Sei dei ventisette Stati membri dell’Unione europea tra cui l’Italia hanno deciso di alzare la voce contro uno dei pilastri del Digital Omnibus, il maxipacchetto di semplificazione normativa digitale recentemente presentato dalla Commissione europea. La proposta contestata è quella di istituire un punto di accesso unico centralizzato, il cosiddetto Single Entry Point che dovrebbe essere sviluppato dall’ENISA (l’Agenzia europea per la cyber security) per la notifica degli incidenti informatici da parte delle imprese operanti nell’UE.
Italia, Francia, Germania, Spagna, Paesi Bassi e Svezia hanno presentato un non-paper congiunto in cui chiedono alla Commissione di riconsiderare l’impostazione, avanzando una proposta alternativa che preservi le strutture nazionali esistenti.
Indice degli argomenti
Perché gli incidenti cyber entrano nel Digital Omnibus
Il documento, riservato ma giunto alla conoscenza della stampa specializzata, accende i riflettori su una frattura non trascurabile all’interno del Consiglio europeo: i sei Paesi firmatari rappresentano insieme oltre il 55% del PIL dell’UE e includono tre delle quattro maggiori economie del blocco. La loro posizione, che trova sponda anche nelle associazioni di categoria del settore finanziario, rischia di rimettere in discussione uno degli interventi più ambiziosi del pacchetto digitale della Commissione.
Cosa prevede il Cybersecurity Act 2
Il Cybersecurity Act 2 nasce con un obiettivo condivisibile: ridurre la frammentazione normativa digitale europea, alleggerire gli oneri di compliance per le imprese e razionalizzare un sistema in cui le stesse organizzazioni sono tenute a notificare il medesimo incidente a più autorità diverse, con tempistiche, formati e soglie spesso incompatibili tra loro.
La proposta intende istituire un unico canale per le notifiche previste da un ventaglio di normative: (ad esempio NIS2, DORA, GDPR…). Il principio ispiratore è che l’impresa notifica una sola volta e il sistema distribuisce le informazioni alle autorità competenti.
Ciò di fatto rafforza ulteriormente il mandato dell’ENISA e introduce un quadro orizzontale per la sicurezza delle catene di approvvigionamento ICT. Modifiche mirate alla NIS2 mirano parallelamente a semplificare la compliance per circa 28.700 imprese europee, introducendo anche una nuova categoria di PMI-mid cap per abbattere i costi di adeguamento.
Le obiezioni dei sei governi all’hub unico incidenti cyber UE
Il non-paper dei sei Paesi non contesta la necessità di semplificare il panorama normativo, anzi la condivide esplicitamente, ma giunge a conclusioni opposte rispetto alla Commissione su come farlo. Le obiezioni si articolano su tre questioni principali.
La prima è quello della complessità operativa. I firmatari sottolineano che ogni Stato membro dispone già di strutture nazionali operative ed efficienti per la gestione delle notifiche, in Italia, ad esempio, è il CSIRT Italia dell’ACN ad assolvere questa funzione. Introdurre un livello UE aggiuntivo non eliminerebbe i canali nazionali, ma rischia di sovrapporrersi ad essi, moltiplicando le interfacce che le imprese devono gestire anziché ridurle. Il paradosso è evidente: una misura pensata per semplificare rischierebbe di complicare l’esistente.
La seconda questione riguarda la rilevanza transfrontaliera. Il non-paper osserva che la stragrande maggioranza dei soggetti obbligati alle notifiche non ha operatività internazionale rilevante: si tratta di imprese che operano prevalentemente entro i confini nazionali, per le quali un sistema centralizzato a Bruxelles non porta alcun valore aggiunto rispetto alle autorità nazionali già competenti e familiari con il contesto locale.
La terza questione, e forse più sensibile, è proprio quella del rischio per la sicurezza nazionale. Centralizzare le informazioni sulle vulnerabilità di strutture private, pubbliche e civili di tutti e ventisette gli Stati membri in un unico repository UE creerebbe, secondo i sei Paesi, un bersaglio di straordinaria appetibilità per soggetti ostili. Un singolo attacco informatico riuscito contro il SEP potrebbe consentire a soggetti malevoli di acquisire una visione sistemica delle debolezze infrastrutturali dell’intero continente. In questo senso, la centralizzazione non ridurrebbe i rischi: li concentrerebbe.
Come cambiano gli incidenti cyber nello scenario geopolitico
Le preoccupazioni dei sei governi non nascono in astratto. Il contesto in cui si colloca il dibattito sul SEP è quello di una minaccia cyber in rapida evoluzione, in cui l’Iran sta usando il dominio digitale come strumento elastico di rappresaglia, con una logica operativa che rende particolarmente urgente la questione dell’architettura europea di notifica degli incidenti.
