La Strategia nazionale di cybersicurezza 2025–2027 rappresenta la continuità e l’evoluzione della politica italiana in materia di sicurezza digitale. Il DPCM pubblicato in Gazzetta Ufficiale stabilisce la ripartizione delle risorse tra le amministrazioni coinvolte e definisce il sistema di governance che coordinerà circa 300 interventi per la protezione digitale del Paese.
Indice degli argomenti
Composizione e origine delle risorse per il triennio
Il Decreto del Presidente del Consiglio dei ministri del 4 luglio 2025, che disciplina la ripartizione dei fondi destinati all’attuazione della Strategia nazionale di cybersicurezza per il triennio 2025–2027 è stato pubblicato nella Gazzetta Ufficiale n. 227 del 30 settembre 2025. Il provvedimento, firmato dal Sottosegretario di Stato Alfredo Mantovano per delega del Presidente del Consiglio, entra in vigore il giorno successivo alla pubblicazione ed è stato registrato alla Corte dei conti il 16 settembre 2025.
Il decreto assegna circa 58 milioni di euro alle amministrazioni individuate dal Piano di implementazione della Strategia nazionale di cybersicurezza 2022–2026, approvato con DPCM del 17 maggio 2022 e coordinato dall’Agenzia per la Cybersicurezza Nazionale (ACN).
Le risorse derivano dai due strumenti finanziari istituiti dall’articolo 1, comma 899, della legge 29 dicembre 2022, n. 197:
- il Fondo per l’attuazione della Strategia nazionale di cybersicurezza, che sostiene investimenti per l’autonomia tecnologica e la sicurezza dei sistemi informativi nazionali
- il Fondo per la gestione della cybersicurezza, destinato a coprire le attività operative legate ai progetti.
Questi fondi, insieme alle risorse del PNRR e dei bilanci ordinari delle amministrazioni coinvolte, rappresentano uno dei principali canali di finanziamento per l’innalzamento della resilienza digitale del Paese. Il DPCM specifica che, per il triennio in corso, la copertura finanziaria sarà garantita da tre componenti: 13.171.591 euro provenienti dai residui 2024 del Fondo per l’attuazione della Strategia, 37.419.528 euro a valere sulle annualità 2025–2027 dello stesso Fondo e 7.030.960 euro dal Fondo per la gestione della cybersicurezza, nei limiti delle disponibilità di bilancio per gli anni 2025 e 2026. Le somme sono vincolate alla realizzazione degli interventi individuati dal Piano di implementazione e destinate alle amministrazioni centrali e territoriali indicate negli allegati al decreto.
Il modello di assegnazione e il ruolo dell’agenzia
La ripartizione delle risorse, definita negli articoli 1 e 2, si basa sulla rilevazione dei fabbisogni finanziari effettuata dall’Agenzia per la Cybersicurezza Nazionale, in collaborazione con le amministrazioni responsabili delle diverse misure. L’assegnazione tiene conto della rilevanza degli interventi rispetto alla cybersicurezza nazionale, della loro complessità e coerenza con gli obiettivi strategici.
La Ragioneria generale dello Stato provvede, con proprio decreto, alle necessarie variazioni di bilancio per il riparto tra le amministrazioni, mentre l’Agenzia mantiene un ruolo di indirizzo e coordinamento delle fasi attuative.
Monitoraggio, rendicontazione e tracciabilità degli interventi
Il cuore operativo del decreto è rappresentato dall’articolo 3, che formalizza il compito dell’Agenzia per la Cybersicurezza Nazionale di indirizzare, coordinare e monitorare l’attuazione del Piano su base periodica.
Le amministrazioni coinvolte devono comunicare all’Agenzia l’esito delle azioni realizzate, l’andamento della spesa e le eventuali criticità, secondo modalità definite nelle Linee guida di monitoraggio elaborate dall’Agenzia a seguito del DPCM del 9 agosto 2023. Le linee guida disciplinano anche le procedure di rendicontazione e i casi di revoca delle risorse, in attuazione di quanto previsto dall’articolo 1, comma 901, della legge 197/2022. Tutti gli interventi finanziati devono essere tracciabili mediante codice unico di progetto (CUP) e codice identificativo di gara (CIG), che devono comparire nelle fatture elettroniche e nei mandati di pagamento.
Impatto strategico e dimensione industriale della cybersicurezza
Gli obiettivi del DPCM si collocano nel quadro più ampio della Strategia nazionale di cybersicurezza 2022–2026, che mira a rafforzare la capacità di prevenzione, protezione e risposta agli attacchi informatici, consolidare le difese delle infrastrutture critiche e promuovere la crescita di un ecosistema industriale cyber nazionale. Gli interventi, circa 300 in corso di realizzazione, coinvolgono pubbliche amministrazioni centrali, autorità indipendenti, regioni e province autonome, generando effetti positivi anche per le imprese e i cittadini. La Strategia, così sostenuta, non si limita a garantire la sicurezza dei sistemi digitali, ma costituisce anche uno strumento di politica industriale orientato alla modernizzazione tecnologica del Paese.
Governance e prospettive della politica cyber nazionale
Nel suo insieme, il DPCM del 4 luglio 2025 traduce in termini operativi la continuità della politica nazionale in materia di cybersicurezza, con un sistema di governance che unisce pianificazione strategica, controllo finanziario e monitoraggio costante. L’Agenzia per la Cybersicurezza Nazionale assume un ruolo centrale nella gestione delle risorse e nel coordinamento delle amministrazioni, mentre la tracciabilità della spesa e la possibilità di revoca e riassegnazione delle somme garantiscono trasparenza e efficienza. In questa cornice, i nuovi fondi rappresentano un tassello essenziale per la resilienza digitale dell’Italia e per il rafforzamento della sua sovranità tecnologica.
