Cybersecurity nella PA, l’evento Cerchio ICT di Lepida, Informatica Alto Adige, Pasubio Tecnologia e Trentino Digitale
La Pubblica Amministrazione locale e centrale, assieme al settore delle telecomunicazioni, sono i settori più esposti al cybercrime e quindi i più colpiti da attacchi informatici di vario livello e gravità. Solo nel mese di settembre 2025, secondo il nuovo Operational Summary realizzato dall’Agenzia per la Cybersicurezza Nazionale (ACN), sono stati registrati 270 eventi, in aumento del 103% rispetto ad agosto, così come il numero di incidenti (55) risulta in aumento (+15) rispetto al mese precedente.
Un tema particolarmente rilevante, soprattutto in un momento storico in cui si parla sempre più diffusamente di guerre ibride, che è stato al centro del primo appuntamento di “Cybersecurity nella PA: strategie e azioni”, organizzato da il Cerchio ICT, di cui fanno parte le società in-house Lepida, Informatica Alto Adige, Pasubio Tecnologia e Trentino Digitale, in collaborazione con l’Agenzia per la Cybersicurezza Nazionale.
In apertura, Elena Mazzoni, assessora all’Agenda digitale, Legalità, Contrasto alle povertà della Regione Emilia-Romagna, ha spiegato che “la regione ha costruito una rete di protezione condivisa per affrontare le minacce informatiche diffondendo una cultura della sicurezza digitale”.
Diverse le azioni messe in campo, ha raccontato Mazzoni, come il “Protocollo di intesa triennale per rafforzare accordo tra PA e forze dell’ordine per prevenire gli attacchi informatici”, o la “Campagna di comunicazione sui crimini informatici, “Il virtuale è reale”, di Regione Emilia-Romagna e Polizia di Stato, con quattro cortometraggi realizzati da giovani registi per informare cittadine e cittadini sui meccanismi dei più comuni reati online.
Il progetto, frutto del protocollo siglato nel 2023 tra viale Aldo Moro, Polizia di Stato e Lepida, è realizzato con il supporto dell’Associazione Documentaristi dell’Emilia-Romagna e il coordinamento dell’Agenzia informazione e comunicazione della Regione”.
L’assessora regionale ha poi citato “il Protocollo d’intesa per la prevenzione e contrasto dei crimini informatici su sistemi informativi critici sottoscritto da Regione Emilia-Romagna, Lepida ScpA e il Centro operativo per la sicurezza cibernetica – C.O.S.C. Emilia-Romagna della Polizia di Stato, che ha l’obiettivo di condividere e analizzare informazioni per prevenire e contrastare cyber attacchi, segnalare le emergenze relative a vulnerabilità, minacce ed incidenti informatici, identificare l’origine degli attacchi che hanno come obiettivo gli asset tecnologici pubblici del territorio emiliano-romagnolo, sensibilizzare i più giovani”.
Citando poi il Computer Security Incident Response Team della Regione Emilia-Romagna (CSIRT-RER), a cui partecipano Lepida e gli Enti locali della Community Network regionale, Mazzoni ha poi precisato che “ha l’obiettivo, in una logica di filiera, di innalzare i livelli di sicurezza delle interconnessioni di rete, datacenter, piattaforme e sistemi di gestione dei dati”.
Il direttore generale di Lepida, Gianluca Mazzini, ha poi ricordato che “il CSIRT Emilia-Romagna è nato in una legislatura precedente, ma continua a essere attivo e rilevante anche nella successiva — un segno di continuità politica e di valore strutturale del progetto”. “Non è scontato – ha sottolineato – che un’iniziativa riesca a sopravvivere ai cambi di legislatura, segno che ha basi solide e utilità concreta. Inizialmente il CISIRT era dedicato solo alla Regione Emilia-Romagna, ma nel tempo ha ampliato la propria sfera d’azione: alla sanità regionale e agli enti locali (comuni, province, ecc.). Questa evoluzione rappresenta una crescita sia nella tipologia di servizi offerti (cioè interventi, supporto, prevenzione degli incidenti informatici), sia nel numero e nella varietà dei soggetti coinvolti”.