Le analisi di diverse agenzie di sicurezza mostrano che Teheran opera su due registri simultanei. Il primo è pubblico e propagandistico: attacchi DDoS, defacement di siti, campagne di leak claim, reclutamento e coordinamento di collettivi hacktivist. Intorno al 28 febbraio è emersa l’esistenza di una cosiddetta Electronic Operations Room attorno a cui si sono aggregate decine di gruppi, inclusi soggetti filoiraniani e pro-russi. Nelle prime settimane di marzo si stimavano circa sessanta gruppi attivi che rivendicavano operazioni ai danni di bersagli in Israele, Kuwait, Giordania e nei settori governo, aerospazio-difesa e tecnologia. Una parte rilevante di queste rivendicazioni tende a sovrastimare l’impatto reale delle operazioni: il volume del rumore è già parte dell’operazione, perché costringe i bersagli a reagire in fretta, satura l’attenzione delle strutture di sicurezza e induce i media a trattare ogni claim come compromissione confermata.
Il secondo registro è più silenzioso e più pericoloso. Già a partire da fine gennaio 2026, settimane prima dell’escalation militare, erano state rilevate attività del gruppo noto come MuddyWater all’interno delle reti di una banca statunitense, di un aeroporto, di organizzazioni non governative attive tra USA e Canada e della branch israeliana di un fornitore software per difesa e aerospazio. La sequenza temporale è rivelatrice: le operazioni di accesso e post-exploitation precedono i raid. Non si tratta dunque di una reazione costruita da zero dopo un attacco, ma della possibile attivazione di opzioni già preparate. Chi possiede credenziali valide, persistenza o visibilità sulla rete non ha bisogno di agire immediatamente: può scegliere tempi, bersagli e forma dell’impatto.
L’Iran ha sviluppato nel tempo una rete di hacktivist e canali social per intimidire gli avversari, orientare il dibattito pubblico e mantenere ambigua la responsabilità ufficiale di Teheran. Il ricorso a collettivi di facciata non è un ripiego tattico: è parte strutturale del modello operativo iraniano, che permette di restare un gradino sotto la soglia che imporrebbe una risposta politica o militare diretta da parte degli avversari.
Il filo conduttore che emerge dalle valutazioni istituzionali più recenti è quello di un attore che usa il cyber non come arma da guerra totale, ma come strumento di pressione graduata: coercizione, attività di disturbo, raccolta informativa, con un occhio sempre puntato sul rischio di escalation. DDoS e defacement sono coerenti con questa prima fase graduata: colpiscono la disponibilità, danno un segnale politico, producono copertura mediatica immediata e richiedono meno preparazione di un’operazione wiper (un attacco informatico il cui obiettivo non è sottrarre dati né estorcere denaro, ma distruggere irreversibilmente le informazioni presenti sui sistemi colpiti) ben eseguita o di una manipolazione di sistemi OT. Ma la stessa logica graduata prevede che, qualora le condizioni lo rendessero vantaggioso, si possa passare da attacchi di disturbo a ransomware, wiper o hack-and-leak, quest’ultimo è un attacco in due fasi distinte: prima l’intrusione in sistemi informatici per sottrarre documenti, comunicazioni o dati sensibili, poi la diffusione pubblica (o la minaccia di diffusione) di quel materiale per danneggiare la reputazione del bersaglio, condizionarne le decisioni o influenzare l’opinione pubblica.
Precedenti documentati mostrano che gli attori iraniani hanno già preso di mira dispositivi di controllo industriale in impianti idrici ed energetici, hanno facilitato attacchi ransomware contro organizzazioni statunitensi e hanno mantenuto accesso persistente a reti di infrastrutture critiche, e, secondo valutazioni istituzionali, disporrebbero già di un accesso a reti in paesi occidentali, incluse infrastrutture critiche. Questo repertorio tecnico e organizzativo non dimostra che un attacco distruttivo su larga scala sia imminente, ma certifica che ci sono gruppi, sostenuti da governi stranieri, che hanno la capacità di effettuarlo.
Per l’Europa, e per l’Italia in particolare, il rischio non riguarda necessariamente un’esposizione diretta come bersaglio politico di primo livello. Basta essere fornitore di un soggetto esposto, avere presenza commerciale nel Golfo, gestire servizi cloud o connettività per organizzazioni nell’area, operare in energia, trasporti, manifattura industriale, difesa o software. Europol ha già avvertito che la crisi iraniana avrà ripercussioni immediate sulla sicurezza europea. La supply chain diventa la superficie d’impatto più plausibile quando gli attori vogliono allargare la pressione senza colpire frontalmente il territorio europeo.
I limiti del repository centrale cyber e l’alternativa ENISA
Il quadro geopolitico descritto non è un elemento di contesto generico: è invece direttamente rilevante per valutare le ragioni del non-paper. Il funzionamento del SEP proposto dalla Commissione presuppone che le informazioni sulle vulnerabilità e sugli incidenti avvenuti nei ventisette Stati membri convergano verso un unico repository gestito a livello europeo. Proprio questo tipo di architettura centralizzata costituisce un bersaglio di straordinaria attrattività per gli stessi attori che stanno conducendo operazioni di accesso silenzioso e raccolta informativa.
