovrani d'Europa:
Misto-ASud; Misto-Fareitalia per la Costituente Popolare: Misto-FCP; Misto-Liberali per l'Italia-PLI: Misto-LI-PLI; Misto-Grande Sud-PPA: Misto-G.Sud-PPA; Misto-Iniziativa Liberale: Misto-IL; Misto-Diritti e Libertà: Misto-DL.
| [Avanti] |
TRASPORTI, POSTE E TELECOMUNICAZIONI
Resoconto stenografico
INDAGINE CONOSCITIVA
Seduta di lunedì 17 dicembre 2012
La seduta comincia alle 14,05.
(La Commissione approva il processo verbale della seduta precedente).
PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso l'attivazione di impianti audiovisivi a circuito chiuso, la trasmissione televisiva sul canale satellitare della Camera dei deputati e la trasmissione diretta sulla web-tv della Camera dei deputati.
PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sulla sicurezza informatica delle reti, l'audizione di rappresentanti di European Electronic Crime Task Force (EECTF).
Do la parola all'avvocato Stefano Grassi per lo svolgimento della relazione.
STEFANO GRASSI, Presidente di European Electronic Crime Task Force (EECTF). Grazie, presidente. Buongiorno a tutti e grazie innanzitutto per quest'opportunità di illustrare le attività del nostro organismo, nato nel 2009 a seguito di un accordo di collaborazione tra Poste italiane, United States Secret Service e la Polizia postale e delle comunicazioni.
Nel corso della presentazione illustrerò le attività che sono state svolte, gli scopi e gli obiettivi di questo organismo e mi permetterò anche di fornire il nostro punto di vista in relazione alle tematiche oggetto dell'audizione, in particolare la sicurezza del web.
Come accennavo in precedenza, l'European Electronic Crime Task Force è nata nel giugno del 2009 e i suoi membri fondatori sono Poste italiane, il Secret Service degli Stati Uniti e la Polizia postale e delle comunicazioni, la specialità della Polizia che ha come mission la sicurezza delle comunicazioni online.
L'organismo ha avuto poi una sua crescita e si è sviluppato andando a individuare un network selezionato e qualificato di partner operanti anche a livello internazionale, dotati di competenze specialistiche nel settore della prevenzione e del contrasto alla criminalità elettronica.
Tale allargamento ha assicurato l'estensione del bacino di analisi e di raccolta delle informazioni in un'ottica sia di condivisione delle best practice di protezione e contrasto dei fenomeni di criminalità elettronica, sia di individuazione di soluzioni e misure concrete per il contrasto di tali fenomeni.
Va anche precisato che si è creato un consesso qualificato e molto trasversale, comprendente professionisti attivi nel settore della cyber security che appartengono a diverse istituzioni sia del mondo pubblico, sia del mondo privato, con l'obiettivo di rafforzare la collaborazione cross-settoriale tra entità pubbliche e organizzazioni private e creare, quindi, un fronte omogeneo e univoco di risposta di analisi e prevenzione delle più significative forme di criminalità elettronica.
L'obiettivo, in una visione prospettica, è anche quello di creare un polo europeo di
eccellenza per avere competenze che siano in grado di scambiarsi informazioni tecniche, ma anche operative.
Sottolineo il termine operative perché, come avrò modo di evidenziare anche più avanti, sono già state maturate esperienze significative in termini di collaborazione operativa del contrasto al fenomeno della criminalità elettronica. Tutto ciò al fine di seguire, monitorare e contrastare l'evoluzione dei fenomeni dell'electronic crime.
Una precisazione è subito doverosa. Per electronic crime dobbiamo intendere tutte le fattispecie di illecito informatico riconducibili alla convenzione di Budapest del 2001, recepita poi in Italia con una legge dello Stato del 2008.
L'obiettivo è quello di aggregare in questa task force competenze ed expertise trasversali rispetto sia ai segmenti produttivi che possono essere interessati da fenomeni criminali - penso al mondo delle imprese - sia ai Paesi coinvolti, in quanto i percorsi fraudolenti, come ben sappiamo, ormai sempre più di rado sono confinati negli ambiti nazionali.
La task force è anche un momento di aggregazione strategica, in quanto a livello europeo riesce poi a far convergere istituzioni pubbliche, forze di polizia, mondo accademico, magistratura e il settore privato che ha competenze nel campo tecnologico.
Come si muove la task force? Sono tre le direttrici prioritarie di intervento: l'analisi, il network e la comunicazione.
Per quanto riguarda la prima direttrice di attività, ossia l'analisi, la task force dedica alcuni approfondimenti alle nuove minacce che si presentano in continua evoluzione. Tale attività di approfondimento viene svolta in maniera congiunta su specifiche iniziative comuni, ma anche sulla base di singole attività all'interno delle diverse organizzazioni. Esse possono portare casi singoli che poi vengono condivisi congiuntamente col resto della community facente parte della task force.
In questo contesto si inserisce anche la partecipazione di Poste italiane, che, quale rappresentante dell'EECTF, ha preso parte a numerose proposte di progetti finanziati dalla Comunità europea in materia di sicurezza dell'informazione.
La seconda direttrice che ho menzionato in precedenza è il network, ossia la capacità di creare una rete di collaborazione e di scambio di informazioni sempre più fitta ed efficace sia con partner istituzionali attivi a livello nazionale, sia nel contesto di iniziative di più ampio respiro.
A tal riguardo, cito la partecipazione della task force al gruppo dell'ENISA denominato FI-ISAC (Financial Institutions Information Sharing and Analysis Center), che raggruppa in un contesto unico i rappresentanti di istituzioni finanziarie, nonché i CERT nazionali europei e le forze dell'ordine. Tutto ciò nella prospettiva di facilitare lo scambio di informazioni in materia di sicurezza informatica dei servizi bancari e di prevenzione delle frodi, sempre con riferimento al settore bancario.
Il terzo filone è quello della comunicazione. La task force si pone l'obiettivo di realizzare iniziative di comunicazione che possono essere di due tipi. Un primo tipo è dedicato a una platea ristretta, come nel caso degli incontri tecnici a porte chiuse che vengono svolti all'interno della task force denominati expert group.
Il secondo tipo di comunicazione mira, invece, a una platea più ampia. È il caso dei plenary meeting che vengono svolti ogni quattro mesi - sono, dunque, tre all'anno - dalla task force.
A queste forme di comunicazione allargata si aggiunge anche la newsletter sulle cyber news che produciamo e che rendiamo pubbliche anche all'esterno della task force. A tal riguardo, forse sarebbe opportuno lasciarne una copia dell'ultima versione anche alla Commissione.
Svolgo alcuni cenni sull'organizzazione. L'EECTF si è dotata di un'organizzazione strutturata su più livelli. Il nucleo fondamentale è quello dei membri fondatori, che, come ho accennato in apertura dell'audizione, sono Poste italiane, insieme alla Polizia postale e delle comunicazioni e al Secret Service americano. Poste italiane
sta svolgendo il ruolo di chairman indirizzando le attività di collaborazione della task force.
A questo primo nucleo si è aggiunto poi un gruppo di membri permanenti, composto da coloro che hanno preso l'impegno di collaborare proattivamente allo sviluppo dell'attività della task force, mettendo a disposizione le proprie competenze, il proprio know-how e anche il proprio tempo per cercare di incentivare la crescita collettiva e di comporre un fronte compatto di risposta cross-settoriale e cross-nazionale ai fenomeni di illecito informatico.
I membri permanenti e i membri fondatori si incontrano periodicamente nel contesto di riunioni a porte chiuse utilizzate come punto di osservazione e di monitoraggio dei progetti in corso e come ambito per effettuare uno scambio di informazioni sulle minacce più recenti e sull'individuazione di contromisure a tali minacce.
È bene ricordare che la task force si è imposta come regola organizzativa il rispetto di alcuni requisiti. I più importanti sono tre. Il primo è quello di non competizione commerciale al fine di instaurare un clima di fiducia tra tutti gli appartenenti alla task force.
Il secondo è quello della riservatezza, per cui ci si impegna a rispettare le informazioni che vengono scambiate all'interno del tavolo di lavoro attraverso un impegno formale: viene firmato da ogni membro che entra a far parte della task force un protocollo di riservatezza, di non-disclosure, pena l'esclusione dal gruppo stesso.
Il terzo obiettivo è quello di verificare periodicamente le attività che vengono portate avanti dai singoli appartenenti alla task force, per massimizzare l'efficacia dell'azione della task force stessa e garantire una gestione il più possibile veloce e snella.
Questo meccanismo di valutazione periodico sul reale contributo fornito da ogni appartenente anche a livello di proattività può portare a una rivisitazione periodica della compagine stessa e, quindi, a una riconfigurazione della task force.
Aggiungo alcuni cenni sui membri permanenti della task force. Fanno parte oggi del gruppo permanente del mondo law enforcement la polizia bulgara e la polizia rumena. Sono due Stati scelti non a caso e ci fa molto piacere la loro collaborazione, perché sono due Paesi molto importanti in termini di collaborazione per il contrasto dei fenomeni illeciti.
Fanno parte del mondo del law enforcement anche i membri fondatori, ossia la Polizia postale e delle comunicazioni e il Secret Service degli Stati Uniti, che è una sponda per noi molto importante oltre oceano.
Ci sono poi appartenenti al mondo della ricerca e degli enti istituzionali, come la Fondazione Global Cyber Security Center, sempre promossa da Poste italiane, il Ministero dell'economia e delle finanze, con l'UCAMP, l'ufficio dedicato al contrasto delle frodi sui mezzi di pagamento, l'UNICRI, l'agenzia delle Nazioni Unite dedicata a queste tematiche. Si aggiungono poi alcuni appartenenti al mondo finance, come American Express, Citibank, Mastercard, UniCredit e VISA Europe.
Ci sono poi alcuni appartenenti al mondo della security. Cito, in questo caso, SelexElsag, in rappresentanza del gruppo Finmeccanica.
Inoltre, ci sono appartenenti al mondo ICT, come CA Technologies, Kaspersky, RSA, Symantec e Verizon.
Per quanto riguarda le cooperazioni, abbiamo in atto cooperazioni istituzionali, anche sul fronte internazionale.
Sul primo versante, quello delle cooperazioni istituzionali, l'EECTF ha stabilito nel tempo importanti relazioni istituzionali con le controparti pubbliche di maggior rilievo. Ricordo il Ministero dell'interno, non solo attraverso la partecipazione costante e sistematica della Polizia postale e delle comunicazioni, ma anche mediante la partecipazione alle community dei rappresentanti delle altre forze dell'ordine. Ai nostri plenary meeting sono sempre presenti i rappresentanti di tutte e
tre le forze dell'ordine, oltre alla Polizia postale e delle comunicazioni, anche l'Arma dei Carabinieri e la Guardia di finanza.
A proposito della Guardia di finanza, ricordo che proprio pochi giorni fa è stata chiusa un'importante attività operativa, un'operazione resa possibile anche grazie alla collaborazione della task force.
