In tutti gli ambiti in cui si discute la digitalizzazione di un Paese nei vari settori (privati e pubblici) l’attenzione è spesso posta sull’adozione di tecnologie digitali nei vari processi e servizi, e sul grado di successo che tali processi e servizi digitalizzati riscuotono presso i vari attori coinvolti (personale di aziende private, funzionari pubblici, cittadini in generale).
I 5 pilastri della digitalizzazione: una panoramica completa
In realtà, il processo di digitalizzazione di un sistema Paese poggia su alcuni pilastri fondamentali, e andrebbe valutato in un quadro complessivo.
L’adozione e l’uso delle tecnologie digitali da parte degli utenti finali
Il primo pilastro è ovviamente l’adozione e l’uso delle tecnologie digitali da parte degli utenti finali (nei vari settori economici, nella pubblica amministrazione, etc.). Questa digitalizzazione abbraccia un ampio ventaglio di processi: interni, di filiera (B2B) e nei rapporti (servizi) con i consumatori e cittadini. Per questo motivo, è importante che l’adozione sia quanto più completa e pervasiva possibile, e implica una serie di problematiche legate all’”alfabetizzazione digitale” di massa.
I motori che sostengono la digitalizzazione
Il secondo pilastro è costituito dai motori (infrastrutture, piattaforme e servizi abilitanti) che sostengono questa digitalizzazione, ovvero, dal basso verso l’alto, quali: la connettività, ovvero le reti fisse, radiomobili o non-terrestri, a larga banda o meno, che sono necessarie a garantire i flussi di dati; le piattaforme su cui girano i servizi digitali, per es. i servizi cloud o edge per il computing e lo storage; i servizi di AI, che sottostanno a un numero crescente di servizi digitali.
Le tecnologie hardware e software
Un terzo pilastro è l’universo di tecnologie hardware e software che costituiscono il pilastro precedente: i vari dispositivi, sia attivi che passivi, che costituiscono l’architettura di rete necessaria a implementare la connettività; i sistemi IT che compongono i datacenter (dai grossi centri di calcolo, fino ai singoli edge PoP, ai singoli device nell’extreme edge) che realizzano i servizi cloud.
Il livello di servizio digitale vero e proprio
Col quarto pilastro si sposta il focus sul livello di servizio digitale vero e proprio, e qui emerge il vasto mondo di tecnologie (hardware e software) e servizi che lo compongono. In primis, il software che implementa il servizio digitale vero e proprio, sia di backend che di frontend. Poi i terminali su cui vengono fruiti i servizi digitali (PC, laptop, dispositivi tablet o smartphone, etc.) e i dispositivi che generano o che ricevono i dati costituenti un servizio digitale, quali sensori e attuatori di svariata natura; dai più semplici sensori, fino ai sistemi più complessi (p.es. droni e robot); in generale, tutti i dispositivi IoT che possono essere coinvolti in un complesso di servizi digitali. Infine i modelli, gli algoritmi e le piattaforme di elaborazione dati (incluso quelli AI).
I dati
Infine il quinto pilastro porta un elemento che potrebbe appartenere al pilastro precedente, ma che è utile considerare e far risaltare separatamente: i dati. Qualsiasi sia il livello di complessità degli algoritmi di elaborazione dati impiegati nella realizzazione dei servizi digitali (AI inclusa), i dataset costituiscono un patrimonio fondamentale per una vera sovranità nell’esercizio della digitalizzazione.

Figura 1 – I pilastri della digitalizzazione
La sovranità digitale: confronti tra paesi
Il pilastro 1 rappresenta il risultato finale nella digitalizzazione di un Paese, e poggia sugli altri 4 per la propria realizzazione. Mentre è inevitabile che i vari settori oggetto di digitalizzazione siano pienamente coinvolti nel pilastro 1, il contributo e il ruolo del sistema Paese relativamente agli altri pilastri possono attestarsi su vari livelli di sovranità tecnologica. In altre parole, un Paese può intraprendere un percorso di digitalizzazione con un successo e una padronanza più o meno spiccati in ciascuno dei pilastri che ne costituiscono le fondamenta.
