L’emergere di tecnologie avanzate, come l‘intelligenza artificiale e il quantum computing, ha catalizzato l’attenzione dei policy maker e delle imprese sui nuovi scenari di rischio e sulle nuove capacità difensive da sviluppare per affrontare il futuro.
Indice degli argomenti
La minaccia immediata del debito tecnologico nelle infrastrutture
Esiste, tuttavia, una minaccia molto più immediata – e spesso trascurata – che riguarda la presenza diffusa di tecnologie ICT obsolete all’interno delle infrastrutture critiche europee. Questa componente di “debito tecnologico” costituisce un fattore di vulnerabilità, già oggi sfruttato da attori malevoli, anche sponsorizzati da Stati nazionali. Le operazioni attribuite ai cyber actors Volt Typhoon e Salt Typhoon ne rappresentano un esempio chiaro, con attacchi che prendono di mira tecnologie non più aggiornabili.
Quando un apparato o un software raggiunge il termine del proprio ciclo di vita, cessa anche la disponibilità di patch di sicurezza e di supporto tecnico. Continuare a impiegare tali tecnologie significa esporre reti e sistemi a rischi crescenti, complicando sia la prevenzione sia la risposta agli incidenti.
La dimensione del fenomeno è ampia: secondo stime recenti, all’inizio di questo decennio quasi metà delle risorse infrastrutturali delle reti aziendali globali risultava già obsoleta o prossima all’obsolescenza — un indicatore che restituisce con chiarezza la gravità del problema.
Le policy europee per affrontare il debito tecnologico
Il quadro normativo europeo in materia di cybersecurity è stato definito in larga parte nel precedente mandato istituzionale. Le iniziative attualmente in discussione o in fase di implementazione offrono, però, un’opportunità significativa per affrontare sistematicamente il tema del debito tecnologico.
Per esempio, nel pacchetto “Digital Omnibus“ si mira a semplificare e armonizzare le modalità di notifica degli incidenti cyber, il che può favorire una maggiore comprensione, basata su dati reali, del “peso” delle apparecchiature giunte a fine vita (EoL – End of Life) nelle infrastrutture e del loro impatto sulla sicurezza informatica. Parallelamente, la revisione del Cybersecurity Act potrà intervenire per semplificare le misure di gestione del rischio, includendovi la questione delle apparecchiature obsolete.
L’implementazione della Direttiva NIS2, attualmente in corso, rappresenta, inoltre, un’occasione per tradurre gli obiettivi di alto livello in linee guida operative specifiche per risolvere efficacemente il problema. In questo processo, le autorità nazionali potrebbero ispirarsi alle indicazioni fornite da organismi come la Cybersecurity and Infrastructure Security Agency statunitense (CISA) o il National Cyber Security Centre (NCSC) britannico, che raccomandano la rimozione proattiva delle tecnologie non più supportate.
L’efficacia di tali politiche dipenderà anche dalla capacità di incentivarne l’adozione concreta. In particolare, i processi di procurement pubblico costituiscono uno strumento fondamentale per promuovere standard di sicurezza elevati nelle reti governative e influenzare positivamente il mercato. La riforma delle direttive UE sul procurement prevista per il 2026, insieme al nuovo Fondo per la Competitività Europea proposto per il bilancio 2028–2034, potrà svolgere un ruolo decisivo nel favorire investimenti finalizzati alla riduzione del debito tecnologico.
Una nuova ricerca per comprendere i rischi delle tecnologie a fine vita
Affrontare in modo efficace la minaccia rappresentata dalle tecnologie obsolete richiede innanzitutto una comprensione del problema condivisa e basata sui dati. Finora, però, non sono stati disponibili dati adeguati a valutare l’esposizione al rischio nei diversi settori e Paesi o per confrontare in modo oggettivo i costi del non intervento con quelli necessari a colmare il debito tecnologico.
