La trasformazione digitale della Pubblica Amministrazione si è vista, dove è riuscita, prevalentemente attraverso i suoi aspetti visibili: le piattaforme, i portali, i servizi online, l’interoperabilità tra enti, la dematerializzazione dei procedimenti, tutti aspetti che hanno contribuito a orientare investimenti, politiche e aspettative. Ma un elemento essenziale è rimasto in secondo piano: la cybersecurity, e non perché fosse assente, ma perché veniva percepita, e spesso effettivamente trattata, come una questione tecnica separata, per specialisti ICT.
Oggi la sicurezza informatica nella PA non è più un capitolo collaterale dell’agenda digitale: è la sua condizione di esistenza; non si può erogare un servizio pubblico digitale affidabile senza presidiare la sua sicurezza, garantendo che i dati dei cittadini siano protetti, che i sistemi siano disponibili, che gli accessi siano tracciabili, che le interruzioni vengano gestite con competenza. La cybersecurity, in questo senso, è diventata infrastruttura invisibile: non la si vede quando funziona, ma la si sente immediatamente quando viene meno.
Indice degli argomenti
La cybersecurity nella PA come infrastruttura invisibile
Basta osservare la cronaca degli ultimi anni per rendersene conto. Nel 2021 l’attacco ransomware nel periodo estivo alla Regione Lazio ha paralizzato per settimane il sistema di prenotazione vaccinale, proprio nel pieno della campagna anti-Covid: un danno che non era soltanto tecnico, ma sanitario, organizzativo e di credibilità istituzionale. Nel 2023 diversi Comuni italiani hanno subito compromissioni dei propri sistemi, con dati di cittadini esposti o servizi interrotti per giorni. A livello europeo, l’attacco al sistema informatico del Parlamento Europeo nel dicembre 2022 ha dimostrato che nessuna istituzione, per quanto rilevante, può considerarsi immune. Non si tratta di episodi isolati: si tratta di segnali strutturali che indicano come il rischio cyber sia diventato una delle variabili ordinarie del governo digitale.
Ciò che cambia, rispetto al passato, non è soltanto la frequenza o la sofisticazione degli attacchi, ma il vero cambiamento sta nella natura delle conseguenze. Quando un sistema pubblico viene compromesso, il danno non riguarda solo dati o infrastrutture: riguarda i diritti. L’accesso al fascicolo sanitario, la trasmissione di un documento fiscale, la prenotazione di un servizio sociale, il pagamento di un tributo: tutti questi atti presuppongono che i sistemi funzionino, che i dati siano integri, che l’identità dell’utente sia verificata, che la transazione vada a buon fine. Quando qualcosa si rompe in questa catena, non è solo il sistema a fallire, ma la promessa pubblica tra PA e cittadini.
Un incidente di sicurezza può erodere in pochi giorni la fiducia istituzionale che anni di investimenti nell’innovazione hanno contribuito a costruire.
Da qui discende una conseguenza diretta sul piano della governance: la cybersecurity non può continuare a essere una responsabilità esclusiva dei tecnici. È una responsabilità dirigenziale, organizzativa, politica, in cui i vertici di un’amministrazione pubblica devono sapere leggere i rischi legati al mondo cyber così come leggono i rischi finanziari o legali; devono allocare risorse, supervisionare processi, richiedere rendicontazioni, approvare piani di risposta. Non devono diventare esperti di sicurezza informatica, ma debbono smettere di trattare la cyber come una questione che li riguarda solo quando sorge una problematica, pensando di relegarla ad un tema esclusivamente tecnico/tecnologico.
Il cambio di paradigma: dal perimetro alla resilienza
Per comprendere dove si trova oggi la sfida della cybersecurity nella PA, è utile partire da una distinzione concettuale che, negli ultimi anni, ha ridisegnato l’intera disciplina: quella tra sicurezza perimetrale e resilienza sistemica.