In un primo esempio (A), un Paese può raggiungere un livello molto avanzato di digitalizzazione dei propri settori industriali e pubblica amministrazione, e un ampio grado di utilizzo da parte di tutti gli attori coinvolti (inclusi i cittadini), ma senza una propria sovranità e indipendenza nelle sottostanti infrastrutture e servizi (per es. servizi di rete e cloud forniti da operatori fuori dal proprio controllo nazionale), senza una propria manifattura digitale a costituire queste infrastrutture e servizi, senza il software che implementa la logica dei propri servizi digitali, e senza la proprietà e il controllo dei dati che alimentano la parte di AI.
In un secondo esempio (B), un Paese può raggiungere un livello di digitalizzazione pubblica e privata inferiore, ma basata su alcune infrastrutture e servizi erogati da operatori e service provider nazionali (o su cui può comunque esercitare la propria sovranità), con la capacità di produrre alcune delle tecnologie usate in queste infrastrutture e servizi (in particolare, il software che realizza i servizi digitali), e mantenendo la proprietà di alcuni dei dataset fondamentali per l’addestramento dei modelli AI alla base dei servizi.
È evidente che il Paese dell’esempio A raggiunge un livello di “digitalizzazione” molto più superficiale del Paese dell’esempio B. Certamente il Paese A è temporaneamente più avanti nella pervasività dei propri servizi digitali, ma è un vantaggio labile. Il Paese B ha dei fondamentali migliori, generati da un miglior “sistema industriale digitale”: ha dei provider tecnologici in grado di produrre l’hardware e software necessari per costruire (almeno in parte) le infrastrutture e le piattaforme di base, e magari anche i dispositivi (IoT o terminali); ha le aziende che possono sviluppare il software (e magari i modelli AI) che implementa la logica dei servizi digitali di cui ha bisogno. Infine, la proprietà dei dati alla base della propria digitalizzazione ricade nei propri confini nazionali. Di conseguenza, ha la capacità di colmare in breve tempo il gap nell’adozione dei servizi digitali che lo separa dal paese A. E tutto poggia su basi più solide.
La sfida europea della sovranità digitale
Ovviamente, in un quadro mondiale dove alcune infrastrutture, moltissimi servizi/piattaforme, tanti (troppi) dataset, e la fornitura di tecnologie hardware e software sono nelle mani di pochi player globali, è difficile per un singolo paese europeo mantenere la propria sovranità e la non-dipendenza. Anzi, ciò è difficile per l’intero sistema Europa.
Però, e a maggior ragione, lo sforzo verso la digitalizzazione (intesa ora soltanto come pilastro 1, ovvero l’adozione di tecnologie e processi digitali) è un’opportunità unica per ricostruire e consolidare le “fondamenta digitali” del paese.
Per far questo, è necessario distinguere attentamente tra settori ormai completamente persi (p.es. i servizi cloud) e aree che è necessario continuare a presidiare per non perdere terreno (p.es. le infrastrutture di connettività, alcune tecnologie IoT, il software che implementa i servizi digitali, i dataset). E, come passo successivo, occorre profondere attenzione e investimenti in queste “aree digitali strategiche”, almeno pari a quelli devoluti per la digitalizzazione del paese.
Alcune delle sfide e opportunità per le aziende che producono tecnologie digitali.
Lo stato della manifattura digitale italiana
Nello sforzo verso la realizzazione del pilastro 1 (la vera e propria digitalizzazione), l’Italia, similmente a gran parte dei Paesi Europei, si trova in una situazione in cui ha ancora proprietà e sovranità su alcune infrastrutture (di connettività), mentre le ha perse quasi completamente su altre (p.es. servizi cloud); ha visto ridurre la propria capacità di produrre le tecnologie alla base di queste infrastrutture e servizi (apparati di rete, sistemi IT, dispositivi IoT); ma ha una “manifattura digitale” (costituita da aziende grandi, medio/piccole e micro) che ancora la forza di realizzare sistemi e servizi digitali complessi, soprattutto per quanto riguarda la parte software. Infine, l’Italia è impegnata, a livello nazionale ed europeo, a costituire dei dataset di dominio (industria, agricoltura, salute, energia, geospaziale, etc.) su cui poter fondare un addestramento indipendente dei modelli di AI impiegati nei propri servizi digitali.
