La lutta è una cosa molto più produttiva, più efficace, eccetera. Possono ad esempio scrivere delle e-mail di Phishing, per citare una, molto realistiche e adattate alla persona se si fornisce loro tutta una serie di dati di profilazione, eccetera. Quindi la lutta diventa molto complicata, è un po' Davide Golia il parallelo che si può fare in qualche modo. Poi ulteriormente, come si dice, la complessità è il peggiore problema per quanto riguarda la sicurezza. Più complesso, più difficile capire come effettivamente un sistema si comporta. Ci sono tantissimi piccoli componenti, o anche grandi componenti all'interno di un sistema, e data la scala, la complessità, è molto difficile capire come interagiscono tra di loro. E purtroppo, dal punto di vista ingegneristico, in sicurezza non funziona il principio di modularità. Quindi se io risolvo un problema di sicurezza per un certo sotto insieme del mio sistema, non è detto che combinandolo con la soluzione di un'altra parte, effettivamente riesco a risolvere un problema più grande. Anzi, a volte è proprio il contrario, sfortunatamente. Questo è anche un'ulteriore difficoltà che si ha. Dall'altra parte, invece, chi attacca può sfruttare al medio queste problematiche e poi soprattutto c'è una cooperazione tra chi attacca. Chi scambia informazioni riesce a sfruttare attacchi tecniche in determinati parti con determinate caratteristiche a metterle a fattore comune. Quindi quando si sono entrati e hanno trovato la breccia all'interno del muro, riescono a muoversi all'interno del sistema in modo tale da raggiungere quelli che sono gli asset più pregiati. E poi c'è anche una difficoltà da parte di chi difende di capire esattamente quello che sta succedendo. A volte passa molto tempo prima che ci si accorga che qualcuno è dentro al sistema, perché riesce a farlo in maniera tale da coprire le proprie tracce in buona sostanza e da far sembrare che tutto è normale, non ci siano anomalie. E quindi è una caratteristica del mondo digitale questa in qualche modo, perché nel mondo reale facciamo qualcosa e lasciamo delle tracce, nel mondo digitale anche se lasciamo delle tracce possiamo un po' cambiarle, perché effettivamente il successo della flessibilità delle soluzioni digitali è proprio quello di poterle cambiare in maniera molto efficace e veloce. Quindi trovare le impronte digitali del malfattore diventa abbastanza complicato e questo, la mancanza di certezza di pena, mettiamola così in termini un po' più legali, è un ulteriore sprone a questo tipo di attività. Quindi questo secondo me caratterizza le principali sfide. E poi c'è un tema che a volte il digitale noi lo usiamo, ma non in maniera completamente consapevole, cioè l'utente finale, ma anche un impiegato o un operatore di un'organizzazione che interagisce con un sistema IT non ha proprio contezza precisa dei rischi, fa un lavoro ma magari arriva la May De-phishing, come dicevamo prima, è fatta particolarmente bene e hai vinto un milione di euro all'oliteria, adesso sto banalizzando, molto più sofisticato, dico così e clicca. E lì è un problema per tutta l'organizzazione. Quindi la responsabilità, la consapevolezza dei rischi deve essere anche portata a un livello tale da dire è una mia responsabilità che condivido con tutti per mettere in sicurezza quel ben determinato tipo di sistema. Questi sono secondo me un po' i temi che mancano. E anche l'ultima cosa, la mancanza di cooperazione tra i buoni, tra chi difende. Si è molta reticenza effettivamente a collaborare a dire sono stato attaccato, cosa che è controproducente chiaramente, perché adesso un attacco è su scala mondiale. Se io questa volta sono stato attaccato e mi hanno fatto del male, e lo dico a te in maniera tempestiva, che hai un'infrastruttura simile alla mia e quindi puoi essere vulnerabile a quel tipo di attacco, a quel tipo di strategia, questa volta io do una mano a te, ma la prossima volta magari è il viceversa. Però questo tipo di consapevolezza e anche di fiducia è una cosa molto lenta da spingere, da pubblicizzare e manca, ed è un problema che è completamente non tecnologico e di gestione organizzativo. Ovviamente al Valle Europeo ci stiamo organizzando, ci sono varie normative che spingono in questa direzione, per dirne una Dora nel settore finanziario, NIS 2 e per tutti gli altri, e soprattutto per le infrastrutture critiche, per dirne due. Quindi si sta spingendo. Per farlo ognuno di noi deve, oltre che tenere un occhio al proprio organizzazione, deve anche spingersi oltre e vedere quali sono le organizzazioni che sono immediatamente connesse e sviluppare una prospettiva di insieme, di ecosistema, cosa non ovviamente facile e necessita di molta cooperazione e molta fiducia. Grazie, grazie professore. Io infrango la logica del giro perché mi ero preparato una trama che potesse in qualche modo sviluppare il tema e quindi chiamo in causa Emilio Gisondi, che è amministratore delegato di The Next Defense, mi scuso per la definizione errata di prima. Lei è amministratore delegato di una società, presidente Gisondi, che tra le poche in Italia ha ricevuto dalla Presidenza del Consiglio lo status giuridico di azienda di rilevanza strategica per la difesa e la sicurezza nazionale. Le chiedo in un contesto dove abbiamo detto, anche con il professore, anche a mia introduzione, che si trasferisce sempre di più in un dito digitale, dove noi trasferiamo anche la sensibilità delle nostre vite lì come fare per proteggersi, insomma quali sono le regole che ci consentono di gestire in sicurezza informazioni che hanno un certo rilievo. Bene, la ringrazio. Il nostro è un primo esempio di un'azienda privata che entra nell'ecosistema della sicurezza nazionale e questo porta sicuramente dei vantaggi a entrambi, sia al pubblico che al privato, soprattutto quando