Le prospettive strategiche della ricerca e dell’innovazione tecnologica rivestono oggi particolare interesse perché su di esse si basa ogni previsione per lo sviluppo dell’economia a livello globale.
Nel campo della cyber security, l’andamento futuro di due capisaldi quali il progresso scientifico e le sue applicazioni non è facilmente prevedibile; la velocità di implementazione delle tecnologie legate all’intelligenza artificiale è già talmente elevata da confondere spesso il quadro che ci troviamo davanti.
Indice degli argomenti
Ricerca e innovazione nella cybersicurezza: l’aggiornamento 2026 di ACN
L’Agenda di Ricerca e Innovazione per la cybersicurezza – Aggiornamento 2026 si colloca come un passaggio rilevante nel confronto tra Istituzioni, mondo della ricerca e comparto privato sulla capacità nazionale cyber.
Nel corso della presentazione è stato sottolineato quanto i contenuti dell’Agenda siano strategici per rafforzare l’intero ambito della ricerca e dell’innovazione, anche in ragione del loro stretto legame con gli orientamenti del Ministero dell’Università e della Ricerca sugli stessi temi.
L’Agenda di Ricerca e Innovazione, successivamente aggiornata, era stata emanata nel 2023 e conteneva indicazioni valide fino al 2026.
Quel documento rappresentava il lavoro congiunto di ACN e del Ministero dell’Università e della Ricerca; l’obiettivo era individuare, stimolare e gestire linee di sviluppo della ricerca e dell’innovazione utili a sostenere il lavoro di amministrazioni pubbliche, di imprese e consorzi privati, e delle Università.
Le aree dell’Agenda e i temi prioritari della ricerca cyber
Interessanti si rivelano le 6 aree interdisciplinari che ne caratterizzano l’asse portante: sicurezza dei dati e privacy; gestione delle minacce cibernetiche; sicurezza del software e delle piattaforme; sicurezza delle infrastrutture digitali; aspetti della società; aspetti di governo.
Il documento si sviluppa poi in 18 subaree e 61 argomenti prioritari; un ulteriore approfondimento è trattato in altri 32 argomenti sottoprioritari.
Perché era necessario uno strumento come l’Agenda di ricerca? Era necessario un tale tipo di supporto, peraltro da aggiornarsi periodicamente a motivo del veloce processo di innovazione tecnologica nel campo della cybersecurity, se si voleva realmente perseguire l’obiettivo ritenuto di primaria importanza a livello nazionale: rendere e mantenere il Paese un posto cyber-sicuro per la società.
Questo obiettivo, declinato in diverse attività opportunamente motivate e definite, è l’oggetto principale della Strategia Nazionale 2022-2026 di ACN.
Strategia nazionale, misure operative e priorità di sistema
In particolare, per quanto riguarda il sostegno alla ricerca e all’innovazione tecnologica, obiettivo da realizzarsi per il tramite della collaborazione tra pubblico e privato, nella Strategia nazionale-Piano di Implementazione, vi sono tre misure specifiche che individuano le azioni indispensabili da mettere in campo, la Misura #53, la Misura #54 e la Misura #81.
Le misure #53, #54 e #81
La Misura #53 ha il seguente testo: “Promuovere ogni iniziativa utile volta al rafforzamento dell’autonomia industriale e tecnologica dell’Italia, riguardo a prodotti e processi informatici di rilevanza strategica e a tutela degli interessi nazionali nel settore, anche valorizzando lo sviluppo di algoritmi proprietari nonché la ricerca e il conseguimento di nuove capacità crittografiche nazionali”.
La Misura #54 vuole precisamente “Favorire la ricerca e lo sviluppo, specialmente nelle nuove tecnologie, promuovendo l’inclusione dei principi di cybersicurezza e supportando, anche mediante finanziamenti, investimenti pubblici e privati e meccanismi di semplificazione, progetti di sicurezza cibernetica da parte del settore privato – con particolare riferimento alle startup e alle PMI innovative – e dei Centri di competenza e di ricerca attivi sul territorio nazionale”.
La Misura #81, inoltre, ambisce a “Contribuire attivamente, in ambito di Unione europea, all’individuazione delle priorità di ricerca e sviluppo per traguardare l’obiettivo dell’autonomia tecnologica UE in ambito digitale”.