L’evoluzione delle sfide di sicurezza
L’espansione dell’attenzione verso il digitale e le sue applicazioni è sicuramente un’opportunità per le aziende che già da anni producono tecnologie digitali. Ma può anche portare una serie di rischi e ostacoli per il loro business, soprattutto nel caso delle aziende più piccole.
Quando le tecnologie e i servizi digitali (in riferimento al pilastro 4) e i relativi dataset (pilastro 5) vengono applicati su larghissima scala, e in modo pervasivo nei meccanismi dei vari settori privati e pubblici di un Paese, le problematiche a loro connaturate scalano a livelli di criticità e complessità completamente diversi rispetto al passato.
Un esempio (e un aspetto fondamentale) è costituito dalla sicurezza nell’uso delle tecnologie digitali. Negli ultimi due decenni, la nascita di una vastissima gamma di dispositivi eterogenei (p.es. smartphone, IoT), con grande capacità computazionale (e, quindi, molto intelligenti), e complessi dal punto di vista software, ha trasferito le problematiche della sicurezza digitale fuori dal ristretto perimetro informatico, per esempio del PC collegato a una rete aziendale o domestica (per giunta con scarsa banda). Questa diffusione pervasiva di “oggetti su cui gira del software” ha ampliato le possibilità e le modalità di attacco digitale, e i relativi premi in palio (hackerare un PC permette l’accesso e il blocco di una serie di contenuti digitali, hackerare una linea di produzione consente l’accesso e il blocco di risorse anche fisiche, magari con una remunerazione completamente diversa).
Il quadro normativo europeo
Quanto più un sistema Paese diventa digitale, tante più porte e finestre si aprono a potenziali rischi, e le problematiche relative alla sicurezza cyber-fisica devono ricevere la necessaria attenzione, anche normativa. Uno degli elementi fondamentali di un mondo digitale è il software, il cui ciclo di vita, dai requisiti iniziali alla dismissione finale, è regolato da pratiche e processi abbastanza laschi e variegati, in cui la sicurezza dei prodotti software è spesso regolata da best-practice e standard, piuttosto che da normative ben precise.
Negli ultimi anni l’Europa, e gli Stati Membri a supporto, si sono impegnati a creare un sistema di norme e direttive utile a ridurre i rischi e incrementare la sicurezza di sistemi e servizi digitali, dal singolo elemento o dispositivo, fino alle architetture più complesse. In questo quadro, alcuni ingredienti fondamentali hanno preso o stanno prendendo corpo: un’agenzia europea dedicata alla sicurezza di tutto ciò che ruota intorno al digitale (ENISA – European Union Agency for Cybersecurity), il concetto di un “marchio” di sicurezza digitale (EUCC – EU Cybersecurity Certification), e un’attenzione sempre maggiore alla sicurezza della filiera digitale (supply chain security), che è un aspetto fondamentale di fronte alla complessità ed eterogeneità dei sistemi digitali.
Impatto delle normative sulle PMI digitali
In questo quadro, l’azienda (per esempio medio-piccola) che sviluppa da anni un sistema software (magari integrando prodotti di terze parti, magari open source), pur con una consolidata attenzione a utilizzare pratiche e specifiche tecniche che conferiscano robustezza al proprio prodotto nel caso di attacco informatico, si trova di fronte a un impegno normativo inusitato. E, in certi casi, senza la capacità di poter scalare verso l’adozione delle pratiche previste.