Il CSIRT-RER è una struttura dedicata alla cybersecurity istituita dalla Regione con lo scopo di supportare la propria Constituency di riferimento, ovvero le strutture e agenzie della Regione e gli enti sottoscrittori della Convenzione per la Community Network dell’Emilia-Romagna – nelle attività di prevenzione, rilevazione e risposta agli incidenti di sicurezza informatica, come pure di accompagnarla in un processo virtuoso di accrescimento della consapevolezza e di miglioramento continuo della postura di sicurezza attraverso l’adozione di buone pratiche comuni e standardizzate.
Il CSIRT-RER si colloca all’interno della rete nazionale dei CSIRT, coordinata dal CSIRT Italia attivo presso l’Agenzia per la Cybersicurezza Nazionale.
Cavani (Polizia di Stato): “Fondamentale sensibilizzare alla cybersecurity i più giovani nelle scuole”
Per rafforzare la capacità di prevenzione degli attacchi informatici, ha poi detto Fabrizio Cavani, Commissario Capo Responsabile Ufficio II del Centro Operativo Sicurezza Cibernetica Emilia-Romagna della Polizia di Stato, “è fondamentale sensibilizzare i più giovani nelle scuole”.
All’interno del Cnipic territoriale, ha proseguito Cavani, “è presente un gruppo specializzato per la sicurezza informatica, per attacchi di ogni tipo, dal ransomware al Ddos”, che da un grande contributo nel contrasto al cybercrime. A questo si unisce il lavoro del commissariato online, “che connette direttamente il cittadino con le Forze dell’ordine, per la segnalazione di ogni minaccia e illecito”.
Un’attività che si potenzia con il centro operativo, “che si trasforma da compartimento di Polizia Postale a unità operativa per la sicurezza cibernetica a partire dal 2023”. Strumenti operativi di importanza crescente, anche per il peggioramento dell’attuale clima politico, ha aggiunto Cavani, che vede gli attacchi informatici rappresentare un’arma in più nelle mani degli Stati nel portare avanti le proprie strategie sul campo.
Mazzini (Lepida): “La sicurezza informatica non è solo tecnologia, ma organizzazione e formazione”
“Nel costruire un sistema di sicurezza informatica davvero resiliente, serve innanzitutto una visione sistemica. Non è un caso — ha spiegato ancora il dg Lepida Mazzini — se oggi in Emilia-Romagna i poli tecnologici di riferimento sono quattro: non tre, non cinque. È una scelta precisa, frutto di una logica di ridondanza e continuità operativa. L’idea di fondo è semplice e robusta: se una parte del sistema viene colpita da un disastro, come un terremoto, il resto deve continuare a funzionare. Per questo i data center e i nodi principali sono stati distribuiti in aree geografiche diverse, Bologna, Parma, Ravenna a Ferrara — un equilibrio tra distanza fisica e coerenza infrastrutturale”.
Nel tempo, questa visione tecnologica ha insegnato che la sicurezza non è mai solo una questione di strumenti, ma di consapevolezza. “Un aneddoto emblematico riguarda l’uso dei cosiddetti building blocks, moduli tecnologici pensati per fornire servizi di rete o di protezione. Come i mattoncini di un Lego, di per sé questi componenti “non fanno nulla”: funzionano solo se chi li utilizza sa come assemblarli”, ha proseguito Mazzini.
“All’indomani del conflitto, alcuni prodotti informatici di origine russa — come Kaspersky, diffuso tramite Consip — sono stati improvvisamente classificati come “a rischio”. Le pubbliche amministrazioni si sono quindi trovate a dover sostituire in tempi rapidissimi software critici, con tutte le difficoltà del caso: duplicazione di costi, complessità tecniche e mancanza di alternative altrettanto efficaci. Eppure, qui è emerso un dato sorprendente: la capacità di reazione immediata: normalmente ci mettiamo due anni per fare qualsiasi cosa, ma con il Covid abbiamo attivato lo smart working in tre ore. Allo stesso modo, Kaspersky lo abbiamo cambiato in un giorno”, ha raccontato Mazzini.