Il modello tradizionale era fondato sull’idea del perimetro: l’organizzazione aveva una rete interna, protetta da firewall, antivirus, policy di accesso. Tutto ciò che era dentro il perimetro era considerato tendenzialmente sicuro, tutto ciò che era fuori, potenzialmente pericoloso. Questo modello ha avuto senso per decenni, ma è entrato in crisi progressiva con l’avvento del cloud computing, del lavoro ibrido, della moltiplicazione dei dispositivi connessi, dell’interoperabilità tra sistemi diversi, dell’integrazione con fornitori esterni. Oggi il perimetro non esiste più in senso stretto. O meglio: esiste, ma è diventato mobile, distribuito, poroso.
Nella PA italiana, questo cambiamento è particolarmente evidente. La migrazione verso il Cloud Nazionale (il Polo Strategico Nazionale, PSN), promossa dalla strategia nazionale cloud del Dipartimento per la trasformazione digitale, porta vantaggi enormi in termini di scalabilità, affidabilità e sicurezza gestita, ma porta anche nuove sfide; ci si chiede come si possa garantire la sicurezza dei dati in transito tra sistemi on-premise e cloud, come gestire le identità in ambienti ibridi, come presidiare gli accessi privilegiati, come garantire la visibilità degli eventi di sicurezza in ecosistemi distribuiti. Sono aspetti operativi che richiedono risposte tecniche e organizzative concrete.
Il concetto che meglio risponde a questa complessità non è più sicurezza, ma resilienza. La resilienza cyber indica la capacità di un’organizzazione di resistere a un attacco, di rilevarlo tempestivamente, di limitarne le conseguenze, di ripristinare le funzionalità nel minor tempo possibile e di imparare dall’esperienza. Non è l’obiettivo utopico dell’impenetrabilità totale, ma qualcosa di più realistico e, paradossalmente, più ambizioso: la capacità di continuare a funzionare, o di tornare a farlo rapidamente, anche quando qualcosa va storto.
Questa visione ha importanti implicazioni pratiche. Significa che le organizzazioni devono investire non solo in tecnologie di prevenzione, ma anche in sistemi di rilevamento precoce degli incidenti (come i SIEM, Security Information and Event Management), in capacità di risposta rapida (i cosiddetti CERT o CSIRT interni o condivisi), in piani di business continuity e disaster recovery testati e aggiornati, in procedure documentate per la gestione delle crisi. Il National Computer Security Incident Response Team (CSIRT Italia), istituito presso l’Agenzia per la Cybersicurezza Nazionale (ACN), rappresenta il punto di riferimento nazionale per la gestione degli incidenti informatici: le amministrazioni pubbliche che segnalano tempestivamente gli eventi critici beneficiano di supporto tecnico specialistico e contribuiscono a costruire una conoscenza collettiva delle minacce.
La maturità cyber di un ente non si misura nella perfezione dei suoi sistemi, ma nella sua capacità di rispondere, adattarsi e imparare dagli eventi critici.
La Direttiva NIS2 e il nuovo quadro della cybersicurezza
Il 16 gennaio 2023 è entrata in vigore la Direttiva (UE) 2022/2555, comunemente nota come NIS2 (Network and Information Security 2), che ha abrogato e sostituito la precedente Direttiva NIS del 2016. Recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138, la NIS2 rappresenta il provvedimento normativo più significativo degli ultimi anni in materia di cybersicurezza per le organizzazioni pubbliche e private che operano in settori critici.
La NIS2 introduce un approccio radicalmente diverso rispetto al passato. Non si limita a imporre misure minime di sicurezza: definisce un quadro organico di obblighi che riguardano la governance, la gestione del rischio, la segnalazione degli incidenti, la sicurezza della catena di fornitura e la responsabilità dei vertici aziendali e istituzionali. Per le pubbliche amministrazioni rientranti nell’ambito di applicazione, l’impatto è sostanziale.
A livello operativo, la NIS2 va letta congiuntamente ad altri strumenti del quadro normativo europeo e nazionale. Il Regolamento (UE) 2022/2554 (DORA) disciplina specificamente la resilienza operativa digitale per il settore finanziario. Il Regolamento (UE) 2016/679 (GDPR) continua a regolare la protezione dei dati personali, con implicazioni dirette nella gestione degli incidenti che comportano violazioni di dati. La Strategia Nazionale di Cybersicurezza 2022-2026, elaborata dall’ACN, definisce le priorità e gli investimenti italiani nel settore. E il Piano Triennale per l’informatica nella PA include esplicitamente la cybersicurezza tra le leve della trasformazione digitale pubblica. Insieme, questi strumenti delineano un quadro che per la prima volta attribuisce alla sicurezza informatica lo spessore di una politica pubblica strutturata, non di un mero adempimento tecnico.