Sempre in ambito di cooperazioni istituzionali rammento la collaborazione che abbiamo in corso con il Ministero dell'economia e delle finanze, sia per tramite dell'articolazione UCAMP, che ho precedentemente citato, sia tramite la collaborazione con Consip, che dispone di un centro operativo di sicurezza di elevato livello.
Abbiamo poi una cooperazione istituzionale anche con il Ministero dello sviluppo economico, in particolare attraverso l'ISCOM, l'Istituto superiore delle comunicazioni e delle tecnologie dell'informazione, anche nel ruolo di supporto alla definizione dell'Agenda digitale, un tema importante di queste settimane.
Collaboriamo poi con l'Autorità garante per la protezione dei dati personali, un interlocutore indispensabile per i lavori della task force, e con la Banca d'Italia.
Interlocuzioni attive sono avviate anche con l'Associazione bancaria italiana, che, peraltro, è in procinto di diventare membro permanente e sta per entrare in forma strutturata nei componenti della task force.
Il secondo fronte che ho ricordato in precedenza è quello delle cooperazioni internazionali. Su questo versante abbiamo contatti permanenti con numerose realtà di alto profilo istituzionale che stanno sviluppando percorsi analoghi a quelli della task force e che ne condividono le finalità.
Tra di esse vi è l'ENISA. La cooperazione con l'ENISA si svolge attraverso i gruppi di lavoro specifici FI-ISAC che ho citato in precedenza, ma anche attraverso l'European Public-Private Partnership For Resilience, con la quale stiamo valutando le modalità più opportune di collaborazione.
Una forma di cooperazione è attiva anche con Europol con riferimento alla costituzione anche dell'European Cybercrime Centre, il cosiddetto EC3, e alla possibilità di attivare un canale di collaborazione operativa sui temi della criminalità elettronica.
Altre cooperazioni internazionali riguardano l'European Payments Council, il CERT dell'Unione europea. È molto importante e avrò modo di spendere alcune parole in merito più avanti.
Vi è poi Eurojust, che funge da coagulante nella relazione tra le Autorità giudiziarie in ambito europeo, l'Anti-Phishing Working Group e il Digital Crimes Consortium.
Vi sono ancora ulteriori gruppi di accesso riservato e altamente qualificato e vendor, che sono comunque indipendenti e stanno portando un contributo ai lavori della task force per costruire relazioni operative con i centri di sicurezza di importanti organizzazioni private.
A questo punto, ritengo opportuno spendere alcune parole anche sul Traffic Light Protocol, cioè su come vengono condivise le informazioni, atteso che il requisito della riservatezza, come ricordato in precedenza, è un requisito ineludibile per la bontà e l'efficacia dei lavori di questo organismo.
Ogni membro permanente, nel momento in cui acquisisce l'accesso alla task force, sottoscrive un protocollo di scambio di informazioni che identifica quattro livelli di riservatezza, livelli che noi abbiamo denominato attraverso colori per renderne più facile il grado di importanza.
Il primo è il codice rosso, relativo a informazioni non divulgabili, né oralmente, né per iscritto. Ciò significa che nel corso di ogni incontro che viene effettuato nell'ambito degli expert group viene effettuata una sessione di scambio di informazioni in codice rosso. Sono informazioni che possono essere condivise soltanto nell'ambito dei lavori dell'expert group e non possono assolutamente essere divulgate.
C'è poi un secondo livello di riservatezza, definito col codice ambra. Si tratta di informazioni divulgabili per fini operativi
soltanto all'interno della propria organizzazione, ferma restando la possibilità di dare un riscontro a posteriori nel contesto dei lavori degli expert group e nelle riunioni susseguenti.
Il terzo livello è denominato codice verde e riguarda informazioni divulgabili soltanto all'interno della community della task force, anche attraverso le newsletter.
Infine, ci sono le informazioni di codice bianco, che non richiedono alcun livello di riservatezza, in quanto sono divulgabili anche all'esterno della community, ivi compresa la stampa. Possono essere, quindi, pubblicizzate.
Della composizione della community della task force ci può fornire uno spaccato l'ultimo incontro plenario che si è svolto il 29 novembre, meno di un mese fa, presso la sede di Poste italiane.
In occasione di questo plenary meeting erano presenti 150 professionisti, ognuno nel proprio ambito di competenza, operatori della sicurezza in materia di electronic crime provenienti da istituzioni finanziarie e dalle forze dell'ordine, dal mondo ICT, dall'università e dalla ricerca, ossia dal mondo accademico, da pubbliche amministrazioni, ma anche da istituzioni europee.
Mi preme sottolineare che in questa circostanza erano presenti i rappresentanti di dieci Paesi differenti, così come erano rappresentati anche istituzioni europee e altri organismi sovranazionali.
Un dato importante è quello relativo alla distribuzione complessiva tra rappresentanti di entità pubbliche e di organismi privati. La task force vuole essere un contesto di cooperazione privilegiato per il rafforzamento della partnership pubblico-privato nella quale noi crediamo fortemente per l'efficacia dell'azione di contrasto ai fenomeni di criminalità elettronica.
Quanto ai plenary meeting della task force, tutti i membri della community sono invitati a partecipare a questi incontri quadrimestrali. Ricordo che nel corso del 2012, per fare un cenno ai lavori che sono stati svolti, il primo ha avuto come tema gli APT (Advanced Persistent Threat), che si è svolto a marzo. Abbiamo discusso e analizzato gli attacchi in questione, che sono specificamente profilati su singole aziende e organizzazioni, attacchi che mirano a impadronirsi di informazioni critiche e sensibili seguendo tecniche di raccolta in maniera silente e protratta nel tempo. Sono, quindi, attacchi particolarmente insidiosi e pericolosi, che è difficile contrastare perché non di rado si avvalgono di insider interni all'organizzazione.
Il secondo plenary meeting ha avuto come tema la gestione sicura dell'identità elettronica nel cyberspace. Si è svolto a luglio e i lavori hanno avuto come riferimento l'analisi delle iniziative che sono state avviate sia nel settore pubblico, sia nel settore privato per garantire la sicurezza e la protezione delle informazioni personali degli utenti della rete. Sono stati analizzati non solo i principali trend di attacco, ma anche la normativa di riferimento a questa tematica.
Infine, si è trattato della sicurezza dei sistemi di pagamento innovativi.
Questo è stato, dunque, l'ultimo plenary meeting che si è svolto a novembre. L'analisi ha riguardato l'identificazione dei principali trend in atto nel contesto comunitario. È stata registrata una forte accelerazione che si sta avendo nel quadro complessivo delle tecnologie abilitanti a questi sistemi di pagamento. Anche in questo contesto sono state discusse un'analisi sul quadro normativo di riferimento e la condivisione di strategie di protezione delle informazioni in relazione alle minacce che sono in corso.
Passando agli incontri dell'expert group, come ho accennato in precedenza l'EECTF opera nel quotidiano attraverso alcuni expert group che svolgono incontri periodici di natura più tecnica. Sono incontri dedicati a tematiche significative e di particolare attualità. I temi vengono scelti sulla base delle proposte che gli stessi partner avanzano, ponendo all'attenzione temi che vengono poi condivisi e analizzati negli ambiti di questi incontri.
A titolo esemplificativo devo richiamare l'interessante relazione che è stata presentata dai colleghi della Polizia postale a settembre, la quale ha riguardato indagini
che si sono concluse con successo sui casi di frode sulle carte di pagamento. È un esempio che merita di essere ricordato perché testimonia la validità del modello di stretta collaborazione tra le nostre strutture, modello che ha portato a un caso di successo proprio nel contrasto a questo tipo di fenomeni.
Sempre nel consesso degli expert group, per citare un altro esempio, nel gennaio del 2013 sarà realizzato un incontro dedicato all'analisi di alcune vulnerabilità del protocollo VOIP. Questo avverrà tramite una demo organizzata nel Cyber Security Competence Center di Poste italiane.
Per trasmettere il senso della concretezza delle attività che vengono svolte dalla task force mi preme rappresentare altri due esempi di collaborazione.
Il primo è il caso Eurograbber. Credo non sia sfuggito a nessuno il clamore della notizia di pochi giorni fa, riportata dai principali organi di informazione, di un attacco denominato appunto Eurograbber, in cui si faceva riferimento a un furto di circa 30.000 credenziali avvenuto in tutta Europa, in diversi Paesi, Italia compresa, attraverso una modalità di compromissione congiunta sia del personal computer, sia del telefonino di utenti di servizi che utilizzavano l'home banking. Il report faceva riferimento anche al valore complessivo della frode. Si parlava di ben 36 milioni di euro.
Secondo le notizie gli attacchi avvenivano attraverso un malware per sistemi Windows appartenente alla famiglia del malware Zeus, in grado di iniettare un codice malevolo sul personal computer infetto, chiedendo poi all'utente di inserire il proprio numero di cellulare e anche il modello del telefono.
La vittima riceveva, quindi, successivamente sul proprio cellulare un SMS con un link al quale veniva invitata a collegarsi per scaricare un aggiornamento di sicurezza. In realtà, il link causava il download di un codice malevolo che consentiva poi il controllo completo dell'apparecchio e il reperimento di credenziali di autenticazione a operazioni dispositive dell'home banking.
Questa era la notizia per come è stata comunicata. Sulla base di tale notizia sono stati svolti gli approfondimenti della task force, che hanno consentito di ridimensionare moltissimo la portata della notizia. È stato accertato, infatti, che la cifra corrispondeva alla somma complessiva della disponibilità dei conti correnti di tutti coloro che utilizzano l'home banking secondo le modalità che ho poc'anzi descritto.
È stato anche accertato che i casi di frode di questo tipo sono pochissimi per quanto riguarda realtà italiane. È stato confermato dai CERT dei principali istituti finanziari che la stima ha preso in considerazione i clienti infettati anche in modo parziale, che non avevano avuto alcun nocumento in termini di frode.
Nel contesto dell'expert group sono state compiute azioni concrete in relazione a questa notizia. In particolare, sono state acquisite informazioni specifiche sul malware in questione, sono stati individuati i possibili obiettivi dell'attacco ed è stata attivata una comunicazione molto stretta con le forze dell'ordine e con gli istituti bancari potenzialmente coinvolti.
Altri esempi che meritano di essere ricordati sono la collaborazione con il CERT dell'Australia e due azioni effettuate in collaborazione con la Polizia postale e delle comunicazioni.
Sono state instaurate relazioni di collaborazione tra la task force e un CERT nazionale australiano. Sulla base di tale collaborazione abbiamo ricevuto informazioni sulle infrastrutture e i servizi di alcune botnet attive a livello internazionale per attacchi molto focalizzati su alcuni Paesi, tra i quali anche l'Italia.