Ricerca e innovazione nella cybersicurezza tra governance e risultati attesi
L’Agenda di Ricerca e Innovazione, con il suo aggiornamento, si prefigge pertanto di governare le relative azioni a livello nazionale, con un’attenzione privilegiata alla promozione e alla valorizzazione dei risultati della ricerca condotta da ACN, unitamente allo sviluppo di politiche di R&I in ambito cyber.
Tra le azioni più significative avviate da ACN sul tema in oggetto, sicuramente vanno annoverate il programma annuale di finanziamento di borse di dottorato di ricerca, inaugurato nel 2024, e il Cyber Innovation Network che sostiene la creazione e la crescita delle startup italiane.
Tale network, nei piani di ACN, è destinato a svilupparsi, come viene ricordato proprio nell’Agenda, con iniziative nei confronti di enti di ricerca particolarmente impegnati a valorizzare la ricerca applicata e a curare il trasferimento tecnologico di ciò che riescono a produrre.
L’aspetto più complesso di queste operazioni di ricerca legate all’innovazione tecnologica, che sono comunque varie e diffuse a livello nazionale, appare quindi quello di indirizzare le varie iniziative verso un unico obiettivo, affinché non si disperdano energie preziose e si realizzino autentici vantaggi per il comparto pubblico e per il settore privato.
L’Agenda presenta nel dettaglio i filoni di ricerca da seguire ma, poi, viene anche fatta una selezione tra le iniziative da sostenere meglio con idonei strumenti di incentivazione, al fine di identificare esigenze concrete e attuali in un panorama di studi e approfondimenti che invece devono coprire periodi medio-lunghi.
La suddivisione in aree, subaree e argomenti dell’Agenda tiene conto delle conoscenze acquisite in cybersecurity anche in relazione ai contenuti delle Strategie nazionale ed europea, ma anche di elementi noti a livello internazionale.
Con i sottoargomenti si vanno a precisare i temi critici o emergenti che devono essere studiati adeguatamente per capirne appieno gli sviluppi previsti.
Il quadro normativo e programmatico di riferimento
Le basi di studio dichiarate per costruire l’Agenda della Ricerca e dell’Innovazione sono il PNR (Piano Nazionale della Ricerca 2021-2027 del Ministero dell’Università e della Ricerca) per le priorità nazionali; per la valutazione delle questioni afferenti alla dimensione europea sono stati presi in considerazione la Direttiva NIS2, la Direttiva CER e il Regolamento Cyber Resilience Act.
Nel Piano Nazionale della Ricerca è trattato anche l’aspetto del finanziamento delle singole iniziative e il Piano stesso si pone come “l’architettura strategica che raccoglie e si propone di razionalizzare in un quadro coerente gli interventi del Paese sulla ricerca, rispettando l’autonomia degli attori che vi concorrono”.
Naturalmente per realizzare gli obiettivi delineati servono i fondi europei di Horizon Europe, i fondi nazionali e regionali che hanno caratteristiche strutturali e d’investimento (PON e POR) e i fondi di competenza del MUR.
Ricerca e innovazione nella cybersicurezza tra affidabilità e competitività
La necessità oggi molto sentita è di disporre di strumenti tecnologici sempre più avanzati ma che siano anche molto affidabili, tali da trasmettere ampia fiducia nel loro utilizzo.
Questa condizione, se realizzata, inciderà significativamente sull’efficacia di operazioni di contrasto ai cyber attacchi che ormai prendono di mira cittadini, pubbliche amministrazioni e imprese.
Soprattutto per le imprese, gli esiti di una ricerca di base e applicata potrebbero rafforzare le strategie di difesa e, con esse, il tasso di competitività.
Formazione, competenze e crescita del capitale umano cyber
Il PNR indica anche un’altra azione fondamentale per la crescita coordinata delle potenzialità del Paese, e cioè quella della formazione.
Iniziative in tal senso devono coinvolgere università e aziende per garantire una crescita adeguata alle sfide che in un settore come quello della cybersecurity sono particolarmente complesse a livello mondiale.