Un’altra lezione riguarda la gestione delle crisi in tempo reale. “Dopo l’inizio della guerra, le amministrazioni si sono chieste se fosse opportuno “chiudere” le connessioni con la Russia. Da un lato – ha precisato Mazzini – questa scelta sembrava ovvia per motivi di sicurezza. Dall’altro, comportava rischi concreti: un cittadino italiano all’estero, connesso da un IP russo, non avrebbe più potuto accedere ai servizi pubblici online — come il fascicolo sanitario elettronico. Il dilemma è emblematico: bloccare gli indirizzi ostili o garantire comunque la continuità dei servizi pubblici? In mancanza di indicazioni precise, la decisione è spesso rimasta in capo alle singole strutture tecniche, costrette a bilanciare rischi e diritti in un contesto di incertezza normativa”.
“La sicurezza informatica non è solo tecnologia, ma organizzazione e formazione; la resilienza si costruisce con ridondanza, distribuzione e responsabilità condivisa; e soprattutto, la Pubblica Amministrazione, quando costretta dalle circostanze, sa reagire con efficienza e rapidità. La vera sfida per i prossimi anni sarà tradurre queste lezioni in una cultura permanente della sicurezza digitale, capace di unire pragmatismo, competenza e visione strategica”, ha sottolineato il dg Lepida.
L’evoluzione della minaccia cibernetica negli ultimi anni ha cambiato radicalmente il modo in cui istituzioni e imprese devono pensare alla sicurezza informatica. Quella che un tempo era una prerogativa delle infrastrutture critiche o dei grandi attori statali, oggi è diventata una minaccia “democratica”, che colpisce indistintamente aziende, enti locali e organizzazioni di ogni dimensione.
Rivetti Di Val Cervo (ACN): “La sicurezza informatica è una responsabilità collettiva”
“La nuova Direttiva NIS2, recepita a livello nazionale, nasce proprio per rispondere a questa trasformazione. Essa introduce un quadro di obblighi più stringenti in materia di sicurezza informatica, non solo sul piano delle misure tecniche e organizzative, ma anche della gestione degli incidenti e della notifica delle violazioni. Mentre in passato gli obblighi riguardavano solo poche centinaia di soggetti, oggi la platea si amplia fino a comprendere decine di migliaia di realtà pubbliche e private. Questo perché gli attacchi informatici tendono sempre più spesso a colpire i soggetti più piccoli, con minori risorse difensive, ma ugualmente strategici per il tessuto economico e produttivo del Paese”, ha dichiarato Nicolò Rivetti Di Val Cervo, Servizio Regolazione, Capo Divisione NIS dell’Agenzia per la Cybersicurezza Nazionale.
La cybersecurity non è più soltanto una questione di difesa digitale, ma diventa un vero e proprio fattore di sopravvivenza e di competitività.
“La NIS2 impone infatti che ogni organizzazione soggetta alla normativa debba selezionare fornitori dotati di adeguati livelli di sicurezza informatica, estendendo così l’effetto della norma lungo l’intera filiera produttiva. In altre parole, la sicurezza diventa un elemento di mercato, un parametro che incide sulla reputazione, sull’affidabilità e sulla capacità di restare competitivi. Una delle novità più significative della nuova disciplina è l’estensione diretta delle regole al settore pubblico. Il legislatore europeo e quello nazionale hanno scelto di allineare gli obblighi di sicurezza del settore pubblico a quelli del settore privato – ha sottolineato Rivetti Di Val Cervo – riconoscendo il ruolo centrale che le amministrazioni pubbliche svolgono nel garantire la continuità dei servizi essenziali e nel custodire informazioni di grande valore.
Rientrano così tra i soggetti essenziali le amministrazioni centrali e i principali enti pubblici, mentre tra i soggetti importanti figurano città metropolitane, ASL, comuni capoluogo di regione e città con oltre 100.000 abitanti. Inoltre, il DPCM attuativo potrà estendere tali obblighi anche ad altre categorie di amministrazioni pubbliche, sulla base di criteri di rilevanza strategica o territoriale”.
