La trasformazione digitale si declina ponendo l’attenzione su vari capisaldi; fra questi uno dei più cruciali è senza dubbio la formazione.
Ogni considerazione che analizzi e approfondisca le dinamiche dei singoli processi soggetti ai pesanti e rivoluzionari cambiamenti non può prescindere dal peso rappresentato dalle competenze in gioco e quindi, per naturale estensione, dal fattore umano.
Nell’epoca in cui ci si interroga su quanti e quali processi produttivi saranno completamente automatizzati di qui a breve, si moltiplicano le discussioni, e anche le preoccupazioni, relativamente alle nuove organizzazioni del lavoro.
Le esigenze di far fronte alle sfide dell’innovazione per poter competere realmente sui mercati del lavoro si stanno già nei fatti concretizzando e hanno già imposto al top management di occuparsi in modo diverso delle risorse a disposizione.
Indice degli argomenti
Formazione in cybersecurity e nuovi saperi dell’era digitale
Per la gestione di queste esigenze emergenti, si sta inoltre facendo più chiaro il quadro delle figure indispensabili e delle competenze delle quali non si può fare a meno.
Un po’ più complessa appare invece la previsione della durata della fase “iniziale”, ovvero della fase attuale, della trasformazione digitale nelle nostre realtà pubbliche e private, e di quali saranno le successive ulteriori necessità in termini di risorse e competenze.
Il cuore della discussione sui nuovi saperi dell’era digitale sta proprio qui.
Per questo diventa un obbligo morale agire con chiarezza nei confronti delle nuove generazioni che necessitano, forse come non mai, di capire quali possano essere i “nuovi lavori”, per decidere i propri percorsi di studio con la massima consapevolezza possibile.
Nuove competenze digitali e ruolo del top management
In questa fase di sviluppo, tuttavia, pare ampiamente confermata l’importanza del fattore umano nei processi ormai radicalmente trasformati ma comunque complessi, sia dal punto di vista delle nuove forme di gestione sia dalla persistente questione dell’intervento umano.
L’informatizzazione delle procedure ha richiesto, nelle fasi iniziali, competenze e conoscenze informatiche che purtroppo erano scarsissime soprattutto nella Pubblica Amministrazione, ma anche nel settore privato, dove, oltre a qualche specialista, non erano presenti risorse capaci di affrontare le nuove sfide.
In alcuni ambiti più illuminati della Pubblica Amministrazione, già negli anni 2007-2008, erano stati avviati corsi di formazione informatica.
A tali iniziative parteciparono molti rappresentanti di diversi Ministeri che poterono beneficiare di percorsi formativi differenziati con applicazioni pratiche; alcuni fornivano informazioni di base per personale completamente sprovvisto di ogni elemento di conoscenza in materia, mentre altri erano indirizzati a risorse umane già in possesso di livelli di istruzione superiore.
La formazione specialistica è pertanto la leva fondamentale su cui costruire ogni tipo di avanzamento culturale e l’elemento imprescindibile per il salto di qualità nelle azioni della PA e nelle iniziative nel settore privato.
Un’acquisizione culturale che si è palesata nel tempo come la più strategica è sicuramente quella che coinvolge i massimi responsabili di enti pubblici e aziende.
La consapevolezza del top management circa il rischio informatico come rischio d’impresa, e il peso di tale rischio nell’economia aziendale, è la leva fondamentale per convincere i manager a investire nella formazione del personale e a ridisegnare l’organizzazione aziendale, se necessario.
NIS2, ACN e formazione in cybersecurity nella gestione del rischio
Per fronteggiare abilmente gli attacchi cyber, con la NIS2 si è scelto di promuovere, fra l’altro, la gestione del rischio; con questa metodologia, che impone la piena conoscenza dei propri asset strategici, anche culturalmente ci si immette in un nuovo panorama di consapevolezza.
Ciò consente di conoscere le situazioni da proteggere e, con attente e approfondite analisi, di studiare le tipologie degli attacchi così da mettere in piedi anche eventuali strumenti di prevenzione.