Comincia ad essere chiaro, tuttavia, quali siano le professionalità mancanti nel campo della cybersecurity anche se l’avvento esponenziale dell’intelligenza artificiale nelle nostre organizzazioni rimescola di continuo le carte.
Vengono infatti rapidamente a comparire nuove esigenze, spesso impreviste, mentre si conferma la scomparsa di vecchie competenze, come peraltro già in buona parte previsto.
Per l’alta formazione, tra le maggiori necessità rilevate si trovano i dottorati di ricerca che possono garantire, meglio di altre soluzioni, il trasferimento tecnologico e la modernizzazione di aziende e pubblica amministrazione.
La soluzione richiamata dal Piano Nazionale della Ricerca è quella riferita a Dottorati nazionali e anche internazionali, collegati in reti multidisciplinari che rendono possibile una formazione solida attraverso la ricerca che può “mettere a fattore comune le diverse competenze necessarie”.
È infatti indispensabile intervenire con il massimo della competenza e delle conoscenze sul tema della gestione integrata dei rischi di sistemi complessi e interdipendenti, dominare l’analisi dei dati, sempre più sfidante, conoscere le applicazioni di intelligenza artificiale e le metodologie di machine learning.
Secondo il PNR tali conoscenze vanno poi trasferite anche alla società civile; per questo si rendono indispensabili anche alte competenze in tema di comunicazione e disseminazione.
Perché la formazione cyber non è più rinviabile
L’Agenda per la ricerca ha voluto raccogliere tanti input per sostenere una crescita che non è più una possibile opzione, ma un obbligo che repentinamente si è abbattuto sui Paesi più evoluti con modalità sconosciute.
Non sembra infatti possibile percorrere oggi vie alternative a quella di assecondare lo sviluppo tecnologico con impegno e totale consapevolezza della rivoluzione in atto, implementando forme nuove di istruzione e formazione secondo i nuovi bisogni.
La lettura combinata del Piano nazionale della ricerca e dell’Agenda della Ricerca, evidenzia la grande attenzione che il Piano riserva alla cybersecurity e ai profili di questo ambito, profili che meritano ad oggi di essere indagati e definiti con appositi progetti di ricerca alla luce delle innovazioni già in essere e delle trasformazioni in procinto di realizzarsi.
Sulla base di questa considerazione si evince quanto stretta sia la collaborazione tra ACN e il Ministero della Ricerca.
La realizzazione degli obiettivi strategici individuati dall’Agenzia nella Strategia nazionale passa per gli strumenti riportati nel Piano nazionale della ricerca e l’Agenda non fa altro che ribadire il metodo di stretta relazione tra i due organismi, indicando le priorità fra tanti passi da compiere.
Scuola, cultura cyber e collaborazione istituzionale
Risale al 12 dicembre 2024 la firma di un protocollo d’intesa tra il Ministro dell’Istruzione e del Merito e il Direttore Generale di ACN Bruno Frattasi.
L’accordo siglato aveva come obiettivo, secondo quanto riportato dal comunicato stampa pubblicato sul sito di ACN, di “promuovere l’educazione informatica e cibernetica nelle scuole italiane di ogni ordine e grado”.
Tra le iniziative da realizzarsi per raggiungere l’obiettivo, indirizzate a studenti, insegnanti, genitori si trovano, fra tante, la diffusione della consapevolezza sui rischi nel mondo digitale e approfondimenti su tematiche quali l’accesso a contenuti inadeguati, le violazioni della privacy, la promozione di comportamenti sicuri nell’uso di dispositivi digitali.
Inoltre, altre iniziative sono orientate a costruire una cultura cyber, comprendendo quelle che riguardano i comportamenti legati alla cittadinanza digitale, la promozione della partecipazione ai percorsi di studio delle discipline STEM, la partecipazione a competizioni di sicurezza informatica oppure a varie attività formative.
Per gli insegnanti, in particolare, il protocollo prevede formazione continua.
Inoltre ACN e il Ministero prevedono di organizzare eventi formativi congiunti e altre attività per accrescere la consapevolezza di ogni componente del complesso sistema dell’istruzione.
Le scuole possono ricomprendere queste tematiche di sicurezza informatica nei Piani dell’Offerta Formativa, oggi sostituiti dai PTOF, Piani Triennali dell’Offerta Formativa.