Continuità del servizio e del dato come fondamenta verso la fiducia
C’è un aspetto della cybersecurity che spesso viene sottovalutato nel dibattito pubblico, pur essendo tra quelli più direttamente percepibili dai cittadini: la continuità del servizio. Non si tratta solo di evitare che i dati vengano rubati o che i sistemi vengano compromessi, ma di garantire che i servizi pubblici digitali siano disponibili quando servono: quando un cittadino deve rinnovare un documento, accedere ai propri referti medici, verificare una posizione previdenziale, pagare un tributo in scadenza, presentare una domanda di contributo.
La continuità operativa non è un concetto astratto, è la traduzione pratica della promessa implicita che ogni servizio pubblico digitale fa al proprio utente, che può essere mantenuta solo se l’amministrazione ha investito in ridondanza delle infrastrutture, in sistemi di backup e ripristino, in architetture che tollerano i guasti senza collassare, in piani di disaster recovery aggiornati e testati periodicamente. Nella PA italiana, questo tipo di investimento è stato storicamente diseguale: alcune grandi amministrazioni centrali hanno sviluppato capacità sofisticate, mentre moltissimi enti locali operano ancora con infrastrutture fragili, scarsamente ridondanti e prive di piani di continuità strutturati.
Un tema strettamente connesso è quello della continuità del dato. La disponibilità di un servizio non vale nulla se i dati su cui quel servizio si basa sono stati alterati, persi o resi inaccessibili. La data integrity è uno dei principi fondamentali della sicurezza informatica, ma nella PA assume una dimensione ulteriore: i dati pubblici non sono solo asset informatici, sono registri di diritti, posizioni giuridiche, identità, storie amministrative. Un dato alterato non è solo un errore tecnico: è potenzialmente un falso, un atto lesivo di diritti, una compromissione della certezza giuridica.
Per questo la gestione della continuità del dato richiede, oltre ai consueti strumenti di backup e replica, anche meccanismi di verifica dell’integrità, controlli di coerenza, log di audit che consentano di ricostruire la storia di ogni modifica, e procedure di ripristino che garantiscano la correttezza e la tracciabilità dei dati ripristinati. In un’amministrazione che ambisce alla qualità del dato come fondamento della personalizzazione dei servizi e dell’efficienza amministrativa, la sicurezza non è solo protezione: è garanzia epistemica. Senza di essa, il dato pubblico smette di essere affidabile.
Sicurezza informatica, usabilità e accesso ai servizi digitali
Una delle obiezioni più frequenti che si incontrano quando si parla di cybersecurity nella PA è che la sicurezza si paga in termini di usabilità: più si aumentano i livelli di protezione, più si complica l’accesso per l’utente. Autenticazioni a più fattori, password complesse, sessioni brevi, verifica dell’identità: tutto questo rende il sistema più sicuro, ma anche più faticoso da usare. Il rischio è che la sicurezza diventi una barriera, soprattutto per le fasce di utenza meno digitalizzata.
Il problema è reale, ma l’alternativa non è rinunciare alla sicurezza per favorire l’accesso. L’alternativa è progettare la sicurezza in modo intelligente, mettendo al centro l’esperienza dell’utente. Il principio del security by design, spesso evocato nel dibattito tecnico, ha una diretta implicazione per il design dei servizi: la sicurezza deve essere incorporata nel flusso dell’esperienza utente in modo che sia efficace senza essere percepita come ostacolo. Un esempio paradigmatico, in Italia, è quello di SPID e della CIE (Carta d’Identità Elettronica).
Formazione, cultura e leadership: il fattore umano al centro della sicurezza
Nella stragrande maggioranza dei casi si può osservare come il vettore iniziale di un attacco è il fattore umano. Phishing, social engineering, credenziali compromesse, errori di configurazione, comportamenti incauti: l’elemento umano rimane la principale superficie di attacco, indipendentemente dalla sofisticazione delle tecnologie di difesa adottate.