La formazione del personale impiegato in questi settori e che deve quindi occuparsi di questo tipo di operazioni dovrà essere forzatamente composita.
Non potrà consistere unicamente in nutritissime e numerose informazioni tecniche, ma dovrà prevedere una preparazione più completa che tratti vari aspetti collaterali, fra i quali, per esempio, almeno quelli gestionali e organizzativi.
L’ipotetico anello debole della catena, in un’organizzazione cyber, di solito finora rinvenuto nel personale, si può trasformare allora in un prezioso aiuto nella quotidiana battaglia contro nuovi e sofisticati assalti.
Come noto, la direttiva NIS2 ha imposto alcuni obblighi che di fatto hanno attribuito notevoli responsabilità alle figure amministrative di ogni organizzazione.
Quale effetto del recepimento a livello nazionale, inoltre, l’Agenzia per la Cybersicurezza Nazionale (ACN) ha definito i compiti a carico dei soggetti coinvolti e tracciato la strada degli adempimenti da assolvere.
I principali adempimenti consistono nell’iscrizione alla piattaforma dell’Agenzia, nella nomina dei soggetti incaricati alla sicurezza, nella pianificazione delle misure di gestione dei rischi e, non ultima quanto a importanza, nella formazione del personale.
La formazione si conferma pertanto come elemento imprescindibile nella costruzione di un buon quadro di sicurezza informatica per ogni organizzazione che si consideri.
In caso di non ottemperanza agli obblighi da assolvere sono previste pesanti sanzioni, per contribuire ad accrescere, anche con misure di deterrenza, la sensibilità in materia.
Non sono più rinviabili quindi gli investimenti in cybersecurity e, specialmente, nella formazione del personale che può garantire la puntuale adesione ai nuovi e più chiari obblighi introdotti dalla NIS2.
Nuove professioni e formazione nella cybersecurity per le imprese
Nel rapporto “LinkedIn Lavori in crescita 2025: le 15 professioni in ascesa in Italia” si sottolineano le variazioni subite negli ultimi anni dal mercato del lavoro.
Con l’avvento dell’IA e delle sue rapidissime trasformazioni imposte su ogni settore nel quale sia stata applicata, è stato necessario ridurre anche gli orizzonti temporali sui quali condurre le analisi.
Dal rapporto, per l’Italia, si desume che tra le nuove professioni che ormai si vanno affermando, spiccano gli ingegneri dell’intelligenza artificiale, gli ingegneri della sicurezza (Cyber Security Expert), gli specialisti in gestione del rischio, i data analyst.
I profili indicati si occupano di creare soluzioni vantaggiose per lo sviluppo delle aziende, di progettare e realizzare misure di protezione contro gli attacchi informatici, di identificare e valutare i rischi aziendali, tra i quali il rischio cyber, di analizzare i dati per trarne una governance che suggerisca le migliori scelte aziendali e le sostenga adeguatamente.
Difficilmente queste competenze possono risultare disponibili oggi nelle piccole e medie aziende, mentre nelle grandi imprese ormai non se ne fa a meno, soprattutto per i crescenti investimenti in tecnologie legate all’IA e per le problematiche di cybersecurity che sono anch’esse diventate più complesse proprio per l’IA.
Il passaggio più complicato, quindi, appare quello dell’aiuto che dovrà essere fornito alle PMI, che in Italia, per numero e per qualità delle lavorazioni assicurate, costituiscono una realtà altamente significativa.
Un aiuto concreto potrebbe consentire il loro corretto traghettamento verso le modalità operative nuove e non più rinviabili, se piccole e medie aziende vogliono davvero sopravvivere e forse anche crescere.
Pubblica amministrazione, dati strategici e formazione in cybersecurity
Per quanto riguarda la Pubblica Amministrazione va detto che anche negli uffici pubblici non si realizzano più, ormai da qualche tempo, percorsi molto diversi da quelli del settore privato.
