Signor Presidente, ringrazio il presidente, senatore Urso, per quanto ci ha illustrato inevitabilmente in modo sommario perché, vista la ricchezza e la serie così ampia e importante di temi trattati, la sua relazione orale, che integra quanto già scritto, non poteva che essere appunto una sintesi per sommi capi. Ringrazio anche tutti i membri del Comitato per il loro lavoro, che evidentemente in questo caso è particolarmente importante che sia di squadra e comune, perché comune deve essere l’interesse per la sicurezza nazionale.
Uno degli aspetti più importanti che emerge da questa relazione e anche in generale dell’attività di intelligence, è quello della cybersicurezza, la sicurezza informatica. Si tratta di un aspetto sempre più importante, perché la tecnologia entra nella vita quotidiana di ciascuno e, a maggior ragione, è essenziale nella vita quotidiana delle aziende, delle istituzioni, delle nostre Forze armate. Come dicevo, è dunque un aspetto estremamente importante, al punto che la NATO ha chiarito che la norma fondamentale del Trattato del Nord Atlantico dal punto di vista organizzativo – l’articolo 5, che impone a tutti gli Stati membri di intervenire a difesa di uno di essi, qualora sia attaccato – si debba applicare anche in caso di attacchi informatici, e non soltanto per i classici attacchi militari, per i quali ovviamente non vi erano dubbi. Questo è un aspetto estremamente importante, in quanto un attacco informatico può creare danni gravissimi in un Paese: può paralizzare settori economici e può arrecare gravi danni nel settore della finanza, dal momento che evidentemente lo strumento informatico è ormai indispensabile anche nella più piccola delle filiali bancarie, può bloccare la distribuzione dell’energia, può bloccare gli acquedotti.
Nella relazione di cui abbiamo ascoltato l’integrazione orale da parte del Presidente del Comitato, e che è a nostra disposizione, la questione viene trattata in modo ampio. È stata istituita da poco l’Agenzia nazionale per la cybersicurezza e per la quale – come ebbi modo di sottolineare in quell’occasione – credo ci sia bisogno di ambizioni molto maggiori: non si può pensare di creare una piccola agenzia burocratizzata, con qualche dirigente nominato sulla base di ragionamenti più politici che tecnici in un settore come questo, che sarebbe riduttivo definire competitivo. Quando gli ingegneri informatici si esercitano per diventare sempre più bravi, sempre più capaci a dare risposte alle esigenze di sicurezza delle aziende o delle istituzioni in cui lavorano o lavoreranno, fanno semplicemente una gara tra loro e si dividono in due squadre: da una parte, qualcuno cerca di violare la sicurezza di quella banca o di quella agenzia e – dall’altra parte – qualcun altro cerca di difendere la sicurezza e vince il più bravo. Chi si difende, ovviamente, ha dei margini maggiori, come un po’ in tutti i settori, ma vince il più bravo. È evidente, quindi, che avere qualcuno che è bravino, che se la cava, che ha orecchiato qualcosa di cybersicurezza non serve a nulla, perché in questo duello l’avversario è potenzialmente – ovviamente non sempre – di livello molto alto. Occorre quindi una maggiore attenzione su questo, tenendo presente che la cybersicurezza deve essere non soltanto passiva, ma anche in grado di agire e cioè deve essere non soltanto in grado – anche se questo, naturalmente, è fondamentale – di difendersi nel modo più efficace possibile contro gli attacchi, contro le violazioni della segretezza ed anche della tenuta dei dati, ma deve anche essere in grado e credibile nel portare avanti delle azioni di contrattacco, perché questo è quello che avviene. Gli esperti del settore spiegano che vi sono possibilità che prima o poi un attacco abbia successo e se ci si difende soltanto, ovviamente chi attacca, cioè chi cerca di entrare nei sistemi informatici, prova e riprova e se una volta ci riesce ha vinto, perché sa che non avrà delle reazioni.
Da parte di molti esperti, purtroppo, ci viene l’indicazione che l’Italia su questo sia particolarmente debole. L’Agenzia per la cybersicurezza è un passo avanti, ma è un po’ troppo poco e va potenziata nella sua qualità e anche nella sua capacità di reazione. Non va in nessun modo sottovalutato questo aspetto. Ricordiamo che uno dei principali modi in cui avvengono gli attacchi informatici è il cosiddetto ransomware, cioè un attacco in cambio di un riscatto: si rubano i dati a un’importante istituzione, ad esempio ad una banca, e si chiede una somma di denaro più o meno consistente per restituirli, perché il modo più rapido di concretizzare per chi ha rubato dei dati – a meno che non lo abbia fatto, come in taluni casi avviene, a fini di spionaggio industriale, economico o di altra natura – è proprio farsi dare dei soldi dall’istituzione la cui riservatezza è stata violata.
L’istituzione che ne è vittima ha interesse a non farlo sapere, perché altrimenti la sua immagine viene danneggiata. Dunque, il fatto che non si abbia notizia di questo genere di attacchi non vuol dire che questo genere di attacchi non sia già avvenuto e, purtroppo, in qualche caso possono anche esservi stati dei successi. Occorre dunque una grande attenzione in tal senso. Il lavoro che fanno i nostri Servizi di intelligencee lo stesso Comitato per la sicurezza della Repubblica è dunque estremamente importante, anche se per sua natura tende ad essere oscuro.
Vorrei citare un altro aspetto che trovo molto interessante nella relazione: la questione del segreto di Stato. Ci sono state diverse richieste da parte del Parlamento per superare il segreto di Stato su alcuni aspetti: si è parlato molto della questione legata al grave attentato alla sinagoga, il grande tempio ebraico di Roma, quando nel 1982 un bambino fu ucciso e vi furono diversi feriti, tra i quali il fratello di questo bambino. Ebbene, sono emerse circostanze davvero inquietanti sulla questione, cioè che non era stato mandato alcun tipo di protezione proprio in quella serata, pur essendovi state delle segnalazioni del pericolo concreto e imminente di un’attività terroristica proprio ai danni della comunità ebraica nel momento più solenne della loro vita, cioè le funzioni nella sinagoga.
Il segreto di Stato è comprensibile ed è una delle risorse che deve avere lo Stato, ma ci sono una disciplina e una legge che dicono quando, da chi e come va posto il segreto di Stato. Ultimamente abbiamo un analogo atteggiamento, come sul segreto di Stato, per le operazioni di carattere meramente commerciale ed economico condotte dal Commissario straordinario per la gestione della pandemia e abbiamo presentato degli ordini del giorno per chiedere che venga finalmente fatta chiarezza su tutte le operazioni economiche di acquisto di materiali e di servizi. Ebbene, ci è stato risposto che non si può rispondere per questioni di riservatezza. Peccato che ci sia una legge, la legge anticorruzione di cui molto si è parlato e a cui è stata data molta importanza, che dice che le spese della pubblica amministrazione devono essere rese note tempestivamente per questioni di trasparenza e per combattere la corruzione, tranne nel caso in cui c’è segreto di Stato. Quando non c’è il segreto di Stato ci deve essere trasparenza. È importante lo strumento del segreto di Stato, ma è importantissimo in democrazia lo strumento della trasparenza e della chiarezza nei rapporti tra il cittadino e la pubblica amministrazione. (Applausi).