In effetti si trovano in rete esempi di PTOF che mostrano sensibilità verso l’inclusione, e conseguentemente pongono in programmazione azioni contro il cyberbullismo e iniziative a favore dell’orientamento verso le tecnologie digitali e della promozione delle lauree STEM.
Riguardo questo processo si può esprimere solo un convinto parere positivo; ad oggi tuttavia preoccupa ancora, forse, l’aspetto della formazione permanente dei docenti.
La conoscenza delle tecnologie digitali e del funzionamento dei dispositivi con i quali molti giovanissimi hanno già dimestichezza, magari senza conoscere le fondamentali regole di cyber igiene, non si acquisisce con corsi vecchio stampo oppure non è assimilabile da docenti eventualmente privi di conoscenze di base.
L’eterogeneità del corpo docente può rappresentare un serio ostacolo a far crescere la cultura cyber fin dai tempi della scuola, così come per molti genitori la pericolosità di affrontare le nuove sfide digitali da parte dei figli può non essere percepita e valutata adeguatamente.
Occorrerà insistere con disposizioni che introducano nell’ordinamento scolastico sempre più elementi culturali, trasversalmente disseminati, per superare questo passaggio storico di difficoltà generazionali, purtroppo spesso foriere di grosse criticità e penalizzazioni di un equilibrato processo di maturazione dei più giovani.
Ricerca e innovazione nella cybersicurezza e partenariato pubblico-privato
In tema di ricerca e innovazione tecnologica, dopo aver visto alcune esperienze positive di collaborazioni tra Istituzioni pubbliche, non si può non riflettere su quanto sia indispensabile la collaborazione tra il comparto pubblico e quello privato.
Il principio di solidarietà e collaborazione fra i due mondi è stato acquisito in Italia fin dal primo Quadro Strategico Nazionale, risalente al 2013.
È stato così chiaro da subito che ci dovesse essere un dialogo stretto e proficuo tra le due componenti che, nella fase di avvio del CERT Nazionale per le imprese e i cittadini, presso l’ex Ministero dello Sviluppo Economico, fu accarezzata la possibilità di iniziare l’attività sulla base di una collaborazione fattiva pubblico-privato.
L’ipotesi non fu realizzata in quanto, all’epoca, era ancora molto forte la remora a condividere notizie e informazioni con altri possibili competitor in caso di attacco subito.
D’altronde, non c’era, nel 2014, ancora nessun obbligo di notifica e la Direttiva NIS stentava a vedere la luce.
La soluzione individuata fu pertanto quella di creare una struttura nella quale lavorasse solo personale della Pubblica Amministrazione.
Tuttavia, la percezione che quel tipo di collaborazione rappresentasse un valore aggiunto era davvero forte e, al riguardo, fu istituito, praticamente in contemporanea con l’avvio del CERT Nazionale, un Tavolo Tecnico Permanente che in pratica metteva insieme, a discutere dei primi problemi di sicurezza informatica, attori pubblici e privati.
I modelli europei e internazionali della cooperazione cyber
Il concetto di partenariato fu declinato in maniera significativa a livello europeo nel 2016, con la nascita di ECSO, European Cyber Security Organisation, che in pratica rappresentò il primo partenariato pubblico-privato in campo cyber.
La Commissione Europea era la parte pubblica, e un’associazione tra molte imprese private, grandi e medie specialmente, la parte privata.
In seno a quel partenariato, che comprese poi anche un’altra componente, quella dell’Accademia, si cominciò a dibattere, e l’attività continua ancora, temi strategici quali le minacce cyber, le certificazioni e molto altro.
Nel 2017 anche il World Economic Forum lanciò un’iniziativa di discussione, che divenne poi operativa, per il lancio di un Centro Cyber, effettivamente sorto di lì a poco.
Anche in quel caso discutevano insieme rappresentanti governativi, forze di polizia e soggetti privati anche di notevole rilievo, a livello globale.
Oggi, nella Strategia Nazionale cyber, la collaborazione pubblico-privato ha assunto una valenza di assoluto livello.
A questo scopo, l’ACN promuove la cooperazione effettiva fra settore pubblico, settore privato e Accademia come stabilito dalla Strategia Nazionale, per rafforzare la capacità nazionale di resistere ad attacchi informatici e costruire un sistema davvero resiliente.