Sulla base di tale collaborazione è stato possibile rinvenire un cospicuo numero di credenziali frodate a ignari utenti della rete ed è stato anche possibile individuare l'attività dei cosiddetti money mule, soggetti che mettono a disposizione il proprio conto corrente per consentire la finalizzazione della frode e, quindi, anche il riciclaggio dei soldi che vengono rubati ai clienti degli istituti bancari che utilizzano l'home banking online.
Queste informazioni sono state gestite in modalità sicura di concerto con la Polizia postale e hanno consentito il blocco di migliaia di utenze compromesse. L'aspetto importante è che le relazioni che sono state avviate con i soggetti che ho ricordato in precedenza, in particolare con il CERT australiano, sono diventate ormai strutturate e rimangono permanenti, tant'è che ancora oggi continuiamo ad avere aggiornamenti con flussi di informazioni che riguardano possibili obiettivi di attacco.
La task force svolge anche alcuni progetti internazionali di ricerca. Ne cito tre in particolare.
Il primo riguarda la definizione di una tassonomia globale sul crimine elettronico. Tutti sappiamo che questa è una materia ricca di codici e di denominazioni tecniche e che spesso si fa anche confusione sulla terminologia. Parole come phishing, APT, malware e botnet possono anche avere un diverso significato, soprattutto se si fa riferimento a Paesi diversi e a normative e giurisdizioni diverse.
La necessità di avere una definizione condivisa, una vera e propria «e-crimeopedia» nella quale catalogare e definire tutto ciò che è riferibile all'universo del mondo del crimine elettronico, è assolutamente importante. Ciò consentirà anche di fluidificare i rapporti e di rendere più efficace e veloce l'azione, nonché più omogenee le normative vigenti nei diversi Paesi in ambito europeo.
Un altro progetto di rilevante interesse sotto il profilo operativo riguarda l'attivazione di un Advanced Cyber Defence Center finanziato nel contesto di progetti di ricerca della Commissione europea, volto a creare un network di prevenzione, questa volta con specifico riferimento al fenomeno delle botnet.
Infine, abbiamo in corso un progetto che riguarda la cyber crime policy. Esso mira a creare un quadro di riferimento che possa fornire indicazioni sia sull'information sharing e sul cyber crime, sia sulla cooperazione internazionale tra i CERT nazionali e quelli di organismi privati.
Qual è il punto di vista della task force sulle priorità in materia di cyber security? La task force rappresenta indubbiamente un contesto privilegiato di analisi e di aggregazione delle informazioni. Questo ci consente di tenere costantemente sotto osservazione i principali trend e le principali minacce in questo settore e, quindi, anche di individuare soluzioni concrete per garantire una risposta migliore a livello di sistema europeo.
Come task force, noi riteniamo che possano avere maggiore impatto nel prossimo futuro alcuni ambiti.
Innanzitutto vi è lo sviluppo di un quadro normativo omogeneo capace di fornire strumenti di prevenzione e di repressione efficaci e coerenti con il progredire delle minacce e, quindi, di agevolare una collaborazione cross-nazionale tra tutti i Paesi. Ciò consentirebbe di gestire in maniera ancora più veloce ed efficace le emergenze di fenomeni che, lo ripeto, hanno ormai una dimensione esclusivamente transnazionale.
Il secondo filone è la cooperazione internazionale tra organizzazioni qualificate. Tali organizzazioni devono essere capaci di rappresentare istanze o di più settori che riguardano un'unica area geografica, ossia un unico Paese, oppure di un'unica area di interesse, per esempio associazioni di settore e Agenzie europee specializzate che possono essere accomunate non dall'ambito geografico, ma dalla materia di cui si occupano.
Poi c'è un terzo filone, che è l'approccio alla sicurezza come leva strategica. Noi crediamo fortemente nella security by design, ossia nell'integrazione dei requisiti di sicurezza sin dalla fase di progettazione. La sicurezza non deve essere un elemento a posteriori, ma deve riguardare sin dalla progettazione sia i processi di business, sia gli strumenti tecnologici che vengono offerti dal mercato.
Arrivando ai temi oggetto della presente audizione, svolgo un rapido focus sulla sicurezza delle identità digitali. Bisogna innanzitutto evidenziare che, quando si fa riferimento al tema dell'identità digitale, una prima considerazione
riguarda la moltiplicazione, anzi l'esplosione che si è verificata in questi ultimi tempi dei contesti nei quali è possibile ottenere, utilizzare e gestire la propria identità digitale.
L'identità digitale è la rappresentazione all'interno di un sistema informatico di un soggetto esistente nel mondo reale, con riferimento sia a persone fisiche, sia a organizzazioni, aziende e dispositivi.
L'identità digitale può essere declinata in diversi contesti. Ci sono contesti più consolidati e più tradizionali, tra cui il mondo delle transazioni finanziarie e della posta elettronica, delle utility e delle carte di pagamento, accanto ai quali figurano ambiti di più recente evoluzione, contesti più recenti.
Tra questi ultimi casi ricordo, per esempio, il profilo che può essere aperto sui social network, così come la possibilità di seguire un blog professionale o di partecipare a una community. Penso anche al mondo del gaming, dei giochi online.
Per ognuno dei servizi ai quali accediamo attraverso la rete oggi esiste un differente sistema di informazioni che identificano il soggetto univocamente e che gli consentono di fruire dei servizi che vengono resi disponibili sulla rete.
In corrispondenza di ognuna di queste possibilità ci sono parametri di sicurezza che variano a seconda della criticità del servizio al quale accediamo. Differenti parametri di sicurezza identificano differenti livelli di protezione, il che rappresenta già una prima criticità.
Per meglio comprendere il concetto basti pensare che, per esempio, per la posta elettronica può essere ritenuto sufficiente il log in con la password statica. Dobbiamo considerare, però, che, laddove la possibilità di accedere alle comunicazioni di posta elettronica arriva nelle mani di malintenzionati, i contenuti della posta elettronica diventano potenziali armi per condurre attacchi sempre più profilati e strutturati.
Anche in questo caso deve essere, dunque, posta attenzione a modalità che possono apparire prima facie meno bisognevoli di una protezione forte. La moltiplicazione delle identità online accentua esponenzialmente il livello di criticità e, quindi, chiama a una riflessione complessiva e strutturata sulle migliori pratiche di protezione.
È bene analizzare, a tal riguardo, il ciclo di utilizzo delle identità digitali, costituito da tre fasi.
La prima fase è il provisioning, ossia il riferimento ai processi di creazione dell'identità digitale per definire un'attribuzione univoca al consumatore finale.
Il consumatore, l'end-user, viene provvisto delle sue credenziali, il che può avvenire in diversi modi, con log in e password, oppure con doppio fattore abilitante, come il token OTP (one-time password), oppure addirittura con il certificato digitale.
In questa fase, quella del provisioning, un ruolo importante è assunto dall'identity provider, che svolge la funzione di registration authority e anche di certification authority, quando è richiesto.
La seconda fase è quella dell'autenticazione e fa riferimento, come è ovvio, all'utilizzo operativo delle credenziali per l'accesso al servizio da parte dell'utente. Anche in questa fase un ruolo importante è assunto dall'identity provider, che si pone come terza parte di verifica del corretto accoppiamento credenziali/utente reale.
Una terza e ultima fase è quella della fruizione del servizio, quella relativa all'utente finale. In questa fase il service provider eroga le risorse e il servizio all'utenza sulla base dell'autenticazione garantita nel passo precedente.
Tutti i soggetti che sono stati nominati in questo percorso si trovano a dover gestire, per la parte di rispettiva competenza, alcune sottofasi delle informazioni relative all'identità dell'utente e, pertanto, possono potenzialmente essere oggetto di attacco per intercettare, modificare o rendere non disponibili le informazioni in transito.
Le criticità vanno, pertanto, considerate sull'intero processo di gestione, nel loro
insieme e in un discorso unico di mitigazione del rischio complessivo di tutti gli attori coinvolti.
Aggiungo alcune considerazioni a tal riguardo. Il ruolo dell'identity provider, tanto nella fase di provisioning quanto in quella di autenticazione e verifica delle credenziali di accesso, a nostro modo di vedere, è molto importante, in quanto deve garantire l'affidabilità dell'intero sistema di gestione sicura delle identità digitali.
In un'ottica prospettica, in futuro, la task force guarda con forte attenzione a quale sarà la scelta nazionale del Paese Italia nell'individuare il possibile identity provider nazionale.
Un'altra considerazione riguarda la protezione delle fasi di autenticazione. Gli strumenti di autenticazione ai servizi digitali costituiscono spesso un elemento di forte discrezionalità, nonché una leva e un vantaggio competitivo per chi eroga il servizio, in quanto in questa fase bisogna trovare un compromesso, un trade-off, tra l'usabilità del servizio, ossia la facilità di accedervi, e il livello di protezione che deve essere assicurato.
Spesso questo obiettivo è garantito anche dal legislatore, il quale individua alcune misure di sicurezza cogenti. Mi riferisco, per esempio, alla direttiva europea PSD (Payment Services Directive), che ha riguardato i sistemi di pagamento e ha stabilito le misure di sicurezza che devono essere garantite.
Peraltro, tale direttiva il prossimo anno dovrà essere rivista. In tal senso si prevede che un accento ancora più forte verrà posto sui temi della sicurezza proprio in occasione della rivisitazione della direttiva in argomento.
Un'altra considerazione riguarda l'utente finale. Tutti gli studi che la task force ha condotto in questi tre anni hanno evidenziato come l'atteggiamento degli utenti online sui temi della sicurezza e della protezione delle informazioni personali d'identità digitale spesso non ha l'attenzione che dovrebbe avere. Vi sono elementi di criticità crescenti molto più di quanto non avvenga nel mondo delle imprese. Spesso l'utente finale non pone particolare attenzione ai rischi di sicurezza nell'operazione online. È opportuno, quindi, intervenire con azioni di sensibilizzazione molto forti.
Le azioni di protezione delle proprie informazioni identitarie si concretizzano per l'utente in pratiche di sicurezza che spesso si limitano ad aspetti legati alle frodi su carta, ma ottengono poca attenzione in merito all'operatività su Internet. Il tema della consapevolezza, dell'awareness del cittadino digitale assume, pertanto, un'importanza sostanziale, nel duplice ruolo di proteggere l'utente finale, da sempre considerato l'anello debole nella catena di sicurezza dell'erogazione dei servizi online, e di incrementare e facilitare l'utilizzo di strumenti innovativi con una piena consapevolezza delle loro caratteristiche e, quindi, anche dei loro rischi.
A oggi sono svolte attività di awareness su scala allargata soltanto in maniera sporadica da parte di alcune organizzazioni. Per esempio, Poste italiane ha dedicato sul proprio portale numerosi avvertimenti e istruzioni diretti alla propria clientela per evitare le frodi online.
Anche l'Associazione bancaria italiana ha attuato iniziative analoghe, ma in generale le iniziative che si registrano sono piuttosto sporadiche e comunque non sufficienti per raggiungere l'intera platea degli utenti del servizio online. Soprattutto non sono sufficienti per fornire un quadro esauriente delle potenziali minacce e delle possibili contromisure.