Di recente WPI Strategy ha realizzato lo studio “Update Critical: Counting the Cost of Cybersecurity Risks from End-of-Life Technology on Critical National Infrastructure“, commissionato da Cisco. L’analisi propone un nuovo approccio di analisi comparativa per valutare i rischi derivanti da tecnologie EoL, considerando cinque Paesi (Stati Uniti, Regno Unito, Francia, Germania e Giappone) e alcuni settori critici quali sanità, energia, settore idrico, manifattura e finanza.
I dati emersi sono significativi. Negli Stati Uniti l’80% della spesa IT federale è destinata alla manutenzione di sistemi esistenti, spesso legacy, aumentando i rischi per le infrastrutture critiche. Nell’Unione Europea, il 60% dei breach registrati tra il 2022 e il 2023 ha sfruttato vulnerabilità note e già risolte da patch disponibili ma non applicate — un’indicazione della centralità della cyber hygiene.
In tutti i contesti analizzati, il settore sanitario emerge come uno dei più esposti.
Un elemento ricorrente in tutti gli scenari è la necessità di affrontare in modo proattivo la questione delle tecnologie a fine vita, per rafforzare la resilienza dei servizi essenziali e proteggere cittadini e imprese.
Quattro raccomandazioni pratiche per governi e imprese
Pur considerando la varietà di condizioni nei vari paesi dal punto di vista infrastrutturale, economico, tecnologico e normativo, lo studio elabora quattro indicazioni concrete, che possono essere utili in modo trasversale a governi e aziende private che stiano ragionando su come allocare al meglio le loro risorse e adottare in modo sicuro l’intelligenza artificiale.
Adottare politiche strutturate di gestione degli asset
Gli operatori di infrastrutture critiche dovrebbero disporre di inventari aggiornati e accurati delle proprie risorse tecnologiche, che evidenzino lo stato di ciascun apparato e il punto del ciclo di vita in cui si trovano.
Valutare e gestire il ciclo di vita IT in modo continuativo
La sostituzione delle tecnologie obsolete dovrebbe essere considerata una componente continuativa della gestione IT. Nei casi in cui tale sostituzione non sia possibile, è necessario prevedere piani documentati di mitigazione del rischio.
Migliorare i processi di segnalazione degli incidenti
È essenziale che i sistemi di reporting degli incidenti di cybersecurity permettano di identificare il ruolo delle tecnologie obsolete nelle violazioni, migliorando la trasparenza e l’attribuzione delle responsabilità.
Riformare i modelli di investimento IT
La tradizionale distinzione tra spese in conto capitale per gli investimenti e spese operative rischia di concentrare gran parte del budget sulla manutenzione, lasciando poco spazio per investire in nuove tecnologie.
Lo studio raccomanda di trasformare i modelli di investimento IT prevedendo un’azione attiva per rimediare al debito tecnologico, anche basata sull’adozione di modelli a consumo o sottoscrizione laddove offrano efficienza di costi e vantaggi di sicurezza.
Un percorso per il futuro: resilienza e responsabilità condivisa
Nel momento in cui l’Europa si prepara a migliorare la sua resilienza per accelerare la trasformazione digitale, a investire nello sviluppo delle infrastrutture per l’intelligenza artificiale e nella crittografia resistente al quantum, è fondamentale non perdere di vista la realtà dei fatti: molte delle basi tecnologiche odierne su cui costruire questo futuro restano al momento esposte ai rischi derivanti da tecnologie obsolete.
Avere una chiara visione del ciclo di vita delle tecnologie, riformare i modelli di finanziamento e stabilire chiari requisiti è la strada da percorrere, con un impegno di tutto l’ecosistema volto a eliminare le vulnerabilità prima che possano essere sfruttate.
In questo contesto, anche i vendor hanno un ruolo importante. Essenziale, allora, costruire percorsi volti ad aumentare la sicurezza “by default” dei prodotti, andando oltre rispetto ai principi chiave previsti dal Cyber Resilient Act UE; impegnarsi a invitare attivamente clienti, partner e altre organizzazioni a valutare i propri comportamenti ad alto rischio e aggiornare le tecnologie obsolete, per affrontare il debito tecnologico ed affacciarsi così con fiducia sull’era dell’intelligenza artificiale.