un'azienda ha sviluppato tecnologie proprietarie per la sicurezza nazionale. Oggi il tema delle informazioni non riguarda solo ed esclusivamente le informazioni cosiddette classificate, che sono normate di PCM 5 del 2015, poi il 3 del 2017, che seguono tutta una gerarchia che oggi ci pone una condizione di sicurezza a livello di sistema Paese, ma sono le informazioni cosiddette non classificate ma controllate. Quali sono queste informazioni? Sono il vero oggi problema della cyber security. In un'organizzazione può sembrare banale, ma anche il funzionario di un'azienda che è una delle aziende del perimetro cibernetico nazionale può avere nella propria mail delle informazioni che possono riguardare la sicurezza nazionale. Quindi proteggere quel tipo di informazione significa proteggere il sistema nazionale. Come farlo? Le nuove normative che riguardano queste informazioni non classificate e controllate, per esempio, prevedono sistemi di crittografia. Quindi introdurre una tecnologia proprietaria italiana per permettere la crittografia è per esempio un primo elemento fondamentale che oggi richiede, e l'Agenzia nazionale per la cyber lo ha spressamente indicato nelle sue direttive, il cifra diventa il mezzo di comunicazione, anche di informazioni non classificate. Quindi oggi quello che noi come sistema nazionale dobbiamo fare è seguire sempre di più l'orientamento di avere una sovranità tecnologica nazionale. Quello di avere la dipendenza tecnologica da paesi esteri, seppur alleati, Stati Uniti, Israeli, in primis, ricordiamo tutti che cosa è successo l'ugno dell'anno scorso quando non faccio in nome un applicativo per la sicurezza americana in un aggiornamento software andato in default. Si sono bloccati aeroporti, interporti in tutto il mondo. Questo esempio ha fatto rendere l'idea della dipendenza mondiale da una tecnologia. L'altro elemento, e poi giù del mio intervento, è anche in termini di investimenti. Grandi multinazionali investono in digitalizzazione e invece gli investimenti nella cyber security sono quasi sempre nazionali. Quindi che cosa c'è? Che da una parte abbiamo enormi capitali, dall'altra parte la cyber non riesce a seguire la digitalizzazione in termini di cyber security. Grazie. Grazie mille amministratore delegato anche per la sua sintesi. Con Giovanni Andrea Toselli, presidente amministratore delegato di PWC Italia, entriamo nel fa bisogno dell'imprese. Nella loro sensibilità e priorità rispetto al tema della cyber sicurezza. La vostra realtà, presidente, si occupa di sostenere le imprese in questo percorso di difesa. Le chiedo se a livello organizzativo per le imprese che è seguita questa rappresenta come dire una priorità e c'è la percezione di cui appunto già è venuto fuori un po' il tema negli interventi precedenti, se c'è la percezione della strategicità e della vulnerabilità che questo campo ha. Allora, domanda molto complessa. Direi che rispetto a qualche anno fa o forse addirittura anche rispetto a qualche mese fa c'è un incremento abbastanza percepibile di attenzione e di focalizzazione su questo tipo di aspetti. La mia sensazione da non tecnico, metto le mani avanti, io ho vissuto studiando corporate governance e financial reporting, quindi detta in italiano sono un esperto di principi contabili e di bilanci, quindi un mestiere completamente diverso. Quello che però percepisco parlando con i clienti, noi siamo una grande organizzazione di consulenza e abbiamo circa 5.000 clienti in tutta Italia di tutte le dimensioni e quindi ci relazioniamo e catturiamo un sentiment sia di chi è piccolo sia di chi è più grande sia di chi ha capacità di investimento sia di chi non le ha sia di chi fa dei lavori molto esposti, ha delle attività molto esposte sia chi ha attività forse meno esposte. Che cosa si capiva fino a poco tempo fa? Che la preoccupazione principale era, la dico male e mi collego all'analogia del professore, che nel muro non ci fossero troppi buchi, che le chiavi per aprire la porta dal muro fosse messa in un posto che non era raggiungibile a tutti, cioè un minimo di decenza per fare che cosa? Per proteggere i propri dati, le proprie attività. Poi a un certo punto si è cominciato a ragionare sulla protezione della catena del valore. La protezione della catena del valore richiede anche che chi sta a monte e chi sta a valle sia ugualmente protetto e quindi gli scambi di informazioni hanno cominciato in qualche modo a diventare un argomento di conversazione. Quello che secondo me succederà a breve e qua la velocità è particolarmente in accelerazione ovviamente e che ci dovrà essere, e qui spero che la regolamentazione aiuti ma la regolamentazione non è mai l'unica risposta, ci cominci ad essere la percezione del fatto che non solo le grandi aziende che producono attività o servizi di sistemi, ma anche tutti gli altri operatori del sistema in un sistema così complesso diventano delicati per la possibilità, lei all'inizio ha parlato non di economia ma di vita, di proteggere il nostro stile di vita perché di qua stiamo parlando. Perché adesso quello che è successo in Spagna qualche settimana fa, che loro hanno in un modo, che l'hanno chiamato la pagonna, il grande spegnimento, forse non c'entrava niente con la cyber security, però è la dimostrazione di come la vita di tutti noi sulla base di un nulla possa cambiare. Cosa andare a definire? Sicuramente ci sono delle informazioni che sono di sicurezza nazionale e quella è una famiglia che forse è anche più facile focalizzarsi nel tentativo di identificare il perimetro, mentre sulle attività normali che sia la catena del freddo, del cibo piuttosto che di un farmaco, che sia la capacità di sviluppare logisticamente determinati tipi di distribuzione in modo che non ci sia un'interruzione, che sia una banalità, l'adevito del telepass. Tutte