Uno degli asset più preziosi della PA è certamente quello dei dati posseduti; informazioni, strategie, decisioni politiche, collegamenti e relazioni fra istituzioni e fra istituzioni e cittadini rappresentano sicuramente un patrimonio di grande valore.
I percorsi di informatizzazione dei procedimenti, della semplificazione e della razionalizzazione dei processi organizzativi degli uffici, necessari anche per far fronte alla progressiva serie di tagli che nell’ultimo decennio sono stati applicati con costanza, hanno ridisegnato, di fatto, le organizzazioni interne.
Il patrimonio informativo ha continuato tuttavia a essere molto appetibile dal punto di vista cyber.
Le misure di protezione adottate, dalle prime misure AGID del 2017 a carico delle PA fino agli adempimenti previsti dalla NIS2, per colmare il gap lasciato dalla direttiva NIS del 2016, sono culminate, a mio avviso in modo lungimirante, con l’introduzione del Referente per la sicurezza, voluto dalla legge 28/6/2024, n. 90 “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”.
L’art. 8 della legge 90/2024, dal titolo “Rafforzamento della resilienza delle pubbliche amministrazioni e referente per la cybersicurezza” prevede che si proceda con lo “sviluppo delle politiche e delle procedure di sicurezza delle informazioni”, con le operazioni necessarie per la gestione del rischio informatico e che si definiscano i ruoli e l’organizzazione del sistema per la sicurezza delle informazioni dell’amministrazione, con i relativi piani di programmazione e monitoraggio delle minacce.
Nel medesimo articolo si stabilisce che, nelle organizzazioni di cui si parla, “opera il referente per la cybersicurezza, individuato in ragione di specifiche e comprovate professionalità e competenze in materia di cybersicurezza”.
Al netto delle previsioni ulteriori di possibile appoggio ad altre amministrazioni o di soluzioni interne alternative in caso di assenza della figura con i requisiti previsti, risalta ancora una volta la necessità di poter disporre di una competenza specialistica, anche nella PA.
Queste nuove figure devono essere in grado di assicurare una multidisciplinarietà comprensiva di conoscenze tecniche, di capacità di analisi e risoluzione di problemi, di consapevolezza del rischio, di conoscenza del panorama di minacce e attacchi già portati a termine e conseguente capacità di gestire il rischio associato, nonché competenze nel campo della comunicazione.
Come detto in precedenza, questa necessità rilevata sul campo non fa altro che riassumere i nuovi saperi dei quali oggi si condivide unanimemente l’importanza per la sopravvivenza di ogni organizzazione, sia pubblica che privata, e per ogni forma di sviluppo che si desideri o si debba garantire.
Il punto debole della citata legge 90 del 2024 risiede nella parte iniziale dello stesso articolo 8 in cui si afferma che le amministrazioni “individuano, ove non sia già presente, una struttura, anche tra quelle esistenti, nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.
All’art. 24, comma 1, infine, si riconferma che “dall’attuazione della presente legge non devono derivare nuovi o maggiori oneri a carico della finanza pubblica. Le amministrazioni pubbliche competenti provvedono all’adempimento dei compiti derivanti dalla presente legge con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.
Appare evidente, ancora una volta, che non vi siano ancora investimenti specifici su iniziative che invece farebbero fare salti di qualità notevoli alle amministrazioni statali e, con esse, a tutti gli altri soggetti pubblici e privati che sono ad esse collegati.
Certificazioni, domini ACN e percorsi di formazione in cybersecurity
Se queste nuove competenze sono poi anche certificate, l’affidabilità di chi le possiede cresce notevolmente insieme alle prospettive di carriera.
Naturalmente le certificazioni riguardano diversi tipi di conoscenze, alcune delle quali interessano una grande molteplicità di utenti, mentre altre sono relative alle conoscenze degli specialisti.
In tema di competenze informatiche vi sono, come noto, diversi livelli di complessità; per quanto riguarda le certificazioni a oggi disponibili e più richieste, si mostra fra l’altro molto interessante il Report 2024 “Skillsoft’s IT Skills and Salary” Volume 19 | 2024-2025 e in particolare il capitolo “20+ Top-Paying IT Certifications for 2025” risalente al 24 ottobre 2024, che proietta i propri risultati al 2025.