Un recente esempio è costituito dal recepimento della direttiva NIS2, la quale ha un impatto diretto su tutta una serie di servizi e infrastrutture critiche a livello nazionale ed europeo (reti di distribuzione di acqua, luce, gas, reti di trasporto, reti e servizi digitali, etc.). Come tale, riguarderà un ampio numero di soggetti gestori di queste infrastrutture e servizi (le cosidette “relevant entities”). Ma tutto ciò ha anche un impatto indiretto. Tra i vari obblighi, la direttiva e il suo regolamento implementativo (2024/2690) introducono il controllo della sicurezza della supply chain, e la delegano ai soggetti gestori delle infrastrutture critiche sopra citati. Essi dovranno assicurarsi che i prodotti/servizi digitali acquistati (che andranno a costituire le infrastrutture critiche) raggiungano un “certo” livello di protezione in termini di cyber-sicurezza, e potranno adottare una serie di criteri nella scelta, contrattazione e controllo (delle policy, dei processi e perfino del background dei dipendenti) dei propri fornitori diretti.
Questo quadro di fatto anticipa la finalità della certificazione della cyber-sicurezza di prodotti e servizi digitali (che attualmente è ancora su base volontaria), e sbilancia pericolosamente la leva della contrattazione di filiera nelle mani dei suddetti gestori “relevant entities”. Ciò introduce una serie di situazioni critiche nel caso in cui lo sbilanciamento non sia gestibile; per esempio gestori di dimensioni medio-piccole nei confronti di fornitori diretti di grandi dimensioni, e il caso diametralmente opposto.
Oltre alla necessità di non delegare completamente la digital supply chain security nelle mani (e all’arbitrarietà) di alcuni soggetti della filiera, c’è un altro aspetto da considerare: la tempistica.
La normativa per il controllo della cyber-sicurezza delle infrastrutture critiche è già in vigore nei vari stati membri, ma occorre dare il tempo alle varie aziende che “producono digitale”, magari già da anni nella filiera delle varie infrastrutture e servizi critici, di re-ingegnerizzare (o, in certi casi, ricostruire completamente) i propri prodotti digitali, e forse anche la propria forza lavoro, per soddisfare i criteri che la direttiva permette ai gestori “critici” di esercitare.
Questo processo di riorganizzazione è tanto più critico quanto più piccola è la dimensione dell’azienda. Ovviamente, è auspicabile che le aziende produttrici di digitale, seppur medio-piccole, abbiamo seguito l’avanzamento dei lavori normativi verso la certificazione EUCC, e stiano adottando, o consolidando l’utilizzo, di alcune delle best practice di cyber-sicurezza nella realizzazione dei propri prodotti (nelle varie fasi di definizione dei requisiti, design, sviluppo software, validazione, configurazione, maintenance correttiva ed evolutiva). Questo sarebbe un grosso punto di partenza, perché lo sforzo legislativo sta normando tutta una serie di pratiche che sono di buon senso nell’industria dei prodotti digitali.
Lo scenario in Italia
Pur in questo scenario, questa brusca accelerazione nel controllo della digital supply chain security rischia di trovare moltissimi fornitori medio-piccoli impreparati a soddisfare i nuovi criteri e requisiti, e creare dei gap di filiera che verranno inevitabilmente colmati da fornitori più grandi e meglio strutturati. Questo è tanto più applicabile al caso di un paese come l’Italia, che ha una composizione della propria manifattura (digitale inclusa) ancor più sbilanciata verso le imprese medio-piccole rispetto alla media europea, e che potrebbe vedere un certo numero di proprie aziende produttrici di sistemi digitali rimpiazzate da altre, magari basate in altri Paesi.
In questo quadro, l’Italia perderebbe terreno in uno dei pilastri fondamentali per la realizzazione della propria digitalizzazione, e l’azione strategica auspicabile è lavorare per un’adozione progressiva e ben informata delle direttive (assolutamente necessarie), in modo da minimizzare l’impatto sulla filiera digitale del Paese. Per contro, questa è anche una grande opportunità per guadagnare terreno, almeno a livello europeo, nel mercato dei sistemi e servizi digitali: una manifattura digitale interna che riesce a tenere il passo con le più recenti e vincolanti normative potrebbe aprire alle aziende italiane degli spazi di mercato nella filiera digitale europea resi vacanti da aziende di altri paesi.