Un gruppo che abbia già acquisito persistenza in reti di interesse, come nel caso delle operazioni di MuddyWater documentate nelle settimane precedenti all’escalation, ha tutto l’interesse a identificare le vulnerabilità sistemiche dei propri potenziali bersagli. Un repository centralizzato che aggreghi le notifiche di incidente di ospedali, reti energetiche, banche e operatori di telecomunicazioni di tutta Europa rappresenterebbe esattamente questo: una mappa operativa aggiornata in tempo reale. È la ragione per cui i sei Paesi sostengono che, in caso di misure di sicurezza inadeguate, riunire in un solo punto tutte le vulnerabilità delle strutture private, pubbliche e civili del continente comporterebbe un rischio molto significativo non solo per la sicurezza informatica, ma per la sicurezza nazionale.
La posizione del settore finanziario: DORA e Cyber Resilience Act si sovrappongono
La posizione dei sei governi non è isolata. L’associazione finanziaria AFME (Association for Financial Markets in Europe, è un’associazione di categoria che rappresenta i principali intermediari finanziari operanti sui mercati dei capitali europei: banche di investimento, broker-dealer, gestori di infrastrutture di mercato), che include tra i suoi membri istituti di rilievo come Intesa Sanpaolo e UniCredit, aveva già segnalato alla Commissione europea le criticità del progetto SEP per il settore finanziario. Il cuore del problema è la sovrapposizione tra gli obblighi di segnalazione già vigenti ai sensi del DORA, il regolamento sulla resilienza operativa digitale del settore finanziario, pienamente applicabile dal gennaio 2025, e quelli previsti dal Cyber Resilience Act.
Le imprese finanziarie si trovano oggi a navigare un labirinto di obblighi: segnalazioni al CSIRT nazionale ai sensi della NIS2, notifiche alle autorità di vigilanza (BCE, Banca d’Italia, CONSOB) ai sensi del DORA, comunicazioni all’autorità di controllo della protezione dei dati ai sensi del GDPR in caso di data breach, e potenzialmente ulteriori adempimenti. Non si tratta di obblighi intercambiabili: ognuno ha tempistiche, soglie di materialità e formati informativi diversi. Un SEP che non intervenga su queste differenze sostanziali rischia di diventare semplicemente un ulteriore portale, senza ridurre il carico reale.
Gli esperti di diritto digitale hanno chiarito che la proposta della Commissione non modifica i requisiti sostanziali sottostanti agli obblighi di notifica: le imprese continueranno a dover rispettare soglie, contenuti e scadenze differenziate a seconda del regime applicabile. Il SEP è uno strato tecnico di interoperabilità, non una vera armonizzazione normativa.
La proposta alternativa: un sito web ENISA come punto unico di informazione
I sei Paesi non si limitano a contestare, ma avanzano una proposta concreta. Anziché un hub centralizzato per la raccolta delle notifiche, suggeriscono di sviluppare un sito web gestito dall’ENISA che svolga una funzione di mappatura e orientamento: un punto unico di informazione, non di raccolta dati.
Il sito censirebbe tutti gli obblighi di segnalazione degli incidenti vigenti a livello nazionale e europeo, fornirebbe i link alle autorità competenti in ciascun ordinamento e aiuterebbe le imprese, in particolare quelle transfrontaliere, a identificare le autorità a cui rivolgersi e con quali modalità. Fondamentalmente, questo strumento non raccoglierebbe dati sulle notifiche né memorizzerebbe informazioni sensibili sulle vulnerabilità: eliminerebbe quindi il profilo di rischio sistemico associato all’hub centralizzato.
La proposta rispecchia un principio di fondo che attraversa l’intero non-paper: il modo più efficace di rafforzare la cybersicurezza europea è investire nelle strutture nazionali esistenti, che hanno già competenze, relazioni operative con le imprese e capacità di risposta rapida agli incidenti, non costruire nuove architetture burocratiche sovranazionali. In uno scenario in cui la velocità di risposta a un attacco cyber può fare la differenza tra un incidente contenuto e un accesso persistente che dura settimane, la prossimità operativa tra struttura di sicurezza e soggetto notificante ha un valore che nessun portale centralizzato può replicare.
Quale governance per gli incidenti cyber in Europa
Il non-paper si inserisce in un dibattito più ampio sulla direzione della governance digitale europea. Il Digital Omnibus è stato presentato dalla Commissione come uno strumento di competitività, un modo per alleggerire il peso regolatorio che grava sulle imprese europee in un momento in cui la concorrenza con gli Stati Uniti e la Cina si fa più aspra. L’obiettivo dichiarato è ridurre i costi di compliance per decine di migliaia di imprese e uniformare un quadro normativo che si è sedimentato per stratificazioni successive, spesso senza coordinamento tra i diversi atti legislativi.
Eppure, il pacchetto sta incontrando resistenze su più fronti. Sul versante cyber, le obiezioni dei sei Paesi. Sul versante dei dati personali, le autorità di protezione dei dati europee hanno sollevato preoccupazioni sulle modifiche al GDPR proposte nel testo. Sul versante AI, diversi attori industriali discutono la calibrazione dei nuovi requisiti. Il percorso legislativo, con il trilogo tra Commissione, Parlamento europeo e Consiglio, si annuncia complesso, con un accordo politico che gli analisti stimano non prima del 2027.