Il messaggio di fondo è chiaro: la sicurezza informatica non è più solo un tema tecnico o specialistico, ma una responsabilità collettiva che coinvolge tutti — istituzioni, imprese, cittadini e fornitori: “Solo una strategia condivisa, fatta di regole comuni e di una cultura diffusa della sicurezza, potrà rendere l’Italia e l’Europa più resilienti di fronte alle nuove sfide del cyberspazio. Uno degli aspetti più delicati dell’attuazione della nuova disciplina in materia di cybersecurity riguarda la designazione dei punti di contatto e dei referenti CSIRT all’interno delle organizzazioni soggette alla Direttiva NIS2”.
“La normativa lascia spazio alla collaborazione con società in-house, aggregatori o soggetti terzi qualificati, che possono offrire supporto tecnico e operativo alle amministrazioni meno mature sotto il profilo della cybersecurity. Nel caso dei referenti CSIRT, la norma consente anche di esternalizzare tale funzione — non solo verso altre pubbliche amministrazioni, ma anche verso società di consulenza o fornitori tecnologici che gestiscono direttamente l’infrastruttura IT dell’ente”.
Questa possibilità non è esplicitata in modo rigido nelle determinazioni attuative, ha sottolineato il dirigente dell’ACN, ma risponde a un principio di realismo organizzativo: in un mondo ideale, ogni ente disporrebbe di una struttura autonoma e ben formata, con referenti e sostituti distinti. Nella pratica, però, soprattutto nel settore pubblico locale, la scarsità di risorse economiche e di personale rende necessaria una maggiore flessibilità.
“L’Agenzia per la Cybersicurezza Nazionale non incoraggia la sovrapposizione dei ruoli né l’esternalizzazione come prassi generale, ma riconosce che in molti casi queste soluzioni rappresentano l’unica via praticabile per garantire il rispetto degli obblighi e la continuità operativa. Il principio guida, dunque, resta quello di trovare un equilibrio tra rigore normativo e pragmatismo, assicurando che anche le amministrazioni di dimensioni ridotte possano partecipare attivamente al nuovo ecosistema di sicurezza cibernetica che la NIS2 intende costruire”, ha sostenuto Nicolò Rivetti Di Val Cervo.
Mazzini (Lepida): “Un cyber attacco di pochi euro può bloccare un intero servizio pubblico digitale”
“Tra le tante lezioni apprese in questi anni di gestione operativa della sicurezza informatica nella Pubblica Amministrazione, una delle più dure riguarda la sproporzione tra costo dell’attacco e costo della difesa”, ha detto il dg Lepida Mazzini.
“Un attacco DDoS (Distributed Denial of Service) è, in apparenza, un evento tecnico semplice da comprendere: qualcuno inonda i server di richieste fino a saturarne la capacità. Se si hanno 100 gigabit di banda e l’attacco ne genera 200, il sistema collassa — ed è come se “non passasse più nulla”.
Il problema, tuttavia, non è solo tecnico ma economico: per ogni euro speso dall’attaccante, quante decine — o centinaia — di euro deve investire chi difende? È una domanda cruciale per il futuro della sicurezza digitale. Un episodio emblematico riguarda il registro elettronico scolastico – ha spiegato Mazzini – adottato in migliaia di scuole. Ogni mattina, alle 8:25, l’ora dell’appello, si scatenava puntualmente un’ondata di attacchi DDoS. Bastava una “colletta” di pochi euro tra studenti — 8 euro per lanciare un attacco a pagamento — per mettere in crisi un’infrastruttura difesa con firewall e sistemi del valore di centinaia di migliaia di euro.
Il risultato era paradossale: un investimento di pochi euro poteva bloccare un intero servizio pubblico digitale. E mentre le scuole restavano inaccessibili, chi gestiva i sistemi si trovava ogni mattina a combattere la stessa battaglia — senza poter “spegnere le scuole alle 8” o sospendere i servizi. Quando la difesa di un servizio mette a rischio un altro. Il caso del registro elettronico rivela anche un secondo problema: la connessione tra servizi diversi all’interno delle infrastrutture pubbliche.
Un attacco rivolto a un sistema “non critico” — come quello scolastico — può infatti impattare altri servizi ospitati sulla stessa infrastruttura, anche molto più sensibili, come quelli sanitari.