Un partenariato che funzioni bene deve fondarsi sulla fiducia, sulla trasparenza, su una chiara definizione dei ruoli.
Su queste premesse prendono corpo spesso brillanti iniziative di formazione e preziose condivisioni di informazioni sulle minacce (ora la condivisione è assai più convinta).
Infine prosegue, anche in questo caso con una maggiore confidenza nella potenza dei risultati eventualmente raggiunti, l’esperienza delle esercitazioni cyber, che risale in Italia al 2010 ed ha visto molte edizioni successive con partecipazioni pubblico-private consistenti e particolarmente attive.
Talenti cyber e partnership per colmare il gap di competenze
È del maggio 2025 la pubblicazione di un white paper, dal titolo “Growing Cyber Talent Through Public–Private Partnerships”, sviluppato nell’ambito dell’iniziativa “Bridging the Cyber Skills Gap” del World Economic Forum.
Nel documento si discute della progettazione e dell’implementazione di un partenariato per lo sviluppo di talenti cyber.
Allo scopo, e con la consapevolezza delle difficoltà che in genere affliggono molti comparti su questo tema, vengono elencati tre capisaldi ritenuti fondamentali per stabilire un partenariato pubblico-privato di successo: selezionare i giusti partners, identificare obiettivi concreti e misurabili, garantire una gestione efficace del progetto.
Inoltre, e vale per questo progetto, la pubblicazione espone le diverse attività che possono essere condotte dal partenariato per attrarre talenti alla cybersecurity, istruire e formare professionisti cyber, assumerli e mantenerli.
Appare evidente, anche tramite questa esperienza, quanto potente sia lo strumento della cooperazione pubblico-privato su diversi fronti.
Non essere soli aiuta la risoluzione delle conseguenze di attacchi informatici particolarmente aggressivi, fa apprezzare la condivisione di casi già vissuti, il know how maturato.
Gli eventuali alert preventivi ricevuti da consimili in un ecosistema composito, si rivelano poi davvero contributi di inestimabile valore.
Academy, ITS e percorsi specialistici per la cybersicurezza
È stato toccato più volte il tasto della formazione nella cybersecurity.
Attualmente le realtà più significative in questo ambito sono le Academy e gli ITS.
In genere le Academy si rivolgono a persone che vogliono acquisire o implementare una professionalità nel campo cyber; gli ITS invece, Istituti Tecnologici Superiori, sono realtà a disposizione dei più giovani e sono nati dalla legge n. 99 del 15 luglio 2022 per offrire una qualificazione specialistica in vari campi, compreso quello dell’innovazione tecnologica e del digitale.
Le Academy sono molto diffuse; ogni organizzazione, in genere privata, che possa offrire dei corsi di formazione a pagamento, struttura la sua offerta in pacchetti e fonda una struttura al suo interno in grado di realizzarla.
Troviamo vari tipi di Academy, con target anche molto diversi; i corsi possono essere erogati in differenti modalità, in e-learning o addirittura con frequentazione di laboratori, con effetti speciali che li rendono praticamente immersivi.
La materia della cybersecurity appare come molto specialistica, ed è logico che chi intenda professionalizzarsi debba scegliere percorsi formativi più o meno intensivi.
Molti corsi offrono interazioni con esperti, simulazioni di complesse situazioni reali, approfondimenti normativi, alcune società predispongono pacchetti formativi adatti alle scuole (alle quali praticano in qualche caso interessanti sconti).
Il punto più importante, tuttavia, resta quello delle certificazioni possedute dai docenti o dalle strutture che erogano i corsi.
Le iniziative di ACN e SERICS per la formazione cyber
Anche l’Agenzia per la Cybersicurezza Nazionale ha la sua Academy, anzi ha l’E-Academy, iniziativa che proviene dalla Strategia Nazionale Cyber più volte ricordata.
Lo scopo è quello di accrescere, mettendo a disposizione diversi tipi di materiale, la consapevolezza dei cittadini, le conoscenze di base e di contribuire a far sviluppare “comportamenti responsabili nello spazio cibernetico”, come si legge nella descrizione della sua funzione sul portale di ACN.