queste cose sono tutte cose che stanno diventando così importanti nella nostra vita di tutti i giorni e una piccola disruption potrebbe creare nel sistema e quindi nella qualità di vita di tutti i cittadini un qualcosa di così difficile da recuperare. Ecco dove secondo me l'idea della sicurezza dei sistemi informatici e della attendibilità del servizio informatico a supporto del servizio primario delle organizzazioni diventa importante. Ecco lì non c'è una grande sensibilità, non credo neanche che sia un qualche cosa che deve essere lasciato agli operatori individuali perché è il sistema che deve essere gestito e se il sistema finanziario è gestito con delle complessità forti, il resto del sistema economico non può non essere gestito prendendo in alto delle complessità. Quindi c'è tanto lavoro da fare ed è un lavoro da fare che richiede più che regolamentazione, richiede educazione. Spiegare che non si tratta semplicemente di difendere il mio conto economico ma si tratta di difendere il mio ruolo in un sistema economico che dà uno stile di vita. Grazie, grazie mille. L'educazione è assolutamente tema fondamentale, lei ha evocato anche Enel e quindi chiamo in causa il dottor Rassega che è head of cyber security di Enel ma che come dicevo prima da pochi giorni è anche componente del comitato scientifico dell'agenzia nazionale di cyber sicurezza. Dottor Rassega, Enel ovviamente gestisce e si occupa di una materia che è altamente sensibile e quindi anche diventa un target importante per chi vuole portare questi attacchi. Dicevo anche prima, Enel è anche una grande azienda in un cosmo italiano di aziende di piccole e medie imprese che possono essere anche il cavallo d'introia, d'ingresso in sistemi molto più complessi. Le chiedo una sua analisi di contesto anche rispetto alle cose che sono uscite e la seconda cosa ha fatto Enel per proteggersi, qual è il vostro modello? Grazie a tutti anche per l'ospitalità. Se io faccio quel mestiere di impastatore di cemento che ricordava il professore Anise e assieme a tanti altri ci occupiamo in maniera sistemica di questa tematica perché assolutamente vero è un rischio sistemico e va affrontato come rischio sistemico. Quindi mi aggancio immediatamente all'ultima proposta del dottor Toselli. È assolutamente così che va vissuto questo rischio. Qual è il nostro punto di vista? Enel è un'azienda gigantesca, gli italiani la conoscono, ma spesso non sanno che è una multinazionale presente in 28 paesi in giro per il mondo. Noi gestiamo la generazione e la distribuzione di energia elettrica in questi 28 paesi consegnando a 76 milioni di utenti che sono un quarto di miliardo di persone ogni giorno. E questa è una responsabilità molto forte che sentiamo. È un'azienda, per quanto uno possa pensare, che è un mondo molto hard based, con apparati di tecnologie di ferro massiccio, in realtà è estremamente digitalizzata. È impossibile gestire un'architettura di questo tipo senza un contesto digitalizzato. In più, essendo una grande azienda, ha tanti sistemi informatici che qualunque azienda ha. Quindi il tema della sicurezza digitale in questa azienda è seguito da diversi decenni. Purtroppo, infortunatamente, adesso se ne parla, perché la consapevolezza è cresciuta e quindi non siamo altro che contenti che si possa parlare di queste cose senza apparire un po' come dei paranoici che vedono rischi che non ci sono. Purtroppo questa è la realtà. Allora, come ci si difende in questo contesto? Prima di tutto bisogna studiare chi ti attacca e perché. In questo mondo, chi spende il proprio tempo per attaccare non lo fa per divertimento. Non è più l'epoca in cui l'hacker era il ragazzino che voleva dimostrare di essere più bravo dell'allievo del prof che aveva tirato su un muro resistente e l'ha tirato giù. No, assolutamente no. Non è più questo il contesto. Si tratta di organizzazioni molto, molto organizzate, molto fluide, assolutamente dinamiche come ci ricordava. Si muovono senza regole. Hanno molte molte risorse un po' perché grazie al loro diciamo principale la loro principale attività di ransomware hanno risorse dirette e poi perché in genere utilizzano le risorse degli altri per attaccare le vittime perché prima invadono un sistema informatico. Invece di sfondarlo e bloccarlo semplicemente lo usano per fare da testa di ponte contro altri avendo due obiettivi raggiunti. Uno, non spendono una lira per le attrezzature che usano e secondo, in caso appunto vengono fatte le indagini l'attaccante non è l'attore ma è qualcuno che non sapendo nulla si vede i suoi sistemi utilizzati per. Quindi prima cosa è studiare questi attaccanti. Dicevo appunto il principale attore è tipicamente il cybercrime, coloro che attaccano per fare soldi. Attualmente il meccanismo principale è quello del ransomware ma ci sono vari modi poi anche di seconda e terza mano per fare del denaro in questa maniera. Quindi è purtroppo un'attività criminale molto remunerativa, difficile da perseguire perché è difficile identificare l'attaccante come ho detto e anche perché una volta forse identificato probabilmente devi passare 3-4 giurisdirizioni per portare avanti un'azione di polizia e quindi di indagine e quindi non è così facile. Quindi bisogna strategia difendersi. Studiamo chi attacca, gli attaccanti possono essere anche attori che hanno interesse così antagonista ma è residuale più che altro possono essere anche attori mossi da interessi geopolitici e quindi possono fare azioni che hanno un altro livello di interesse. Da questa parte ovviamente non ci resta che difenderci. Tirando su questi muri in una maniera estremamente dinamica perché purtroppo non siamo nemmeno più in un contesto in cui hai un perimetro difendibile perché l'informatica è assolutamente interrelazionata a livello di processi in real time quindi