La società che emette i rapporti citati è la Global Knowledge, fondata nel 1995, che è stata riconosciuta come Microsoft Learning Partner nel 2013.
Oggi, si legge dal sito della società, è uno dei più grandi partner di Microsoft Learning che offre corsi in tutto il mondo.
Significativa risulta la certificazione CEH (Certified Ethical Hacker), della società EC-Council, che riconosce particolari abilità nel condurre azioni di hackeraggio etico a vantaggio di un’organizzazione per cui si lavora.
Si tratta cioè di scoprire le debolezze e le vulnerabilità di una rete per predisporre idonee misure di protezione da eventuali attacchi informatici.
La società EC-Council è nata nel 2011 e, successivamente, i percorsi di certificazione da essa introdotti sono stati riconosciuti da molti enti governativi in diverse parti del mondo.
Per ottenere la certificazione CEH è previsto il superamento dell’esame 312-50 EC-Council (https://www.eccouncil.org/train-certify/ceh-master/).
Altri campi della cybersecurity richiedono competenze altamente specialistiche; per tali campi, denominati “domini” e comuni a varie organizzazioni, è necessario un impegno dedicato a individuare le abilità necessarie per gestirne i vari aspetti che li caratterizzano.
I domini, come si desume dal sito web di ACN, si identificano in: Cybersecurity Governance, Asset Management, Identity and Access Management, Security Architecture, Engineering and Operations, Cyber Risk Management, Event, Threat and Incident Management, Business Continuity and Disaster Recovery, Workforce Management, Assessment e Testing.
Relativamente a gran parte delle azioni sopra indicate, che consentono di gestire una vera policy di sicurezza di un’organizzazione, sono disponibili delle certificazioni per i professionisti interessati.
Naturalmente esistono ancora percorsi da perfezionare, sia di formazione che di certificazione.
Per stare al passo con i tempi in tema di sfide lanciate dall’innovazione tecnologica potenziata dall’intelligenza artificiale, si dovrà investire ancora nella formazione dei certificatori di hardware e software, anche a difesa degli asset più strategici collegati alla difesa nazionale, ma è positivo che oggi si possa riconoscere che esiste consapevolezza della questione.
Cultura digitale di base e alfabetizzazione alla cybersicurezza
Come in una piramide che culmina, con la sua punta, nelle conoscenze altamente specialistiche, non si può non riservare grande attenzione, oggi più che mai, alla sua base.
Il tema della formazione nel digitale, oppure “al digitale”, come pare sempre più corretto pensare, e il tema della formazione specifica per la cybersecurity, richiamano la necessità fondamentale di estendere queste conoscenze a quante più persone possibile.
Inoltre, lo si pensa ormai da tempo unanimemente, almeno la formazione di base deve avviarsi fin dai primi anni della scolarizzazione dei piccoli.
Enisa, l’agenzia europea per la cybersicurezza, mette a disposizione, attraverso il suo portale, la Enisa Cyber Education Platform, che agisce come pilastro di riferimento centralizzato a livello europeo per le risorse didattiche sulla sicurezza informatica.
Gli strumenti che compongono la piattaforma sono iniziative lanciate dai vari Stati membri e possono essere utili per le scuole primarie e secondarie.
L’Italia è presente con otto iniziative, fra le quali le più importanti sfide organizzate per i nostri giovani, i quali poi partecipano non solo a competizioni nazionali ma anche europee.
L’ultima sfida è stata vinta dal team italiano, segno di una preparazione non più occasionale o striminzita, ma della disponibilità di molte risorse (molti ragazzi ma, purtroppo, ancora pochissime ragazze).
Ai nostri giovani, adeguatamente preparati, per il tramite di queste iniziative, è consentito il confronto con altri giovani in Europa; all’Italia queste competizioni invece regalano l’individuazione dei migliori talenti.