Le informazioni trasmesse con il supporto del materiale presente sul portale, sono rivolte ai cittadini ma sono presenti informazioni di base e consigli anche per le PMI; un glossario aiuta nella comprensione di termini tecnici anche chi può trovare maggiori difficoltà a recepire i messaggi veicolati attraverso lo spazio in questione.
Un’altra esperienza significativa per il tipo di formazione che rientra sotto la realtà delle Academy, proviene dalla fondazione SERICS “Security and Rights in CyberSpace”.
La Fondazione è un ente di ricerca nato come soggetto attuatore del Partenariato Esteso “Cybersecurity, nuove tecnologie e tutela dei diritti”, nell’ambito del Piano Nazionale di Ripresa e Resilienza (PNRR).
La Fondazione SERICS è un ente ormai noto nel campo cyber; i suoi propositi sono quelli di sviluppare strategie innovative, capaci di affrontare le sfide del digitale e di apportare benefici sulla cifra di sicurezza del Paese, sulla sua economia, alle sue istituzioni e ai suoi cittadini.
SERICS, che porta avanti numerosi progetti di ricerca con diverse università, ambisce a diventare un riferimento scientifico e industriale e soggetto in grado di operare iniziative di trasferimento tecnologico.
In questo ambito è stata sviluppata la SERICS Cybersecurity Academy.
Lo scopo di questa iniziativa, finanziata con fondi PNRR, è stato quello di creare un ricco programma di formazione specialistica che trattasse molteplici aspetti, fra i quali la sicurezza, la privacy, gli aspetti legali della cybersecurity, della protezione dei dati e della sovranità digitale.
In questa esperienza è stata molto curata, secondo criteri trasparenti, la competenza delle figure che dovevano anche assicurare, oltre alla docenza e allo svolgimento delle attività previste, anche materiale di supporto altamente qualificato.
I corsi dovevano concludersi nel 2025.
Ricerca e innovazione nella cybersicurezza e ruolo degli ITS Academy
Riprendendo la questione della formazione specialistica dei più giovani, si può fare qualche ulteriore considerazione sugli ITS citati prima.
Con questa soluzione si è voluto avvicinare, direi fattivamente, i giovani tra i 18 e i 35 anni al mondo del lavoro, avendo nel contempo un occhio di riguardo per le esigenze dei territori e del loro tessuto produttivo.
I percorsi post diploma hanno durata biennale o triennale e l’attività formativa si svolge in aula ma prevede anche stage.
Sono organizzati come un sistema terziario di istruzione tecnologica superiore, alternativa a quella accademica “capace di rispondere alla domanda di tecnici specializzati proveniente dai settori portanti dell’economia, interessati dall’innovazione tecnologica e dall’internazionalizzazione dei mercati”.
Gli istituti che realizzano i programmi specialistici si chiamano ITS-Academy e sono considerati scuole di eccellenza; i giovani che li frequentano trovano poi facilmente occupazione.
Per questo gli ITS Academy devono strutturarsi come Fondazioni, con un modello di gestione pubblico-privato, hanno personalità giuridica e sono sottoposte a controllo del Prefetto.
La dimensione territoriale di queste realtà è confermata dal loro inserimento nei piani triennali dell’offerta formativa delle Regioni.
In Toscana per esempio, è stata costituita la Fondazione Prodigi, che è quindi una scuola di alta formazione ed è l’unica dedicata all’Information and Communication Technology.
Le sfide finali per il sistema Paese
In conclusione, la necessità di costruire una nuova e solida cultura nel digitale sembra assolutamente acquisita.
Le iniziative di ricerca, di studio, di approfondimento si moltiplicano, le aziende, anche quelle più indietro nel percorso della consapevolezza, ricercano professionisti idonei a gestire le loro necessità di tipo cyber e ad assicurare loro almeno livelli minimi di compliance.
La formazione di personale specializzato è garantita da svariate iniziative, talvolta molto dissimili tra loro ma non per questo meno importanti.
Adesso servono giovani, e ragazze, che scelgano i corsi di laurea STEM e servono dottori di ricerca che contribuiscano a far sviluppare i programmi scientifici più urgenti e assistano i processi di trasferimento tecnologico, ancora insufficienti a potenziare i mercati di riferimento nella giusta misura.