Sulla base di quanto già realizzato in altri Paesi membri dell'Unione europea e sulla scia dell'obiettivo indicato tra le priorità dell'Agenda digitale europea i tempi potrebbero essere maturi per effettuare anche in Italia una campagna di comunicazione allargata, continuativa, cross-settoriale e coordinata centralmente da un organo governativo.
L'altro tema richiesto per l'audizione, il cloud computing, è già da tempo all'attenzione della task force. Il paradigma alla base della logica del cloud computing è quello di offrire on demand l'accesso a risorse informatiche geograficamente distribuite,
rendendole disponibili sotto forma di servizi al consumo, secondo il modello tipico del pay-per-use.
A seconda del tipo di servizio che viene erogato si possono distinguere tre differenti tipologie di cloud computing, con tre livelli crescenti di complessità.
Il primo è quello del software as a service, in cui le applicazioni vengono erogate come servizio in cloud.
Il secondo è quello delle piattaforme, per cui il cloud eroga la piattaforma tecnologica su cui il cliente sviluppa, testa ed esegue eventualmente le proprie applicazioni.
La terza è quella delle infrastrutture. Il cloud mette a disposizione dei clienti, in questo caso, infrastrutture configurabili come, per esempio, macchine e reti virtuali o storage.
Pertanto, il cloud computing è un paradigma di erogazione e di fruizione di servizi. Va precisato, però, che, anche se non vi sono particolari criticità di natura tecnica, a oggi in Italia la sua diffusione è ancora molto parziale e il trend di crescita dal nostro punto di vista sembra inferiore rispetto a quello di altri Paesi.
Quali sono, a nostro modo di vedere, le maggiori criticità che si registrano in questo campo? Innanzitutto vi è un quadro normativo piuttosto incerto, con riferimento anche alla difficoltosa valutazione di possibili ricadute per quanto riguarda la normativa europea in materia di privacy e la non piena disponibilità di connessioni a banda larga in tutto il Paese. Mi riferisco al cosiddetto digital divide.
Cionondimeno, dobbiamo considerare il cloud anche come un fattore di rischio importante, perché una base d'attacco evoluta come quella del cloud potrebbe portare a danni molto diffusi e amplificati. L'utilizzo di infrastrutture cloud per compiere attacchi, per esempio, DDoS e inviare massimamente spam avrebbe un impatto amplificato proprio dalla tecnologia stessa.
Il cloud è una forma di esternalizzazione dell'IT e può portare a conseguire economie di scala nell'erogazione dei servizi, ma può anche trasferire alcune categorie di rischio dal cliente al fornitore.
La mitigazione di tali rischi può avvenire su due fronti, dal lato del fornitore che eroga il servizio e dal lato del fruitore, del cliente.
Dal primo punto di vista la protezione dei propri sistemi deve avvenire con riferimento all'intensificazione dell'attività di monitoraggio e di aggiornamento dei processi di incident response, nonché di integrazione e di monitoraggio dei servizi erogati attraverso il cloud con processi di sicurezza, impiego di politiche, procedure e strumenti di sviluppo sicuro in accordo a best practice internazionali. Si aggiunge l'aggiornamento tempestivo dei sistemi e delle applicazioni servite dal cloud rispetto a potenziali vulnerabilità individuate sulle infrastrutture del supporto.
Si può intervenire anche sulle certificazioni previste, nonché sul miglioramento dell'interfaccia verso il cliente fruitore, con riferimento, per esempio, all'utilizzo di protocolli sicuri per l'integrazione.
Per quanto riguarda la mitigazione dei rischi dal lato del cliente fruitore, ricordo come gli interventi possibili possono riguardare lo studio di fattibilità preliminare per individuare applicazioni, sistemi e dati adatti alla migrazione sul cloud - forse oggi non è opportuno trasferire tutto su cloud - lo sviluppo sicuro delle applicazioni che andranno sul cloud mediante modalità platform as a service, la cifratura alla fonte dei dati confidenziali, ma anche la possibilità di effettuare assessment periodici dall'esterno, così come il monitoraggio delle performance.
Per quanto riguarda in particolare il primo punto, alla luce dell'esperienza maturata possiamo asserire che sono pronte a essere esternalizzate in un'ottica cloud le applicazioni e/o piattaforme che non sono troppo legate ai processi di business dell'azienda, con riferimento in modo prevalente a tutto ciò che riguarda asset non strategici e informazioni aziendali non particolarmente sensibili o confidenziali, o comunque tutte le informazioni per le quali è necessario mantenere una governance assolutamente stretta.
La task force ha come canale integrato di information sharing il supporto del CERT di Poste italiane. Ricordo che le istituzioni europee hanno sollecitato la Commissione, in prima battuta, alla realizzazione di unità operative uniche, CERT, capaci di sviluppare un livello di cooperazione e di interazione reciproca, con l'obiettivo di creare un'infrastruttura unica di collaborazione internazionale.
In questi ultimi tempi anche Poste italiane ha avviato un'attività molto intensa per arrivare alla realizzazione di un CERT come gruppo aziendale, realizzando un punto di sintesi e di coordinamento unitario di tutte le attività di prevenzione e di risposta agli incidenti che già oggi abbiamo come presìdi di sicurezza all'interno della struttura stessa. Tutto ciò andrebbe, però, razionalizzato e centralizzato.
La realizzazione di un CERT di Poste italiane potrebbe costituire un supporto anche alla realizzazione di un CERT nazionale ed è un'esperienza che viene messa a disposizione proprio per arrivare a un punto di raccordo unitario rispetto a criticità potenzialmente emergenti in regioni specifiche del Paese.
Il costituendo Centro nazionale di risposta all'emergenza di sicurezza, il CERT nazionale, potrebbe, quindi, beneficiare fortemente di questa interazione, sia in termini di disponibilità immediata di una rete qualificata e capillare di supporto, quale è quella di cui dispone Poste italiane, sia in termini di possibilità di sfruttare un canale privilegiato di condivisione delle informazioni.
Quali sono gli obiettivi che si pone il CERT? Uno è quello di realizzare un unico punto di interfaccia anche verso l'esterno e, quindi, di facilitare le relazioni con gli altri CERT esterni. Un altro è quello di partecipare alle community di sicurezza nazionali e internazionali più rilevanti e di garantire un maggiore presidio dei servizi digitali. Ancora, si vuole assicurare la massima visibilità dei contenuti sviluppati attraverso report periodici, statistiche o survey analysis puntuali.
In parallelo alle nuove opportunità di business le analisi condotte nel contesto della task force hanno, altresì, evidenziato come la convergenza di reti e dati, da un lato, e telefonia mobile e telefonia fissa, dall'altro, abbia di fatto esteso il raggio d'azione della criminalità elettronica su nuovi canali.
In quest'ottica si rafforza la convinzione che le attività di presidio centralizzato che attendono alla sicurezza dell'infrastruttura non possano essere separate dall'integrazione di azioni di prevenzione e di protezione dei servizi erogati attraverso le stesse reti.
Con riferimento allo scenario evolutivo nel settore delle telecomunicazioni un altro trend da considerare è la disponibilità sempre più pervasiva di connessioni a fibra ottica presso gli utenti finali. Essa ha incrementato di molto la domanda e il consumo di banda.
A tal riguardo la riflessione che va svolta è come il mercato dei servizi online sia dominato da due grandi protagonisti. Da una parte ci sono i cosiddetti player over-the-top (OTT), che non contribuiscono ad alcun investimento sulla rete rispetto ai fornitori di connettività, ma rilasciano i servizi sfruttando la rete. Dall'altra, ci sono gli operatori di rete, che mettono a disposizione la connettività.
In questo contesto emergono due posizioni prevalenti. Gli OTT centralizzano e profilano in modo estremo la rete e con essa gli utenti, ma soprattutto i dati e le informazioni, riuscendo a generare profitti da un'enorme customer base di Internet. Ciò coinvolge tutto il mondo di coloro che navigano su internet e fa leva sul concetto di informazione centralizzata e aggregata.
La seconda posizione è quella del provider delle telecomunicazioni e degli operatori di rete, i quali gestiscono e sviluppano la rete con un modello di business che si spinge sempre più verso una segmentazione qualificata dell'offerta dei servizi erogati.
Rispetto a queste due posizioni, che sono in antitesi, ad avviso della task force sarebbe opportuno considerare una posizione intermedia lungo la quale si possa
garantire uno sviluppo armonico di entrambe le posizioni. Si potrebbe prevedere un operatore, una figura che sia in grado di garantire la fruibilità dei servizi in maniera sicura, ma anche rendere possibile che il traffico che si svolge sulla rete possa essere effettivamente assicurato senza incorrere in problemi come l'indisponibilità o l'interruzione di servizio, che possono essere potenzialmente imputabili anche al crescente numero di attacchi di tipo DDoS.
In conclusione, il quadro complessivo della sicurezza delle reti a livello nazionale si presenta in fase di rapida evoluzione sul fronte sia degli attacchi, sia dei processi di contrasto e delle relative tecnologie abilitanti.
La task force, a nostro modo di vedere, rappresenta un contesto di information sharing che si è sviluppato nel tempo proprio in risposta alla crescente domanda cross-settoriale e cross-nazionale di fare sistema contro tutte le forme di criminalità elettronica.
Il punto d'osservazione privilegiato che ne è scaturito ci consente di identificare alcune priorità indifferibili per lo sviluppo di un'azione sinergica, che rimettiamo alle valutazioni di questa Commissione.
Si tratta di priorità che riguardano tutti gli attori coinvolti a vario titolo. Ricapitolando, citiamo la creazione di un CERT nazionale come federazione di unità operative di sicurezza già attive a livello nazionale che svolga il ruolo di punto unico di sintesi e di interfaccia comune anche per quanto riguarda la protezione dei servizi al cittadino digitale; l'identificazione di un provider nazionale che possa gestire in maniera corretta l'erogazione dei servizi online; lo sviluppo di un'azione di sensibilizzazione continuativa degli utenti finali dei servizi digitali, eventualmente anche mediante l'attivazione di un'iniziativa specifica di comunicazione; l'armonizzazione del quadro normativo in materia di sicurezza dei dati e delle informazioni rispetto sia agli altri Paesi dell'area euro, sia a possibile aree che non sono ancora coperte da normative di settore; infine, il potenziamento e l'azione di information sharing in
materia di sicurezza mediante un coordinamento complessivo delle azioni avviate in materia sia nel pubblico, sia nel privato.
Rinnovo la disponibilità da parte della task force a fornire tutto il supporto che si dovesse ritenere opportuno per la realizzazione delle azioni che si riterrà di voler intraprendere.
Grazie per l'attenzione. Ho concluso, presidente.
PRESIDENTE. Ringrazio l'avvocato Grassi.
Do la parola ai deputati che intendano intervenire per porre quesiti o formulare osservazioni.