Il rischio che si corre, specie nel pubblico, è quello di una formazione sulla cybersicurezza ridotta a moduli e-learning generici, completati una volta l’anno per adempiere a un obbligo formale; questo approccio non produce risultati apprezzabili, perché la formazione diventa efficace solo se contestualizzata, continua e differenziata per ruolo.
L’ACN ha pubblicato nel 2023 il Quadro Nazionale per la Cybersicurezza e la Protezione dei Dati, che include specifiche indicazioni per la formazione e la sensibilizzazione degli operatori pubblici; il quadro si allinea al NIST Cybersecurity Framework, ormai standard internazionale di riferimento, e introduce una struttura di competenze differenziata che può essere utilizzata dalle amministrazioni per progettare percorsi formativi adeguati.
Un altro aspetto spesso trascurato è la comunicazione interna sulla sicurezza; occorre costruire un ambiente di lavoro in cui le persone si sentono incoraggiate a segnalare anomalie, a fare domande, a esprimere dubbi senza timore di essere giudicate incompetenti. In molte organizzazioni, il timore di fare brutta figura impedisce la segnalazione tempestiva di incidenti o comportamenti sospetti, con conseguenze ben peggiori, e riuscire a porre un clima psicologicamente sicuro attorno alla sicurezza informatica è un compito di leadership, prima ancora che un compito tecnico.
Proprio per questo la formazione della dirigenza pubblica sulla cybersicurezza deve diventare un investimento sistematico.
Il cittadino al centro: fiducia come esito di un’esperienza
Tutto ciò che abbiamo analizzato porta ad una questione di prospettiva: nella maggior parte dei dibattiti tecnici e normativi sulla cybersecurity, il punto di osservazione è quello dell’organizzazione, cosa fare per ottenere protezione dei sistemi, certificazioni, come adempiere agli obblighi normativi; esiste però un’altra prospettiva altrettanto importante, che nel dibattito pubblico rimane spesso sullo sfondo: quella del cittadino.
Il cittadino non vede le architetture di sicurezza, non legge i report di audit, non conosce le policy di gestione degli incidenti. Il cittadino di fatto accedendo ed utilizzando i sistemi e le piattaforme della PA vive un’esperienza; da questa esperienza, cumulata nel tempo e condivisa con altri, emerge un giudizio, sull’affidabilità o meno dei sistemi utilizzati, da cui deriva appunto la fiducia verso l’ente e il giudizio sulla gestione del digitale nella PA italiana.
La fiducia digitale, in questo senso, non è un concetto astratto, è il risultato aggregato di milioni di esperienze individuali, ognuna delle quali è influenzata dalla qualità tecnica dei sistemi, dalla chiarezza dell’interfaccia, dalla velocità del servizio, dalla correttezza della gestione dei dati, dalla risposta in caso di problemi. La cybersecurity, nella sua accezione più ampia, contribuisce a tutte queste dimensioni.
Di fatto un sistema sicuro è anche un sistema affidabile, disponibile, integro, tracciabile, ovvero la sicurezza non rimane separata dalla qualità del servizio ma ne è una componente costitutiva.
Il Digital Economy and Society Index (DESI) della Commissione Europea misura ogni anno il grado di digitalizzazione degli stati membri, includendo indicatori specifici sulla fiducia digitale dei cittadini. I dati degli ultimi anni mostrano un miglioramento progressivo dell’Italia, ma anche una persistente distanza rispetto ai paesi più avanzati (Estonia, Finlandia, Danimarca, Paesi Bassi) proprio nelle dimensioni legate alla fiducia e alla sicurezza. Colmare questo gap non è solo una questione tecnica: è una questione di maturità istituzionale complessiva.