bisogna mettere in campo delle difese molto molto sofisticate. Come si fa? Si deve tentare di capire come si muovono gli attaccanti, mettere sulle proprie strategie di difesa, anticiparli, quindi identificare e togliere tutte le vulnerabilità di cui il professore ci ricordava ma non bisogna lavorare solamente sulla tecnologia perché questo è un lavoro di tipo tecnologico. In realtà la chiave di tutto è lavorare con altri elementi, processi. Il cyber risk è qualcosa da gestire in maniera ordinaria, non è più un evento straordinario da gestire come una normale crisi. Purtroppo ogni giorno aziende delle dimensioni come la mia azienda è esposta costantemente a un tentativo continuo fatto in automatico tramite intelligenze artificiali o qualunque altro tool automatico per cercare questi punti di ingresso. Bisogna essere bravi a ridurre questa superficie e detectare qualunque anomalia. Ci sono persone che devono funzionare a 24 secondi dei processi, capace di ingaggiare altri colleghi per vedere se c'è qualcosa perché bisogna parlare non di invincibilità ma di resilienza. C'è un layer facilmente superabile in alcuni contesti quando magari c'è un cosiddetto zero day, devo usare questo termine, ma sostanzialmente è un evento che per noi è un problema. C'è una vulnerabilità che è nota all'attaccante e non è nota al produttore dell'oggetto dove questa vulnerabilità c'è, figuriamoci a chi lo utilizza. Quindi bisogna mettere su un sistema di detection tecnologico, processi e aterro e mi taccio sul layer umano. Gran parte degli attacchi partono da una semplice email di phishing, dopo l'attaccante si muove con tecniche un po' più sofisticate. Bisogna far capire a tutti che si è ciascuno, e lei lo ha detto benissimo in apertura, target, non c'è il mondo di alcune grandi aziende che sono attaccate perché possono pagare o perché rappresentano un servizio importante da buttar giù, no. Alla fine la società è fatta da tutte queste persone che sono singolarmente a rischio, se qualcosa non funziona bene, lo ricordavamo prima, il danno è per i singoli. Quindi queste persone devono essere coscienti che sono il target finale per la loro parte e sono anche la prima linea di difesa, con attenzione nei processi, nell'uso dei tool, il capire che si tratta di un email di phishing e finisco cooperazione. L'abbiamo detto prima, siamo parte di un ecosistema e se noi non mettiamo in sicurezza tutta la filiera non c'è la grande azienda che può difendere l'ecosistema. NIS 2 è stata citata, NIS 2 in Italia soltanto, perché NIS 2 è una direttiva con regolazione europea, solo in Italia ingaggia 20.000 soggetti, sono tantissime medie imprese che devono fare i compiti a casa perché sono fornitori delle grandi, ma perché loro rischiano di fallire oggi come oggi con un attacco informatico. Questo richiede un gran lavoro di sensibilizzazione ed eventi come questo servono, si rischia, piccola o medie imprese, di andare fuori mercato senza accorgersene. Ci sono aziende che sono state attaccate, Clusit correttamente raccoglie un'ottima statistica e se guardiamo quella torta vediamo che c'è una piccola fettina di attacchi classificati non come ransomware ma come attacchi che sono furti di informazioni. Quella è solamente la parte che si vede, ma in grande numero le aziende vengono attaccate, la loro proprietà intellettuale viene rubata e non se ne accorgono e poi si trovano dei prodotti contraffatti ma perfetti che funzionano con i loro progetti di R&D. Non mi pare sia una bella cosa per l'Italia che invece tipicamente su queste cose si distingue. Grazie Dottor Rassega perché hai aggiunto tasselli, conoscitivi molto importanti in questo percorso di dialogo che stiamo facendo. Ha citato più volte la parola attaccante, lei, il professor Scazza Villani con Michele Mengoli ha scritto un libro, scusi, il furto del millennio in cui un attaccante l'ha anche individuato che è la Cina per una serie di questioni che la inviterò ovviamente a espore. Entriamo anche in un campo di ritorno geopolitico, non solo di concorrenza economica, non solo di cybersecurezza ma anche di dimensioni di influenza sul mondo. Le chiedo se ci può raccontare in estreme sintesi la sua tesi e anche se ha reagito l'Occidente. Allora io di professione e di formazione sono un economista, come mai un economista parla di cyber security? Perché la cyber security non è una branca molto ben definita dell'informatica, è qualcosa che ci riguarda tutti direttamente. I vostri computer molto probabilmente se non fate l'aggiornamento dei sistemi operativi sono già infiltrati i vostri in questo momento. Sapete quanti tentativi di infiltrazione subisce un'azienda medio grande in Italia ogni giorno? 50 mila. Sapete quanti ne subisce Poste Italiane? 500 mila al giorno. Quindi chi crede che questo sia un problema di altri sta illudendosi. In America l'80% delle aziende, questi sono dati di Verizon, un provider di servizi informali, di servizi di connessione internet. Verizon dice che l'80% di chi subisce un attacco informatico, di chi ha i server violati, se ne accorge quando arriva la polizia o quando riceve una richiesta di ransomware. Per anni a volte ci sono queste intrusioni e nessuno se ne accorge. Queste intrusioni possono, documentato nel libro, essere dei computer vecchi di una azienda che ripara pompe d'acqua nel Wisconsin, viene infiltrato da hacker cinesi e da questo computer obsoleto, con Windows Vista per esempio, vengono attaccati centri di ricerca, studi legali, università, eccetera eccetera. Si dice non sappiamo da dove vengono questi attacchi, invece lo sappiamo bene. Questi attacchi vengono da Cina e Russia in prevalenza. La Cina per motivi più economici, la Russia perché sono criminali. In entrambi i casi gli hacker sono agenti dei governi, alcuni sono indipendenti, nel senso che sono