JONNY CROSIO. Grazie, presidente. Dottor Grassi, la ringrazio per la sua relazione, che leggeremo con attenzione. Ci ha fornito tante informazioni che ritengo molto interessanti.
Mi permetterei di chiederle un suo punto di vista su una questione. Lei ha parlato di un polo europeo di competenze, il che credo sia molto positivo, e ha fatto cenno all'audizione che noi abbiamo avuto con la Polizia postale. Credo sia stata forse, in questa indagine conoscitiva, la più pregnante, quella che ci ha fornito più informazioni.
Nella sua relazione lei ha toccato un tasto che, dal mio punto di vista, rappresenta lo spartiacque fra la sicurezza e determinate altre questioni.
Noi sappiamo, e la Polizia postale l'ha sottolineato in maniera molto incisiva, che non esistono strumenti giuridici adeguati, o perlomeno fortemente adeguati, a far fronte a tutto il mondo del cyber crime.
Il legislatore può compiere un passo avanti, ma ciò determinerà il fatto che forse dovremmo vedercela e sgomitare un po' con chi gestisce la privacy nel nostro Paese. Sarà una bella lotta.
Si determinerà anche probabilmente il fatto che, se andremo a legiferare, e ci sono gli strumenti per farlo, bisognerà essere consapevoli, da un altro punto di vista, che bisognerà impiegare alcune risorse, più che da parte dello Stato, da parte dell'operatore.
Dovremo, cioè, creare le condizioni per avere un archivio storicizzato e più implementato, per esempio sulla questione delle IP blacklist. Dovrà esserci un'involuzione per quanto riguarda questo problema.
A nostro avviso, è una materia piuttosto ostica, difficile da trattare. Condivido quanto voi proponete e il vostro punto di vista, ovvero la possibilità di avere un polo internazionale, un polo unico in Europa - dovrebbe essere a livello mondiale, anche se forse non è un obiettivo perseguibile - in cui far convergere i dati e tutta l'intelligence che deve lavorare attorno alla sicurezza delle reti.
È un obiettivo molto difficile, però. Noi siamo consapevoli del fatto che il nostro Paese e la nostra società contemporanea in generale hanno subìto un'evoluzione incredibile del sistema rete.
Noi trattiamo anche le strade e le ferrovie. Rispetto a quelle è come se avessimo a disposizione ottime strade in cui circola un sacco di merce avariata, fuori regola, trasportata peraltro da mezzi fuori norma, senza la possibilità, per continuare la metafora, di chiamare il 118 o il 112.
Mi esprimo banalmente, ma noi ci preoccupiamo più dell'utente che della grande azienda. Ho messo un unico punto di domanda sulla sua relazione laddove si parla di partner qualificati: è difficile capire quali sono i partner qualificati in tutto lo scenario. Non è facile identificarli.
Il legislatore può, dunque, lavorare, ma come sarà recepito il suo lavoro in Europa? Possiamo pensare di omologare un sistema? Non lo so. Vorrei il suo punto di vista.
Io ho messo mano alla questione anche a titolo personale, cercando di scrivere una bozza di legge, che però continua a cozzare da una parte e dall'altra. Non è facile, anzi, a mio avviso lavoriamo sulla quarta dimensione, anche a livello giuridico. È molto difficile.
Le chiedo poi se lei ha avuto l'occasione di leggere l'ultimo provvedimento approvato alla Camera la settimana scorsa, in cui si è parlato di Agenda digitale. Io mi aspettavo di trovarvi qualcosa su un'eventuale campagna nazionale di sensibilizzazione.
Non so se l'ha letto e che cosa ne pensa. L'ho riportato forse in maniera un po' empirica, ma almeno io mi aspettavo che da questo punto di vista ci fosse un salto di qualità. Non mi è sembrato, ma, non essendo un esperto, chiedo a lei, che lo è, se ha ravvisato elementi più validi, che io non ho visto.
PRESIDENTE. Do la parola all'avvocato Grassi per la replica.
STEFANO GRASSI, Presidente di European Electronic Crime Task Force (EECTF). Grazie. Sono numerosi gli spunti che ha posto sul tavolo.
Innanzitutto la task force è stata realizzata sfruttando un'esperienza importantissima, quella del Secret Service statunitense. Negli Stati Uniti già da diversi anni esistono numerose task force. Si tratta, dunque, di un modello che abbiamo mutuato dall'esperienza anglosassone e principalmente dall'esperienza americana, che è più avanti, come lo è anche nell'alfabetizzazione digitale. Hanno maturato, pertanto, una lunga esperienza.
Indubbiamente ci siamo resi conto di quanto non solo nelle attività di condivisione delle informazioni, il cosiddetto information sharing, ma anche e soprattutto di contrasto sia necessario arrivare a un'auspicabile armonizzazione dal punto di vista giuridico e legislativo. Ci sono differenziazioni fortissime in materia tra i diversi Paesi e questo rende molto complicato il contrasto a un fenomeno illecito, che ha, come ho avuto modo più volte di sottolineare, una dimensione transnazionale e mondiale.
Solo per portarle un esempio, per le attività di contrasto che svolgiamo alle frodi on line noi ci troviamo in difficoltà, al di là dei problemi, che possono essere comprensibili, legati a differenze di fuso orario e di giorno della settimana festivo o feriale, nel momento in cui dobbiamo interagire con Paesi lontani decine di migliaia di chilometri da noi, proprio dal punto di vista normativo.
Molto spesso le attività di collaborazione finalizzate al contrasto alle frodi informatiche si basano su adempimenti spontanei, su una buona collaborazione, sui buoni rapporti che si sono instaurati nel tempo, ma dal punto di vista legislativo non esistono vincoli e obblighi che ci facilitino in questo compito.
Mi rendo conto che non è assolutamente una questione semplice. Si scontrano due filosofie di fondo, che probabilmente sono anche portatrici di interessi diversi. Da un lato ci sono coloro che ribadiscono che Internet è nata con un concetto di totale libertà e di condivisione e dall'altro chi, invece, reputa necessaria una forma di controllo, perché purtroppo lo strumento, come ben sappiamo, si presta anche a fenomeni illeciti particolarmente gravi.
Alcuni spunti che ho cercato di evidenziare nel corso della relazione, come quello di arrivare a livello nazionale all'individuazione di un'identity provider come figura nazionale, che sia capace di garantire la fruibilità dei servizi, non solo dal punto di vista della continuità del servizio, ma anche in termini di sicurezza dei contenuti, a nostro modo di vedere, potrebbero rappresentare un percorso praticabile.
L'aspetto della privacy è sicuramente un tema col quale bisogna misurarsi e confrontarsi, però ci sono anche altri ambiti che non riguardano specificamente la privacy, come, per esempio, la collaborazione che dovrebbe essere agevolata nelle attività di contrasto. Secondo noi, sono argomenti che potrebbero essere oggetto di uno studio approfondito in un'ottica di proposte legislative.
PRESIDENTE. Ringrazio i rappresentanti di European Electronic Crime Task Force (EECTF) per essere intervenuti e per la documentazione depositata, di cui autorizzo la pubblicazione in allegato alla seduta odierna (vedi allegato 1) e dichiaro conclusa l'audizione.
PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sulla sicurezza informatica delle reti, l'audizione di rappresentanti della Conferenza delle regioni e delle province autonome.
Do la parola alla dottoressa Lucia Pasetti, vicepresidente del Centro interregionale per i sistemi informatici, geografici e statistici, per lo svolgimento della relazione.
LUCIA PASETTI, Vicepresidente del Centro interregionale per i sistemi informatici, geografici e statistici (CISIS). Grazie di questo invito all'audizione. Io sono vicepresidente del CISIS, un'associazione di tutte le regioni e province autonome a supporto della II Commissione della Conferenza che lavora su tre temi specifici: l'informatica e la telematica, la statistica e i sistemi geografici.
In quest'ambito il tavolo interregionale ha lavorato assiduamente al contributo che le regioni hanno portato, e che è stato approvato dalla Conferenza nel giugno scorso, all'Agenda digitale italiana.
C'è stato un impegno notevole dell'amministrazione regionale delle province autonome per fare in modo che l'Agenda corrisponda ai princìpi di cooperazione tra pubbliche amministrazioni e di individuazione delle priorità, delle esigenze e degli aspetti tecnologici sottesi ai progetti di sviluppo della società dell'informazione e della conoscenza che l'Europa ci richiama a realizzare.
In questo percorso tutte le regioni e le province autonome sono state coinvolte, con l'approvazione del documento che è stato consegnato alla Commissione e che individua per ciascun tema dell'Agenda digitale gli interventi che le amministrazioni ritengono prioritari.
In merito ai territori regionali che sono stati individuati come sede peculiare per lo sviluppo dell'informatica e della telematica, è stato attribuito un forte ruolo di
coordinamento per permettere di eliminare il cosiddetto digital divide, soprattutto sul discorso infrastrutturale e sulle reti, a proposito del quale oggi siamo chiamati a rispondere ai quesiti che la Commissione ci ha posto.
In preparazione dell'incontro sulle tematiche che sono state sviluppate all'interno dell'Agenda digitale, è stato definito un rapporto che verrà presentato dalle regioni nel gennaio prossimo. Si tratta di un rapporto sull'innovazione in cui c'è una parte specifica sulle reti e sulle infrastrutture.
Noi abbiamo a disposizione un documento di sintesi che è stato presentato come memoria per l'audizione odierna e che è stato approvato in Conferenza. Esso delinea tre tematiche fondamentali, che sono state poste nelle richieste di contributo che le regioni potevano fornire sulla tematica dell'identità digitale.
Individuiamo un percorso molto importante che le regioni e il Governo devono svolgere per permettere agli utenti di avere effettivamente a disposizione strumenti che facilitino enormemente la fruizione dei servizi in modalità informatica.
Abbiamo anche individuato i temi della sicurezza relativamente alle reti di telecomunicazione. Una delle priorità consiste nell'individuare soluzioni tecnologiche, amministrative e normative perché vengano identificate le migliori soluzioni per la sicurezza delle reti.
Abbiamo svolto anche un intervento in cui siamo stati chiamati a essere ascoltati sulla tematica del cloud computing.
Cederei, pertanto, la parola al rappresentante dello staff tecnico del CISIS, dottor Andrea Nicolini, il quale svolgerà uno scenario sintetico su queste tre tematiche.
Rimarremo poi a disposizione su domande specifiche alle quali i rappresentanti delle regioni, in questo caso della regione Sardegna e della regione Emilia-Romagna, potranno fornire risposte più puntuali con riguardo al tema della sicurezza delle reti e del cloud computing. Tenete presente che sono già maturate all'interno dei territori regionali alcune esperienze che danno significatività alle risposte, nonché alcune sperimentazioni e alcuni sistemi che sono già in atto.