Aumentare la fiducia dei cittadini verso il digitale pubblico richiede un approccio integrato. Uno dei punti, forse il più ovvio, è investire in tecnologie sicure, attività necessaria ma non sufficiente; occorre, come abbiamo visto, anche semplificare l’accesso, garantire la continuità dei servizi, formare il personale, comunicare in modo trasparente, progettare con il principio del security by design, presidiare la supply chain, formare la dirigenza, adempiere con sostanza (non solo con forma) agli obblighi della NIS2. Ognuno di questi elementi contribuisce a costruire l’esperienza di un cittadino che, accedendo a un portale pubblico, non deve chiedersi più se i propri dati siano al sicuro o meno, perché l’amministrazione ha meritato la sua fiducia.
Frammentazione della PA e capacità cyber degli enti locali
Uno degli aspetti più critici della cybersecurity nella PA italiana, nell’ottica della costruzione di un rapporto di fiducia con i cittadini, è la sua frammentazione strutturale; il sistema delle autonomie locali conta oltre 7.900 Comuni, più di cento Province e Città metropolitane, numerose Comunità montane, Unioni di Comuni, Regioni e migliaia di enti strumentali. Ognuno di questi soggetti è, almeno in teoria, responsabile della sicurezza dei propri sistemi informatici, ognuno con dimensioni, risorse, competenze e livelli di maturità digitale molto diversi.
Per un grande Comune o una Regione strutturata, l’investimento in cybersecurity è un costo gestibile all’interno di bilanci significativi, mentre per un Comune di mille abitanti, con un ufficio tecnico di due persone e un budget informatico di poche decine di migliaia di euro, il quadro è radicalmente diverso. Eppure, anche quel piccolo Comune gestisce dati sensibili, eroga servizi ai cittadini, è connesso alle reti nazionali, è soggetto agli obblighi normativi. E può essere, paradossalmente, un bersaglio appetibile proprio perché è percepito come meno protetto.
La risposta strutturale a questo problema non può essere chiedere a ogni piccolo ente di costruire autonomamente una propria capacità cyber, ma occorre passare per l’aggregazione, la condivisione di servizi e competenze, la centralizzazione controllata. Il modello dei Centri di Competenza Territoriali previsto dalla Strategia Nazionale di Cybersicurezza, la centralizzazione di alcune funzioni di sicurezza a livello regionale, l’offerta di servizi SOC condivisi da parte di soggetti aggregatori: sono tutti percorsi che vanno nella direzione giusta.
Un modello interessante a livello internazionale è quello dei Centri di Condivisione e Analisi delle Informazioni (ISAC, Information Sharing and Analysis Centers), presenti in diversi paesi per settori specifici (sanità, energia, trasporti, finanza). In Italia esistono esperienze in alcuni settori regolati (in particolare bancario e finanziario, grazie al CERTFin), ma il modello è ancora scarsamente diffuso nella PA. Creare meccanismi strutturati di condivisione delle informazioni sulle minacce tra enti pubblici consentirebbe di moltiplicare la capacità difensiva di ogni singola organizzazione senza che ognuna debba sostenere da sola il costo della conoscenza. La distanza tra ciò che la normativa richiede e ciò che molte amministrazioni sono oggi in grado di fare è ancora significativa. La carenza di competenze cyber nella PA è un dato strutturale che richiede anni di investimento per essere colmato. La frammentazione del sistema delle autonomie locali genera diseconomie e vulnerabilità che non possono essere risolte con strumenti puramente normativi. La cultura della sicurezza, dentro e fuori le amministrazioni, è ancora largamente insufficiente.
Fiducia digitale e qualità democratica
Il percorso da compiere, però, non è solo tecnico o normativo, ma prima di tutto culturale; richiede che la cybersecurity cessi di essere vissuta come un mero adempimento con costi necessari da sopportare e inizi a essere percepita come una componente della qualità istituzionale, un fattore di competitività del sistema paese, una garanzia per i diritti dei cittadini.
La fiducia digitale diventa, in questo contesto, il risultato concreto di un’amministrazione virtuosa, come la forma più moderna di qualità democratica.
Un’amministrazione sicura è un’amministrazione che può permettersi di essere aperta, digitale, interconnessa, capace di offrire servizi personalizzati e proattivi, in cui la sicurezza non chiude ma abilita, proteggendo non solo i sistemi ma soprattutto la relazione tra lo Stato e i suoi cittadini.
Partecipa alla community