hacker, sono i killer a contratto, fanno parte di organizzazioni private che vengono ingaggiate dal Ministero per la Sicurezza dello Stato cinese e vanno sotto il nome in sigle che noi li attribuiamo in occidente come APT 61, Panda Bear, Volt e così via. Adesso stanno entrando in partita alla grande anche i nord coreani e c'è una deliberata politica cinese di hackeraggio e spionaggio ai danni dell'Occidente. Come è che la Cina è diventata la seconda potenza mondiale in trent'anni? Era un paese alla fame, alla morte di Mao in Cina si moriva di fame nelle campagne. Ci sono state due grandi carestie, una seguita al grande balzo in avanti dove sono morti milioni di individui, poi c'è stata la rivoluzione culturale, insomma era un paese allo stremo. Quando Xi Jinping, quando Deng Xiaoping è ritornato al potere nel dopo Mao ha capito che per ritornare ad essere un paese, se non prospero quantomeno, dove non si muore di fame bisognava colpire il gap tecnologico con l'Occidente e questo è stato fatto deliberatamente come politica del governo cinese. C'è quello che si chiama la commissione civile militare all'interno delle istituzioni cinese, quindi c'è proprio un apposito comitato che è presiduto oggi da Xi Jinping, quindi il nome e il cognome di chi conduce questi attacchi lo conosciamo, è il nome del presidente cinese e segretario del Partito Comunista. Analoga cosa, io non l'ho approfondita perché mi sono concentrato sulla Cina, ma analoga cosa si può dire della Russia. L'obiettivo poi della Cina è appunto accherare per sottrarre proprietà intellettuali, ma anche c'è l'altra parte che non viene quasi mai citata, che è la guerra ibrida condotta attraverso i social. Noi conosciamo tutti la storia di Cambridge Analytica, ma quella è solo la punta dell'iceberg. Ci sono migliaia e migliaia di informatici cinesi che utilizzano i social, proibiti in Cina tra l'altro, per condurre questa guerra ibrida, per influenzare l'opinione pubblica, per diffondere delle narraative. E qual è questa narrativa? È che l'Occidente è in marcio, che ci sono 13 famiglie che controllano tutto, che Papa Francesco è stato eletto perché Donald Trump ha regalato 14 milioni di dollari per il funerale di Bergoglio e così via. Queste operazioni sono operazioni di guerra e noi non le trattiamo come operazioni di guerra, tant'è vero che, finora di cosa abbiamo parlato? Di difesa dagli attacchi. Ma quale pugile sale sul ring pensando di difendersi, mettersi con i guantoni così e parare i colpi? È un pugile che andrà al tappeto un giorno o l'altro, perché come dice il professore basta una volta che sia fortunato. Quindi c'è tutta la parte di contromissure, di controattacco di cui non si parla. Ultima cosa, 30 secondi per dire, la vulnerabilità dei sistemi siamo noi, siete voi, sono le password. Fishing significa che qualcuno ruba la password. La password deve essere vietata nell'accesso ai sistemi informatici. Oggi abbiamo altri sistemi e chi pensa di potersi difendere con sistemi concepiti negli anni 80 è destinato a perdere come noi stiamo perdendo. Grazie, grazie professore. Molto chiaro. Abbiamo un secondo giro di risposte. Vi chiedo di essere molto sintetici perché abbiamo 20 minuti scarsi, quindi sono tre minuti a testa. Ci aiutiamo anche con il cronometro. Professore Lanise, il contrattacco che ha citato Scacciavillani, come possiamo essere più protetti in questo mondo che voi avete descritto benissimo nel primo giro di risposte ci espone enormemente? Contrattacco è interessante, poi ci sono delle implicazioni anche un po' legali di diritto internazionale, quindi, come dire, io sono cauto e sono onestamente più cauto. Comunque, a parte questo, quello che voglio dire è che comunque siamo chiamati a fare i compiti a casa, mi pare che l'abbia detto lei prima, innanzitutto per rendere appunto questo muro un po' più robusto. Intanto, una buona idea è quella di dire non solo le password, ma anche un secondo fattore di autenticazione, oppure togliamole via e usiamo un altro sistema e ci stiamo ragionando, ci sono delle prime soluzioni. Assolutamente su questo mi trovo perfettamente d'accordo. Quindi io non entro con la password? Sì, chiaramente. Quindi è già possibile? Ok, a questo punto da una parte bisogna fare i compiti a casa e che cosa significa? Ad esempio essere più consapevoli dei rischi, si diceva prima. Mi è piaciuto l'acceno al zero day prima, perché rimanda ad esempio a un concetto che è abusato, spesso che è quello di sicurezza. Questa cosa è sicura, questo sistema è sicuro, quando vi dicono così diffidate tipicamente. No, ma non perché, perché è sempre il rispetto a qualcosa che si è sicuro, in particolare a chi ti attacca, alle sue capacità, alla sua motivazione, esattamente come si diceva prima. Quindi se io non so che c'è una falla, non la vedo lo schiaffo da dove arriva, in buona sostanza, banalizzando. Quindi effettivamente non assolutizzare il concetto di sicurezza, ma ragionare in termini di rischio che c'è sempre e rimane e comunque deve essere gestito come nel mondo reale peraltro. Ma solamente che lì siamo più abituati a gestirlo, effettivamente già potrebbe essere un significativo passo avanti. Poi fare il compito a casa significa, oltre che quindi educazione a tutti i livelli, già anche all'elementario oserei dire, iniziare fino a andare su per sviluppare consapevolezze, per non trattare strumenti tipo questo che abbiamo tutti in tasca come qualcosa di magico, una scatola magica che ci dà dei risultati ma non capiamo esattamente come e perché. E anche l'altra parte, l'altro aspetto importante è quello della cooperazione, mi permetto di dire, tra chi difende e che poi eventualmente si può parlare anche di un contrattacco in un secondo movimento. Ma intanto scambiarsi delle informazioni e cercare di coordinare un'azione secondo