Ricordo ancora che anche la regione Piemonte ha lavorato su questo documento, che poi è stato approvato dalla Conferenza, il quale conferisce significatività alle azioni che le regioni nel loro insieme e nel loro coordinamento hanno identificato come più proprie.
Do la parola ad Andrea Nicolini.
ANDREA NICOLINI, Consulente del Centro interregionale per i sistemi informatici, geografici e statistici (CISIS). Buongiorno. Ringrazio per l'audizione. Vorrei semplicemente delineare da un punto di vista tecnico i contenuti del contributo che abbiamo fornito e che ritrovate anche, come ha ricordato giustamente la dottoressa Pasetti, nella sintesi del rapporto che vi abbiamo lasciato come memorandum.
Le regioni rispetto ai tre temi hanno investito moltissimo sull'identità digitale, in piena sinergia con il livello centrale e, in particolare, con i diversi soggetti istituzionali che si sono occupati della definizione del sistema dell'identità digitale. Mi riferisco, in questo caso, all'ex CNIPA, poi diventato DigitPA e ora prossimo a diventare Agenzia per l'Italia digitale, con il quale abbiamo sviluppato il sistema GFID per la gestione dell'identità digitale a livello federato nazionale.
Quindici o sedici regioni hanno investito nella realizzazione di sistemi regionali che si basano sull'utilizzo di diversi strumenti per l'identificazione digitale. In questo momento riteniamo ancora leggermente carente la normativa sulla possibilità per gli enti del territorio di utilizzare strumenti più user friendly, come, per esempio, le one-time password utilizzate comunemente dai sistemi bancari, per consentire a tutti di poter fruire di servizi digitali in sicurezza con la propria identità.
Le regioni hanno utilizzato tale sistema per il fascicolo sanitario elettronico e per l'accesso ai portali. Alcune regioni, come il Friuli Venezia Giulia, l'hanno utilizzato per la carta carburante, ossia per la detassazione
dei cittadini in prossimità del confine. La regione Lombardia ha compiuto un investimento.
Oggi come oggi, sono oltre 20 milioni le carte regionali dei servizi distribuite, di cui circa il 50 per cento sono attive e utilizzate da cittadini comunemente nell'erogazione di servizi on line con la pubblica amministrazione.
Ovviamente è interesse delle regioni aumentare questo parco di servizi e di strumenti a disposizione dei cittadini e, nel limite del possibile, cercare di raggiungere il più presto possibile la totalità dei cittadini.
In questo senso le regioni sono state molto favorevoli all'unificazione del Documento unificato con l'Agenda digitale, che ha riguardato carta d'identità, carta regionale e carta nazionale dei servizi, anche se tale processo richiede, per essere completato, dieci anni. Noi cercheremmo, come regioni, di accelerare il più possibile il raggiungimento della totalità dei cittadini.
Sull'identità digitale non tutto è ancora concluso, ma molto è stato compiuto, ragion per cui siamo contenti a livello regionale. Avremmo bisogno, però, ed è un appello che abbiamo rivolto ripetutamente ai Ministri che abbiamo incontrato, che le amministrazioni centrali uniformassero a loro volta i propri servizi all'identità digitale e che il cittadino potesse accedere in modalità uniforme ai servizi sia del territorio, ossia di regioni, comuni e province, sia a quelli dell'amministrazione centrale.
Oggi, purtroppo, nella maggior parte dei casi il cittadino deve utilizzare sistemi differenti. Pensiamo all'INPS, all'Agenzia delle entrate e ad altre realtà che richiedono sistemi di identità diversi rispetto a quelli istituiti e creati dalle regioni.
Per quanto riguarda la sicurezza nelle reti, le regioni hanno lavorato in una logica di sistema pubblico di connettività e di cooperazione da quando esiste il CAD. Dal 2005 hanno attivato i centri di sicurezza regionali, CERT. Undici regioni hanno il CERT attivo anche per il territorio, non solo per l'ente regione e, quindi, supportano in sussidiarietà comuni e province del proprio territorio.
Le regioni hanno investito moltissimo sulle infrastrutture di connettività. Il digital divide sul territorio negli ultimi due anni è sceso dal 9 al 5 per cento, un calo di quattro punti in percentuale determinato anche in gran parte dagli investimenti sul territorio compiuti dalle regioni e dalle province autonome, relativi anche all'ultimo miglio, per favorire il superamento del digital divide per i cittadini, per le imprese e per le pubbliche amministrazioni.
Da questo punto di vista, per le regioni sarebbe fondamentale che avvenisse una piena attuazione a livello centrale del CERT, il centro di sicurezza nazionale, che, nel passaggio fra l'ex DigitPA e l'attuale Agenzia per l'Italia digitale, sta un po' soffrendo della mancanza, negli ultimi dodici mesi, di una politica forte e chiara. Le regioni richiedono assolutamente di procedere il più rapidamente possibile a sollecitare in questo senso anche il Governo.
Per quanto riguarda, invece, il cloud, la situazione è meno consolidata. Ci sono sei o sette regioni che hanno investito in data center regionali in logica cloud. Più che di soluzioni cloud, io parlerei, però, di paradigma cloud, nel senso che hanno investito nello sviluppo di infrastrutture e di servizi per le piattaforme e servizi, un intero set di infrastrutture dedicato a erogare servizi finali.
In questo senso gli investimenti effettuati dalle regioni per raggiungere il miglior livello di sicurezza auspicato dovrebbero andare nella direzione di una federazione nazionale di cloud e di data center che consentirebbe di garantire il servizio in qualunque condizione e di ottenere il maggior ritorno degli investimenti compiuti, sposando una logica, una piattaforma, un paradigma di questo tipo.
Sempre nella logica SPC, il sistema pubblico di connettività e cooperazione, creato con CAD e sviluppato in logica federata policentrica e non gerarchica, è più aderente all'organizzazione dello Stato e del territorio con le amministrazioni a
più livelli. La federazione è, dunque, la forma che meglio consente di assecondare le diversità sul territorio.
Con le informazioni e le note tecniche mi fermerei a questo punto. Se ci sono domande, sarò a disposizione. Lascio ora la parola ai colleghi.
PRESIDENTE. Do la parola ai deputati che intendano intervenire per porre quesiti o formulare osservazioni.
JONNY CROSIO. Grazie, presidente, mi scuso del ritardo. Oggi non c'è una grande presenza in Commissione, anche perché trattiamo un tema specifico. Siamo in pochi a interessarcene, essendo la nostra una Commissione che si occupa di molti temi, anche di trasporto. Io dovevo dividermi tra TG Parlamento, che voleva sapere dell'audizione, e l'Aula.
Avrei una domanda. Il vostro contributo all'Agenda digitale del Paese è di giugno 2012. Non mi sembra di averne letto nell'ultimo provvedimento passato in Aula la settimana scorsa. Non credo di riferire una notizia illegale se affermo di aver già visto il documento. Non l'ho avuto di straforo. È un documento importante perché apporta un contributo all'Agenda digitale del Paese, che temo non sia stato preso in considerazione, se non in parte.
Io credo che voi siate uno degli anelli intermedi di tutto il sistema di sicurezza delle reti. Abbiamo visto sia con la Polizia postale, sia con altre realtà che su questo tema bisogna cercare di lavorare a favore di una soluzione sempre più centralizzata.
Io non sono, per ragioni politiche, a favore della centralizzazione e non sono propenso a riportare allo Stato competenze su alcunché, ma credo che su questi temi non si possa fare altrimenti, perché il frazionamento porta alla disperazione e alla miseria per quanto riguarda le reti.
Mi interesserebbe conoscere un vostro punto di vista. È una domanda che ho posto anche a chi vi ha preceduto.
Noi abbiamo certamente capito che nel nostro Paese, come in diversi Paesi europei, manca la base giuridica per poter fronteggiare determinate situazione di cyber crime. Il legislatore e il Governo - se ne occuperà qualcun altro nella nuova fase politica: io nel prossimo Governo sarò all'opposizione - dovranno metterci mano. Tale operazione porterà al fatto che nel nostro Paese dovremo, se vogliamo avere sicurezza nelle reti, svolgere alcune riflessioni sulla privacy.
Non possiamo pensare di avere un sistema più strong per quanto riguarda l'identificazione e sposare ancora la filosofia molto accattivante della «rete libera per tutti». Dobbiamo investire in sicurezza seriamente. È chiaro che questo significherà creare veramente le condizioni per cui la privacy dovrà essere un po' ridimensionata.
Dal vostro punto di vista, voi, che rappresentate la parte amministrativa, sareste disposti a recepire questo aspetto in funzione della maggiore sicurezza? Se non riusciamo a superare questo empasse, sarà molto difficile garantire più sicurezza. Più che di voi, ossia delle realtà regionali e amministrative, che comunque possono difendersi, noi siamo preoccupati, in modo particolare, del grosso problema del furto delle identità sui cittadini.
In base ai dati che ci vengono forniti sappiamo che il crimine sulla rete quest'anno ha avuto più PIL che la vendita di cocaina a livello mondiale. Noi siamo preoccupati, tutti i Paesi lo sono. L'Agenda digitale europea ci ha fornito alcuni riferimenti, che non possono essere disattesi. Tali riferimenti sono il preludio al fatto che forse sulla privacy qualcuno deve volare un po' più basso. Sarà un'operazione fattibile? Che cosa ne pensate?
PRESIDENTE. Do la parola ai rappresentanti della Conferenza delle regioni e delle province autonome per la replica.
ANDREA NICOLINI, Consulente del Centro interregionale per i sistemi informatici, geografici e statistici (CISIS). Svolgo un brevissimo accenno alla prima parte della domanda relativa all'Agenda digitale.
Come regioni, noi abbiamo collaborato moltissimo nella fase della stesura del testo proposto dal Governo, che ha recepito
quasi tutte le nostre richieste di modifica. L'unico appunto che abbiamo mosso rispetto a tale documento è che manca un disegno attuativo dell'Agenda.
Va benissimo emanare la norma, capiamo benissimo che ci sono pochi fondi, però ci si sarebbe potuti concentrare, come avevamo consigliato noi, in una o due azioni Paese che potessero davvero cambiare il volto del sistema, per esempio passando con uno switch-off al digitale nella documentazione della pubblica amministrazione. Questo tema sarà materia di ulteriori confronti con l'Agenzia per l'Italia digitale e col nuovo Governo, quando sarà eletto.
Per quanto riguarda, invece, la domanda specifica sull'identità, la pubblica amministrazione, paradossalmente, è troppo sicura, e lo è a tal punto che i suoi servizi non vengono usati come dovrebbero, proprio perché richiedono livelli troppo alti di sicurezza. Effettuare un furto di identità su una username e una password, come nella maggioranza dei sistemi pubblici disponibili su Internet, presenta un grado di complessità molto basso. È molto facile compiere un furto di questo tipo.