L’auspicio è che venga assicurata una giusta e diffusa comunicazione su iniziative di questo tipo affinché anche l’emulazione di questo nuovo tipo di “gioco” si espanda a quanti più ragazzi e ragazze possibile.
Scuola, PNRR e formazione nella cybersecurity per docenti e studenti
Il Ministero dell’Istruzione e del Merito, con il proprio decreto del 12 aprile 2023, n. 66, ha destinato 450 milioni di euro a iniziative relative alla linea di investimento 2.1 “Didattica digitale integrata e formazione alla transizione digitale per il personale scolastico” della Missione 4 – Componente 1 – del Piano nazionale di ripresa e resilienza.
L’obiettivo dell’investimento riguardava la “creazione di un sistema multidimensionale per la formazione continua dei docenti e del personale scolastico per la transizione digitale”.
In pratica sono state pensate iniziative di formazione per il personale scolastico: dirigenti scolastici, docenti, responsabili amministrativi e altre figure coinvolte nelle organizzazioni scolastiche.
La volontà dichiarata è stata quella di operare a livello nazionale in piena coerenza con quanto previsto a livello europeo dai quadri per le competenze digitali di riferimento, cioè DigComp e DigiCompEdu.
Al riguardo è stata creata la piattaforma ministeriale dedicata, “Futura PNRR”.
È davvero indispensabile e molto urgente che vi siano docenti motivati e preparati per cambiare gli scenari classici degli insegnamenti, che vanno ormai ispirati ai canoni della nuova dimensione digitale.
Oggi si richiedono, infatti, insegnamenti integrati fra loro, che raccontino la nuova dimensione di vita digitale, composta da elementi “numerici” capaci di descrivere le nuove realtà nelle quali, ormai, siamo tutti completamente immersi.
Strategia nazionale, accordi MIM-ACN e futuro della cybersicurezza
Per completezza di informazione, circa la formazione informatica, non si può dimenticare il capitolo della strategia nazionale di cybersicurezza, curata da ACN e valida per il periodo 2022-2026.
Siamo ormai alla conclusione di questo periodo e non resta che aspettare la nuova strategia per valutare se vi sia una nuova visione o comunque se si sia raggiunto un accettabile livello di consapevolezza di come vadano mirati gli interventi più necessari e pensati per età, professione, organizzazione, settore o ambito operativo.
Al termine di queste considerazioni credo che sia importante ricordare che il 12 dicembre 2024 è stato siglato un accordo tra il Ministero dell’Istruzione e del Merito e l’Agenzia per la Cybersicurezza Nazionale per l’educazione cibernetica nelle scuole italiane.
Il protocollo d’intesa si propone di promuovere l’educazione informatica e cibernetica nelle scuole italiane di ogni ordine e grado e avrà una durata di tre anni.
Sono previste altresì iniziative di comunicazione a livello congiunto per sottolineare il valore della cybersicurezza e della cittadinanza digitale.
Sono compresi nell’accordo aspetti relativi all’accrescimento della consapevolezza dell’esistenza del rischio informatico, all’igiene digitale, alla prevenzione del cyberbullismo e all’orientamento verso le discipline STEM.
L’auspicio che ci deve accompagnare, adesso, è che questi ottimi intendimenti siano implementati in “tutte le scuole di ogni ordine e grado”, secondo quanto risulta dai comunicati stampa relativi all’iniziativa, e non in qualche sporadico, seppure apprezzabile, caso.
Se vogliamo acquisire un’adeguata postura cyber a tutti i livelli, gli investimenti nella formazione digitale e cyber devono essere consistenti, affinché la preparazione sia continua e diffusa a tutte le componenti che operano nel sistema scolastico.
Potendo contare su giovani generazioni consapevoli dei rischi e delle opportunità del digitale, saranno più efficaci le battaglie contro il cyberbullismo, contro la violenza sulle donne e contro tante forme di disparità culturale che ancora oggi contrappongono fra loro componenti importanti della società e limitano ogni forma di sviluppo.