me è una cosa molto interessante. Ad esempio FBK al suo interno sta facendo il compito a casa rispetto all'ANIS 2, abbiamo fatto una partnership all'interno di varie unità che cerca di mettere noi che dobbiamo essere conformi all'ANIS 2 in sicurezza rispetto e in conformità rispetto a questa cosa. E' un primo passo e lo stiamo facendo man mano, è sempre una cosa continua in continuo evoluzione effettivamente. Stessa cosa stiamo facendo anche con cooperazioni verso l'esterno, ad esempio con PWAC eravamo la scorsa settimana alle IAEWI che abbiamo parlato di come le IAEWI possono essere utilizzate per difendersi e non solo per l'attaccare, quindi ci sono degli usi ulteriormente differenti. Quindi in brevissimo direi che le sfide sono tante effettivamente ed è anche un contributo rendere resiliente e gestire i rischi in maniera opportuna per contribuire ad una sovranità nazionale e qua forse è anche il tema prima toccato. Perché l'infrastruttura è fatta da tante cose non solo da software ma anche dall'hardware, ci sono delle infrastrutture fisiche che noi compriamo ad esempio e non le produciamo direttamente come ad esempio Fatin T-NEXT, giusto? E' veramente importante capire quali sono i rischi di fidarsi degli altri e mettere in chiaro questo tipo di relazioni. Grazie mille professore, lei mi dà anche lo spunto per rivolgere al Dottor Gisondi una domanda appunto sempre sul contrattacco ma questa volta anche sul lato tecnologico. Noi sappiamo che in Italia abbiamo un gap da questo punto di vista, lei nel primo giro di risposte ha sottolineato il rischio di dipendere da infrastrutture di altri paesi. Le chiedevo Dottor Gisondi come possiamo arrivare attraverso la tecnologia, non so se ad una sovranità tecnologica ma quanto meno ad una superiore sicurezza rispetto a questo tema. La ringrazio, prima di tutto volevo anche dare una speranza anche ai giovani che stanno qui perché non volevo uscire assolutamente da questo evento senza dare anche quello che l'Italia e aziende come la nostra e tante altre stanno facendo, per esempio con gli amici di Enel siamo in cooperazione su un programma molto importante di comunicazione sicura. La cyber security oggi è multidisciplinare, quindi dobbiamo stare attenti quando parliamo di cyber war, cyber investigation e cyber crime. La cyber investigation la fanno le agenzie di intelligence e sono coperti da una legge nazionale che è quella del 2007, la 124 2007. Quindi lasciamo alla cyber investigation di fare il suo lavoro, lasciamo alla cyber war con il decreto legge del 2022 agli apparati dello Stato che solo per legge, diciamo solo per legge oggi, si può fare un'attività di cyber attack. Questo lo vorrei specificare ai tanti giovani che sono qui in sede. Diverso è la cyber crime e la cyber comune che oggi è oggetto di questo evento. Aziende come la nostra hanno voluto orientare l'R&D verso tecnologie proprietarie, includendo nel suo R&D il sistema nazionale delle università. Questo è un primo passo importante con una rete di laboratori che chiamiamo Malware lab che vi specifico anche con quale diciamo con questa iniziativa che cosa noi vogliamo fare. Certamente la situazione ripeto rimane nella sua gravità però non vorrei passare messaggi che siano oltremodo negativi. Primo l'Italia ha in questo momento un algoritmo quantum resistant e quindi veniamo a tecnologie nazionali da attacchi da supercomputer, T-NEX defense con il politecnico di Milano, il politecnico delle marche, al primo algoritmo post quantum certificato dall'autorità nazionale per la sicurezza. Un algoritmo post quantico non è solo un effetto commerciale per l'azienda che lo produce ma crea all'interno di un paese anche un sistema di soft power, cioè sovranità tecnologica ma anche potere geopolitico. Significa essenzialmente dire guarda io ho una muraglia certamente non sarà quella a difenderci da tutto ma abbiamo iniziato a avere continuando diciamo col tema del muro avere la nostra muraglia sul posto quantico. Ho sentito parlare anche di laboratori, noi abbiamo sviluppato una serie di laboratori si chiamano malware lab, oggi è difficile identificare attaccante e difensore con professionalità diverse, l'attaccante e il difensore sono sempre hacker. L'attaccante è un hacker cosiddetto non etico, il difensore è un hacker etico, quindi quelli che noi abbiamo all'interno della nostra organizzazione sono hacker etici, cioè persone che hanno voluto essenzialmente mettere delle proprie capacità, il proprio talento che va al di là della laurea o del corso di specializzazione. Ci sono dei talenti che sono dei talenti nel settore, questi talenti vanno indirizzati all'interno delle organizzazioni come la nostra che ha avuto questo grande pregio di far parte dell'ecosistema nazionale, quindi avere una normativa di riferimento nazionale, un DPCM che disciplinasse l'azienda ci rende meno vulnerabili anche per esempio al fatto che queste persone ci hanno voluto. Cosa fa un malware lab? Abbiamo cercato nel malware lab di creare delle condizioni, le cosiddette ONEPOT, che cosa sono queste ONEPOT? Praticamente noi sfidiamo l'attaccante a cadere in una trappola, cioè sintetizziamo quello che è un ambiente d'attacco per far cadere l'attaccante in questa trappola e per dare anche continuità a quello che diceva il professore sul zero day per esempio il professore questa settimana abbiamo catturato un'attaccante. Cioè 4 malware che neanche l'azienda produttrice di quel software era a conoscenza di quella falla e noi la rendiamo pubblica, questa vulnerabilità la pubblichiamo sul nostro sito per rendere a tutti un servizio perché qui non è più un fatto commerciale, è un fatto di sicurezza del nostro Paese. Grazie. Grazie a lei anche per aver portato una luce di speranza in discorsi che giustamente vogliono però mettere in rilievo anche