Effettuare un furto di identità digitale con una carta d'identità digitale elettronica attuale o una carta regionale dei servizi, che necessita di un lettore con relativi username e password o di PIN e PUC di blocco e sblocco è molto più difficile. È più difficile ancora che per i bancomat, per alcuni aspetti. L'identificazione, al momento in cui si distribuisce lo strumento, è molto più forte. Nella pubblica amministrazione si dovrebbe identificare il cittadino in modo stringente e forte, mentre per le SIM e i bancomat non è così.
Per l'identità la sicurezza è, dunque, ancora più forte nella pubblica amministrazione. Paradossalmente, proprio il problema che la pubblica amministrazione ha per i propri servizi è quello di scendere di un livello e consentire una più facile fruibilità almeno per i servizi che non sono critici e che non riguardano informazioni riservate.
In questo senso esiste il progetto europeo STORK che lavora per facilitare - ora si è alla seconda versione del progetto - la possibilità di fruire facilmente di servizi in sicurezza sull'identità digitale transnazionale, fra più Paesi della Comunità europea. Da questo punto di vista, si abbassa, dunque, il livello.
Non a caso prima ho citato le one-time password. Per esempio, il CAD attuale identifica tre livelli di sicurezza.
Il primo, username e password, è il più basso e garantisce pochissima sicurezza di accesso.
Il secondo prevede username e password più one-time password, ossia l'utilizzo di un codice che può essere usato una sola volta. In questo senso noi spingiamo addirittura per non usare nemmeno le chiavette delle banche, per intenderci, ma la one-time password come strumento di controllo, come un cellulare. Tale operazione facilita enormemente l'utilizzo da parte dei più.
Infine, c'è il terzo livello, che prevede la smart card e il chip che deve essere a contatto con un lettore, oppure anche contactless, per identificare in maniera forte l'utente. Si arriva poi alle chiavi biometriche, che rappresentano l'ultimo livello in assoluto, una combinazione dei precedenti.
Più si alza il livello, dunque, minore è la fruibilità dei servizi da parte dei cittadini, ragion per cui bisogna trovare un giusto compromesso. Non ha neanche tanto senso puntare al livello più alto in assoluto per un'iscrizione all'asilo, per esempio, perché l'iscrizione all'asilo non deve richiedere livelli di sicurezza, ma deve essere facilmente fruibile da parte di tutti.
È difficile che un cittadino paghi la multa per me. È difficile che qualcuno attui un furto d'identità per pagare una multa. È molto più facile che si attui un furto di identità per fruire di servizi di agevolazione e di benefit normalmente legati a informazioni riservate, come il permesso per l'handicap. È più facile che con la pubblica amministrazione interessi rubare l'identità, fermo restando che per la
pubblica amministrazione il furto d'identità è ancora molto contenuto. Avviene per gli altri servizi erogati tramite la rete.
Da questo punto di vista, come pubblica amministrazione, a noi interessa lavorare in modo corretto con il Governo e con l'amministrazione centrale per individuare il giusto livello di sicurezza.
In merito alla sicurezza in generale, invece, noi siamo contrari alla centralizzazione sempre e comunque. Siamo molto favorevoli, invece, a un forte coordinamento centrale. A nostro avviso occorre un forte coordinamento centrale, mentre i servizi di controllo devono essere decentrati, perché è molto più facile controllare sul territorio.
Il controllo che sul territorio, oltre alle forze dell'ordine, possono effettuare le pubbliche amministrazioni, che hanno un contatto quotidiano con il cittadino, è molto maggiore di quello che può eseguire una pubblica amministrazione centrale. Penso all'Agenzia delle entrate, che ha le sue articolazioni sul territorio, ma non ha il controllo e il rapporto costante con il cittadino, come l'hanno invece le pubbliche amministrazioni sul territorio. Per la sanità un cittadino ha un'interlocuzione costante con la regione, con il comune o con la provincia, ragion per cui è molto più facile controllare la sua identità e gli strumenti utili.
FABIO PERNIOLA, Rappresentante della regione Emilia-Romagna. Buongiorno, sono l'ingegner Perniola e mi occupo di sicurezza informatica all'interno di Lepida SpA, la società in house della regione Emilia-Romagna.
Vorrei aggiungere un contributo basato sulla nostra esperienza a uno dei due temi che era stato sollevato. Su quello della privacy e sicurezza ha già ampiamente risposto Andrea Nicolini, in particolare per quanto riguarda la pubblica amministrazione.
In base alla nostra esperienza vorrei sottolineare d nuovo, al di là di quanto non sia già stato fatto, la necessità di una visione coordinativa di livello più alto per il cosiddetto enforcement delle regole. Ciò vale soprattutto dal punto di vista organizzativo.
Se da un punto di vista tecnico la decentralizzazione può presentare effetti di efficienza maggiore, anche in considerazione dell'esigenza di far dialogare diversi soggetti che appartengono alla sfera pubblica e privata. Nei casi che concernono le Autorità di Polizia giudiziaria e di Polizia delle comunicazioni il nostro coinvolgimento come rete regionale va di pari passo con quello degli operatori di comunicazione, ossia dei player nazionali. Molto spesso questi due mondi, al di là del dialogo sul livello tecnico, hanno difficoltà ad interagire. Confermo, dunque, l'esigenza dell'enforcement delle regole.
PRESIDENTE. Ringrazio i rappresentanti della Conferenza delle regioni e delle province autonome per essere intervenuti e per la documentazione depositata, di cui autorizzo la pubblicazione in allegato alla seduta odierna (vedi allegato 2) e dichiaro conclusa l'audizione.
PRESIDENTE. L'ordine del giorno reca, nell'ambito dell'indagine conoscitiva sulla sicurezza informatica delle reti, l'audizione di rappresentanti di ABI Lab.
Do la parola al dottor Pierfrancesco Gaggi per lo svolgimento della relazione.
PIERFRANCESCO GAGGI, Vicepresidente di ABI Lab. Grazie, presidente. Buongiorno a tutti. Come sapete, vi abbiamo trasmesso questa mattina una corposa documentazione, che io ora mi limiterò a riassumere brevemente. Abbiamo anche preparato un altro dossier con un po' di materiale, perché abbiamo un Osservatorio annuale dedicato proprio al tema della sicurezza e delle frodi informatiche. Pensavamo, pertanto, di lasciarvene copia.
Da quanto avrete già avuto modo forse di scorrere nell'intervento che abbiamo prodotto avrete certamente potuto verificare che il tema della sicurezza delle reti
per le banche è un tema centrale. Per noi la gestione sicura dell'identità rappresenta un punto fondamentale anche in termini di vantaggio competitivo per le banche nello sviluppo del business, perché è considerata un fattore determinante per garantire sicurezza al cliente.
Vi fornisco alcuni dati di riferimento. Ne avrete già acquisiti molti, ma aggiungo quelli che noi abbiamo raccolto e che raccogliamo annualmente. Secondo tali dati il canale Internet in banca è diffuso su un numero di account retail che nel 2011 è risultato superiore a 20 milioni. Di questi 13 milioni sono attivi e in costante crescita.
Naturalmente, stante il numero crescente di utilizzatori, c'è anche un aumento dei tentativi di frode, perché la criminalità guarda sempre con maggiore attenzione a questo fenomeno, che è ormai diventato di massa, ossia l'utilizzo del canale Internet.
La criminalità si sta spingendo sostanzialmente su due forme di tentativi, il cosiddetto phishing e il crimeware. Sulle modalità credo che avrete già raccolto molte informazioni. Tuttavia, espongo alcuni elementi su come vengono utilizzate queste forme nell'ambiente bancario.
A noi risulta che, con riferimento al furto di identità elettronica dei clienti, cioè alla sottrazione delle credenziali al fine di operare sul conto della vittima, il 94 per cento delle banche di un nostro campione, composto di circa 200 banche, quindi in sostanza 180 banche, ha dichiarato di aver rilevato tentativi mirati al furto delle credenziali di propri clienti.
A livello generale sul segmento retail si registra un aumento della perdita di credenziali rispetto all'anno passato, ma occorre precisare che l'efficacia dell'azione di contrasto da parte delle banche è tale per cui di fatto oltre il 98 per cento dei tentativi di frode non va in porto.
I casi in cui avviene il furto di credenziali che poi determina un caso di perdita di denaro è di un utente attivo ogni 2 milioni di accessi. Il dato è misurato in termini di numero di accessi.
Se misuriamo, invece, in termini di clienti attivi, si tratta di uno ogni 50.000. Siamo ancora su livelli fortunatamente più che accettabili, nel senso che abbiamo un'azione di contrasto della frode che riesce a frenare la quasi totalità degli attacchi.
Certamente, resta sempre quel «quasi», per cui alcuni clienti finiscono col sopportare non tanto una perdita - credo che siate già informati che tendenzialmente, nel caso di perdite economiche, cioè di una frode che abbia avuto successo dal punto di vista dei criminali, chi sopporta la perdita è sempre la banca e non il cliente finale - quanto l'essere invischiati in un noiosa pratica, che certamente lo colpisce. Di fatto, però, chi sopporta la perdita finale è la banca.
Ci risulta, invece - stiamo attivando un analogo osservatorio anche sul canale mobile - che sul canale mobile non ci sia ancora alcuna perdita di credenziali. Non c'è accesso non autorizzato ai servizi mobile banking.
Dal punto di vista normativo sapete che si sta via via accumulando una quantità di nuova normativa, perché la materia è alquanto nuova. Di conseguenza, anche la normativa di riferimento viene via via creata in questi anni. La Banca centrale europea ha emanato alcune direttive sull'utilizzo dei servizi on line, con Eurosistema, il che riguarda anche Banca d'Italia.
In particolare, è stata approvata ed è stata anche recepita nell'ordinamento italiano la direttiva europea sui servizi di pagamento, la Payment Services Directive. Tutte queste norme delineano modalità di utilizzo degli strumenti molto tutelanti nei confronti della clientela.
Su questo punto, se mi posso permettere un momento di riflessione, osservo che un eccesso di tutela nei confronti del cliente rischia di deresponsabilizzarlo. Una questione cui noi teniamo molto è quella di compiere molta formazione e comunicazione. Predisponiamo molto materiale che poi viene utilizzato dalle banche nel contatto con la propria clientela. Non possiamo pensare, però, che rendere
il cliente sempre e comunque indenne nei confronti di queste situazioni sia corretto.
Il nostro obiettivo non è quello di colpire il cliente, che va tutelato, ma bisogna pensare che tutte queste frodi avvengono sostanzialmente sul PC, che è uno strumento del cliente. Infondergli il senso della delicatezza dello strumento col quale si interfaccia, a nostro avviso, è un obiettivo importante. Bisogna stare attenti. Non è facile, ma bisogna trovare il modo per bilanciare la tutela del cliente con una sua azione sempre più responsabile e attenta.