la sensibilità del tema e quindi anche il rischio di insicurezza. Presidente Toselli invece le chiedevo rispetto anche al contesto globale se in Italia per l'esperienza che avete con la vostra impresa i leader italiani hanno preoccupazioni diverse magari in senso strategico rispetto a quelle che possono essere le prospettive di cyber sicurezza. Qui entraremo un po' nel campo anche delle priorità. Probabilmente è difficile rispondere in modo curato una domanda così pervasiva diciamo. La sensazione che ho io personalmente è che ci sia una correlazione con la dimensione delle imprese. Più l'impresa è grande, più ha un budget, più si può permettere di avere degli specialisti, più può avere gente che riflette su queste cose e ha quindi anche la capacità di analizzare la rete multinodale con la quale si relaziona e quali possono essere le problematiche. Quindi nei paesi in cui ci sono più grandi aziende, se ne parla sempre grande bello, piccolo e bello, queste cose qua, ecco che c'è un po' più di sviluppo perché anche qua la parte di ricerca è importante, c'è un po' più di sviluppo e quindi le soluzioni sono poi maggiormente disponibili anche per la piccola azienda. Il professor prima faceva l'esempio del tipo che fa le robe nel Wisconsin. Ecco, è più probabile che il tipo che fa le robe, non mi ricordo più qual è il suo esempio, cos'è che faceva il tipo del Wisconsin? Riparava pompe per l'acqua nel Wisconsin. Ecco, nel Wisconsin rileva i pozzi, ecco è più probabile che Costui venga in qualche modo intercettato dalla rete di influenza di General Electrics, diciamo, che in qualche modo gli chiedi di fare una cosa che non magari il fantastico rubinettaio di qualche valle del nord Italia che fa delle cose bellissime, che rispetto alla popola del Wisconsin ha un valore aggiunto incredibile, però ha una rete commerciale, una rete di relazioni meno sofisticata e più portata alla relazione commerciale basta. Questa cosa secondo me è abbastanza un problema perché guardando avanti e parlando dell'intelligenza artificiale, io sono un convinto fautore del fatto che il futuro del sistema economico italiano si deve correlare in qualche modo all'integrazione robotica della manifattura, la dico con un titolo abbastanza roboante, il motivo per il quale collaboriamo con Fondazione perché riteniamo che lì ci sia tanto valore da portare all'impresa perché in un Paese con le problematiche demografiche che conosciamo, in un Paese fattato alla manifattura, in un Paese fatto di piccole e medie imprese, la robotica della manifattura è quella che potrà portare a quel recupero di produttività che è inevitabile o meglio che è necessario per non arrivare come era la Cina prima che arrivasse questa roba. In quel contesto la correlazione tra gli operatori economici diventa forzatamente digitale e quindi non è più la digitalizzazione dell'impresa ma è la digitalizzazione della filiera che diventa un problema. E quando si digitalizza una filiera e la parte di debolezza agli attacchi, chiamiamo gli attacchi, chiamiamo le difese, chiamiamo furto di proprietà intellettuale, le mille cose di cui abbiamo parlato adesso diventa ancora più problematica. E vi faccio, vi chiudo con una battuta, ieri ho ricevuto su WhatsApp un messaggino da una mia amica che diceva, mia nipote fa la ballerina alla scala, vota, e io che dovrei essere un utente educato, un utente voluto, ho votato. Quindi voglio dire, nessuno ha prova di bomba per la cosa, se mi arriva una mail di un collega che mi dice sono in zambia, ho bisogno di 10 mila dollari, non glieli mando, ma quella roba li è mia fregata. Quindi bisogna veramente pensare a come fare a trasferire questo tipo di informazioni e fare un lavoro di sistema. Purtroppo in Italia non siamo bravissimi a fare rete e fare sistema, ma la soluzione è lì. Mi taccio. Grazie, grazie mille anche per questa esperienza personale in cui ci rende davvero evidente come la... Ha vinto sicuro perché ne ha presi tanti i voti. Dott. Sega, invece, le chiedevo quale sarà un po' la strategia del futuro in un contesto che sempre di più ci porrà in una dimensione digitale, quali saranno le sfide le chiedo anche lei in estrema sintesi. Sì, molto rapidamente, c'è tantissimo da fare, sicuramente la consapevolezza è cresciuta, non ancora abbastanza. C'è molto da fare, diciamo, già dentro le aziende. Abbiamo già citato il tema risk based, è un termine che si utilizza, è così, bisogna rendersi conto che non si può stare in una condizione e poi in un certo punto dire ok, investo x così risolvo il problema. Non esiste, non esiste questa cosa. È un rischio continuo, che continua ad evolvere, bisogna rincorrerlo, bisogna organizzarsi sapendo che è un rischio da rincorrere e che ti darà sempre un pezzo, un pezzettino di rischio residuo che deve essere gestito con una resilienza, un recovery molto rapida. Si fa con tecnologia, come ho già detto, si fa con processi. Certo, bisogna dirlo, una svegliata bisogna darsela. Bisogna tirare su questi muri e i muri li fai con dei bravi muratori, altrimenti ti resta un muro di carta pesta e prima o poi bussano. Mi dispiace dirlo, bisogna dirlo, prima o poi bussano e sono guai. Certo, c'è da investire, però parliamo perché l'investimento in cyber ha un ritorno di questo investimento, non è immediatamente visibile, infatti si sta lavorando anche a modellizzare questa visualizzazione, perché molto spesso si va nei board dove si decide, ok, ho uno spending, qual è il ritorno? Quando cominci a valutare qual è la posta in gioco non è la finestra dell'esercizio corrente, ma di ciclo di vita dell'intera organizzazione cambiano i numeri, ve lo assicuro. A Wernherse abbiamo già detto che dobbiamo formare molti, una tirata di orecchie le dobbiamo dare però alle nuove generazioni, noi speravamo che i nativi digitali fossero