Al di là della predisposizione dell'aspetto informativo nei confronti delle banche perché adottino tutte le normative, oltre che le modalità operative più tutelanti per le banche stesse e per la clientela, noi abbiamo aderito anche ad alcune iniziative a livello internazionale. Partecipiamo a molti fora - ne avete incontrato uno poco fa - e lavoriamo molto al contatto con la Polizia postale e delle comunicazioni, con l'Autorità garante della protezione dei dati personali, con il Ministero dell'economia e delle finanze e con DigitPA. Ci sono gruppi europei che seguono le tematiche delle frodi su Internet, di cui facciamo ovviamente parte.
Da questo punto di vista cerchiamo sempre di stare sulla frontiera dell'informazione a livello europeo. Abbiamo alcuni osservatori, che diventano però aspetti molto concreti. Non stiamo solo a confrontarci sui dati, ma attuiamo anche modalità di rapido intervento e di scambio tramite e-mail di informazioni.
Quando si ha il sentore che scatti una frode, scatta un pronto intervento. Abbiamo creato questo strumento, che chiamiamo osservatorio, ma che è una centrale di allarme tra banche, che si interfaccia con analoghe centrali di allarme all'estero. Ci scambiamo immediatamente alcuni dati ed elementi relativi alla frode in corso per far sì che, possibilmente, essa venga bloccata.
Ci sono alcuni progetti europei, dei quali peraltro siamo stati invitati a far parte, come il progetto «On line Fraud Cyber Centre» e il progetto europeo STORK 2.0 sull'identità sicura cross-border.
Da questo punto di vista, riteniamo di poter offrire alle nostre banche - noi siamo, come ABI Lab, un consorzio che, a latere di ABI, segue le tematiche della tecnologia, consorzio al quale partecipano 200 banche, praticamente tutte le banche principali; il livello dei rappresentanti di banche che partecipano ai nostri seminari e ai nostri lavori è molto ampio - non solo informazioni, ma anche strumenti concreti ai quali esse stesse partecipano.
Sulla base di questa nostra esperienza ci sentiamo di poter formulare alcune proposte di natura sia normativa, sia operativa. Mi dirigerei direttamente a questo tipo di proposte.
A nostro avviso, sarebbe importante - probabilmente è anche uno degli scopi di questa indagine - trovare il modo di regolamentare e sanzionare il reato di furto di identità elettronica e di inquadrare alcune modalità operative per lo scambio di informazioni dei dati proprio in caso di frodi informatiche tra i diversi soggetti interessati che non ledano la legittima aspettativa di tutela nel settore della privacy, ma che, allo stesso tempo, forniscano strumenti agili per chi deve tutelare l'aspetto sicurezza per scambiarsi informazioni sulle frodi in corso.
Dal punto di vista delle prospettive immediate noi siamo molto lieti dell'approvazione avvenuta di recente del decreto che è stato convertito, il cosiddetto decreto «Crescita 2.0», il quale offre finalmente la possibilità di varare su scala nazionale i documenti di identità elettronica per i cittadini. È una vicenda che abbiamo seguito da anni con attenzione e che ora si avvia finalmente alla sua implementazione.
Ci sembra poi particolarmente importante che il contesto normativo nazionale possa essere indirizzato a definire alcuni strumenti giuridici che consentano alle banche di tutelare gli attributi identitari dei propri clienti, qualora vengano utilizzati
da soggetti terzi che partecipano all'erogazione dei servizi da parte delle banche.
Sappiamo che nelle transazioni bancarie il cliente vede la banca, ed è giusto che sia così, anzi noi siamo assolutamente gelosi di questo rapporto. Non vogliamo spossessarci o deresponsabilizzare le banche nei confronti della catena che sta a valle della banca. Tuttavia, dobbiamo tener conto che forse questa catena, che è piuttosto lunga, perché la banca si avvale di alcuni soggetti che la supportano nello svolgimento delle transazioni, oltre che sulla base di un rapporto contrattuale che lega tutta la catena, forse dovrebbe avere alcuni aspetti normati a livello proprio di normativa primaria che valessero per tutti coloro che si apprestano a fornire servizi in quel contesto, nel settore delle reti e, in particolare, dell'e-banking.
Dal punto di vista operativo sarebbe importante e utile fornire anche alcune indicazioni su queste modalità di condivisione delle informazioni. Non so se ciò debba avvenire a livello normativo primario o regolamentare, ma sarebbe bene che ci fosse una standardizzazione delle modalità di colloquio tra i soggetti che si devono scambiare le informazioni quando sono in corso le frodi. Forse sta più alle Autorità di polizia poter lavorare su questo fronte.
Ci sembra particolarmente utile anche la previsione di includere nella carta d'identità elettronica un certificato di firma digitale. Anche su questo tema ormai da alcuni anni abbiamo abbracciato tale possibilità di integrazione su uno stesso strumento dei servizi sia di natura bancaria, sia di riconoscimento dell'identità dal punto di vista istituzionale. Le banche avevano già i loro sistemi di riconoscimento dell'identità, ma vediamo con molto favore il fatto che ora si abbia una carta di identità elettronica che può essere arricchita di un certificato di riconoscimento digitale.
Passando rapidamente alle reti del settore bancario - immagino che alcune siano note - c'è la SWIFT, quella internazionale, che collega tutte le istituzioni a livello mondiale. Vi partecipano anche direttamente circa 150 banche italiane e indirettamente tutto il sistema bancario.
Noi abbiamo una rete nazionale interbancaria che vede la partecipazione di più soggetti, tra cui la stessa Banca d'Italia, le banche, le poste, numerosi consorzi e soggetti che svolgono attività di tipo applicativo per conto delle banche su questa rete.
C'è poi la rete del CBI, il Consorzio avviato dalle banche e dall'ABI alcuni anni fa. È un consorzio che si preoccupa di definire standard e di fornire la rete per l'interazione tra banche e clientela corporate.
Con riferimento alle statistiche che inizialmente avevo citato, osserviamo una crescita dei tentativi di frode anche nel settore corporate. La quantità è ulteriormente ridotta in termini di successo della frode rispetto a quanto avviene nel settore retail, tuttavia osserviamo casi anche nel settore corporate, a tassi del doppio rispetto a quelli che avevo citato per il settore retail.
Per quanto riguarda le nostre proposte, sono quelle che vi ho già citato. A questo punto, io riterrei di fermarmi. Non so se siete interessati alle tematiche del cloud computing, ma forse, se vogliamo avviare una interlocuzione, sarebbe più utile se aveste domande da porgere.
PRESIDENTE. Vi ringraziamo. Nelle sintesi delle azioni proposte penso ci sia un documento che avete scritto che sarà di grande utilità ai fini della conclusione di questa indagine.
JONNY CROSIO. Grazie, presidente. Vi ringrazio per la vostra relazione, che avremo modo di analizzare in maniera più compiuta. Credo che nell'ambito della sicurezza delle reti e, in modo particolare, della tutela del cliente voi siate forse i soggetti che stanno agendo di più, anche
perché giustamente parliamo di soldi e sui soldi non si scherza mai.
Per esperienza personale io ho avuto un caso di controllo sicurezza poco tempo fa, mentre stavo effettuando acquisti su e-Bay. Dopo il terzo acquisto - era una domenica pomeriggio, alle 16.30 - ho ricevuto una telefonata in cui mi si chiedeva se effettivamente stavo compiendo tali acquisti.
Mi ha fatto molto piacere - visto che mi occupo di sicurezza - ricevere questa telefonata, apparentemente molto invasiva nei miei confronti. Ho commentato con mia moglie che era un fatto eccezionale.
Peraltro, avendo compiuto forse un'operazione un po' maldestra, avevo la preoccupazione di aver compiuto un pagamento doppio, ma la signorina che mi ha interpellato mi ha chiarito subito anche questo dubbio. Per questo tema l'associazione bancaria e il sistema delle carte stanno contribuendo facendo molto.
Tuttavia, c'è un tassello che vi riguarda e che a noi interessa molto, quello della questione del furto d'identità. Sulla sicurezza in generale delle reti i grandi sistemi di sicurezza che devono interagire fra di loro vanno più che altro a tutelare determinate situazioni. Noi crediamo che il cittadino sia il soggetto più a rischio in questo momento e che il furto d'identità sia un fenomeno molto preoccupante.
Si registra la carenza dello strumento giuridico. La Polizia postale si lamenta per questo motivo. Ciò produrrà il fatto che il legislatore dovrà mettere mano alla questione, il che significa che - oggi l'ho chiesto a tutti gli intervenuti e continuo a chiederlo sistematicamente, perché è questo il problema - la privacy dovrà essere valutata probabilmente in altre condizioni, non dico con altre regole, ma con un'ottica diversa.
Voi dell'ABI come vedete questo tema? Probabilmente dovremo essere più strong verso l'utente nel richiedere informazioni, le quali dovranno convergere in una banca dati o comunque in un servizio di banca dati che dovrà essere storicizzato. Sicuramente chi gestirà la privacy nel Paese non ne sarà felice, ma lo «scollinamento» è questo: o avere più sicurezza, o garantire la privacy.
Il legislatore dovrà decidere se indirizzarsi verso la sicurezza della rete, in modo particolare a tutela dei più deboli, dei cittadini che del furto di identità non si accorgono neanche, dal momento che il Paese soffre di un digital divide anche culturale, o se tutelare la privacy. Purtroppo, i dati sono questi.
Dovremo compiere alcune scelte e dovremo presentare alcune proposte di legge. Il nostro compito è questo. L'indagine alla fine deve arrivare a questo obiettivo. Io ho provato a metterci mano con alcuni colleghi, ma è difficile trovare il punto di equilibrio. Le banche che cosa ne pensano?
PRESIDENTE. Do la parola al dottor Pierfrancesco Gaggi per la replica.
PIERFRANCESCO GAGGI, Vicepresidente di ABI Lab. Io credo di poter compiere un'analogia un po' ardita con quanto è avvenuto nel settore fiscale dell'acquisizione dei dati dei conti della clientela. Noi, come intermediari, siamo neutrali rispetto al fatto che ci sia una maggiore richiesta. Ci preme molto che ci sia tanta sicurezza.
Da questo punto di vista non siamo negativi rispetto alla richiesta di maggiori informazioni. Certo, il cliente deve essere informato, deve sapere che i suoi dati devono essere acquisiti. Da parte nostra vorremmo adottare sempre modalità poco invasive nei confronti delle procedure delle banche.
Una volta che ci si mette a lavorare per un obiettivo condiviso di garantire più tutela al cliente, come abbiamo fatto per l'apparato fiscale e per il controllo dei
dati, per il quale lo Stato ci ha chiesto di fornire determinate informazioni, noi ci attrezziamo. L'importante è che la finalità sia riconosciuta in uno strumento giuridico primario.
Da questo punto di vista, dunque, non siamo contrari all'iniziativa, anzi!
PRESIDENTE. Ringrazio i rappresentanti di ABI Lab per essere intervenuti e per la documentazione depositata, di cui autorizzo la pubblicazione in allegato alla seduta odierna (vedi allegato 3) e dichiaro conclusa l'audizione.
La seduta termina alle 16,05.
| [Avanti] |