più attenti a queste cose, ebbene sono i più esposti, cliccano su qualunque cosa, swipe, postano loro informazioni personali in una maniera troppo leggera, è un appello anche perché per la loro futura, anche per le loro futuro successo questa tematica, compresa correttamente, è un'opportunità enorme, non è che queste cose si fanno facilmente, bisogna studiare, appassionarsi, è un tema che va compreso, ecco, se correttamente prima ci ha detto siamo solo in difesa, ecco entrare in campo e fai solo da portiere non è carino, ve lo dico da persone che fa questo lavoro da tanti anni, però vi assicuro che è un lavoro che ti obbliga a imparare così tante cose continuamente come pochi altri, quindi è un lavoro faticoso quant'altro, sicuramente ha lo stress del portiere, che non fa quasi mai gol se non di rimessa di testa nei film di Fantozzi, ma è assolutamente interessante e invito i giovani a tuffarsi perché ci sono soddisfazioni di ogni tipo, anche economico. Ultima cosa, l'infosharing già citato, si fa, ecco, do una bella notizia ogni tanto, si fa tantissimo, si fa anche a livello istituzionale, ACN peraltro su questo sta lavorando molto per facilitare queste attività, si fa tra aziende dello stesso settore e di altri settori, la stessa associazione dei muratori, quando torno in associazione mi uccideranno, che oggi li ho definiti così, ma è molto bello anche alleggerire un po' il tema, fanno questo, non c'è problema, gli mando tutti, chi fa tra i ciso si fa infosharing continuamente, perché siamo i primi ad avere la convinzione che se è successo a un collega poco dopo succede a te e viceversa, quindi questa cosa è molto naturale e non è un problema per la concorrenza di mercato, perché è una cooperazione che è nulla che fare poi con le offerte commerciali che fanno le aziende, questa cosa non entra molto spesso così facilmente nella comprensione, ma vi assicuro che c'è e funzione sarà ancora più forte. Ultimissima cosa, quando poi si comincia a capire che c'è da fare qualche investimento, le piccole aziende si fanno la domanda, ma io ce la faccio? Di nuovo, questo non va vissuto come un problema, ma come un'opportunità a creare, poi siamo qua nella patria della cooperazione, chi ha mai detto che ciascuno deve mettere su un proprio SOC, un proprio centro di monitoraggio H24, che è costosissimo, ma si può fare cooperazione, si può creare nelle associazioni di quel settore qualcuno che si occupa del run di una funzionalità, poi è chiaro che il rischio specifico aziendale lo farà a quattrocchi il ciso di quell'azienda con il proprio management, ma questa cosa va studiata, va spiegata, altrimenti siamo lì in attesa, il tempo passa e prima o poi. Grazie mille anche a lei. Ultimo flash, ultimo intervento, visto che la metafora del muro è piaciuta tantissimo, un ultimo flash con il professor Scaccia Villani riguarda l'agenzia per la cybersecurity nazionale come ultimo tassello in questo muro. Ricordo la sua mission che ha il compito di tutelare la sicurezza e la resilienza dello spazio cibernetico, si occupa di prevenire e mitigare il maggior numero di attacchi cibernetici di favorire l'aggiungimento dell'autonomia tecnologica seguendo un po' quelle che sono le strategie nazionali dettate dalla Presidenza del Consiglio. Le chiedo se ha il suo funzionamento e se... Stranamente, l'agenzia per la cybersecurity è un'autorità indipendente, che è un po' una cosa strana in quanto tutte le altre entità, autorità che si occupano per la cybersecurity sono all'interno di strutture militari o di sicurezza, servizi segreti per capirci. Ma visto che sono in zona rossa, mi piace finire con delle cifre, essendo economista un po' la deformazione professionale. Sapete in quanto è stato stimato il bottino dei cinesi da operazioni di accheraggio, spionaggio, intrusioni, violazione, eccetera? E' stato stimato dall'FBI americano, solo per il valore del furto compiuto ai danni delle entità americane, in 650 miliardi di dollari all'anno. Per darvi un ordine di grandezza, il PNRR di tutta l'Europa, che sono soldi presi a prestito mentre il frutto dei furti, diciamo il bottino, non deve essere restituito. PNRR dura 5 anni, questo ogni anno, solo per l'America. Poi bisogna vedere quanto è stato rubato all'Europa, al Giappone, al Canada, all'Australia e a tutti gli altri paesi. Quindi stiamo parlando di cifre astronomiche. Ecco come mai la Cina è diventata, da paese alla fame, la seconda economia del mondo. Poi i cinesi sono bravi, non è che basti rubare, bisogna poi capire il valore del furto e utilizzarlo al meglio. Questi sono i danni che possono essere inflitti. E vi dico, i danni possono essere inflitti a una grande impresa, anche dal piccolo fornitore, perché molto spesso le intrusioni non passano attraverso il manager dell'azienda, passano attraverso il piccolo imprenditore, o cliente o fornitore. L'ultima cosa ancora, 30 secondi, non sono solo software quelli che permettono le intrusioni, c'è stato il caso di Supermicro dove i cinesi avevano inserito il backdoor nell'hardware, nella scheda madre. E questo è tutto un altro livello di pericolosità. Mi prendo 30 secondi io per ringraziarvi di questo dialogo colto, ma allo stesso tempo anche molto chiaro. Quindi ringrazio il professor Silvio Ranise, professor ordinario di informatica all'Università di Trento, il professor Fabio Scazzavillani, fondatore di Next Experience, Giovanni Andrea Toselli, presidente e amministratore delegato di PWC Italia. Grazie ancora di essere stato qui insieme a noi, Emilio Gison, amministratore delegato di Tnexta Defense, vicino a me Yuri Giuseppe Rassega che è head of cyber security di Enel, presidente di Associo, come ho detto prima anche nel comitato scientifico dell'Agenzia nazionale. Grazie, grazie davvero a voi e a voi che siete stati qui. Grazie. Grazie.