Il dilemma diventa allora operativo e politico insieme: come bilanciare la protezione dei servizi essenziali (sanità, emergenza, reti critiche) con quella dei servizi ad alta visibilità ma meno strategici (scuola, amministrazione locale)? Ancora una volta, la risposta non è tecnica ma sistemica: serve una visione di sicurezza integrata, capace di considerare le interdipendenze tra settori e priorità diverse”.
In ultima analisi, ha detto Mazzini: “Il problema del DDoS scolastico mostra la fragilità economica e strutturale della difesa cibernetica: mentre l’attacco si compra con pochi clic e pochi euro, la difesa richiede risorse, pianificazione, formazione e infrastrutture costose. È una guerra asimmetrica, dove chi attacca gioca con semplicità e chi difende deve garantire continuità, legalità e servizio pubblico. Eppure è proprio in questo squilibrio che si gioca la partita più importante per il futuro digitale del Paese”.
Landi (Regione Emilia-Romagna): “La sicurezza informatica può essere — e deve essere — una funzione strategica di governo del digitale pubblico”
Nel percorso di adeguamento alla Direttiva NIS2 e alle linee guida dell’Agenzia per la Cybersicurezza Nazionale (ACN), la Regione Emilia-Romagna ha assunto un ruolo pionieristico, ha spiegato nel suo intervento Alessandro Landi, Dirigente Settore Innovazione Digitale, Dati, Tecnologia e Polo Archivistico della Regione Emilia-Romagna: “definendo una governance chiara e strumenti operativi concreti. Con una delibera regionale approvata a fine luglio 2025, sono stati individuati i soggetti dell’amministrazione coinvolti nella gestione della sicurezza informatica, nonché i due ruoli chiave previsti dalla normativa: il referente per la cybersicurezza e il punto di contatto unico, entrambi affidati a un’unica figura di coordinamento.
Si tratta di un passaggio importante, perché segna un cambio di paradigma: la cybersicurezza non nasce “dal basso”, come sommatoria di misure tecniche isolate, ma dev’essere coordinata, strutturata e consapevole, a partire dai vertici amministrativi”.
La Regione gestisce oggi una delle infrastrutture digitali pubbliche più ampie del Paese: circa 6.000 utenti interni al dominio regionale e oltre 8.000 utenti esterni, appartenenti ad amministrazioni locali e soggetti del territorio; oltre 100 sedi distribuite in Emilia-Romagna; circa 10.000 asset tra workstation, server e sistemi di storage; un migliaio di applicazioni operative e diversi petabyte di dati.
“I servizi vengono erogati principalmente dai data center regionali di Lepida, integrati con soluzioni cloud di Microsoft Azure e Google all’interno del Polo Strategico Nazionale (PSN), a garanzia della sovranità nazionale del dato. A queste si aggiungono componenti Software as a Service (SaaS), utilizzate per attività specifiche come la gestione di bandi online o i servizi di collaborazione interistituzionale. Il modello di sicurezza regionale si fonda su una convinzione chiara: nessuna tecnologia è efficace senza una parallela evoluzione organizzativa e culturale. Ogni innovazione — dall’introduzione della autenticazione multifattore (MFA), durata oltre 14 mesi, fino all’adozione di strumenti avanzati di monitoraggio — è stata accompagnata da formazione mirata, pubblicazioni interne e sessioni di sensibilizzazione per le cosiddette guide digitali distribuite nelle varie direzioni”, ha proseguito Landi.
“Già all’inizio del 2022, la Regione ha avviato un assessment completo con il Primo Framework Nazionale di Cybersecurity, individuando criticità e priorità di intervento. Da allora, grazie ai fondi del PNRR e successivamente alla Misura 55 dedicata alla sicurezza digitale, sono stati garantiti investimenti costanti per il triennio 2023-2026. L’obiettivo è duplice: Rafforzare la resilienza digitale del sistema pubblico regionale; Costruire una cultura di sicurezza diffusa, capace di coinvolgere amministratori, tecnici e personale operativo.
La NIS2 non è solo una direttiva tecnica, ma un esercizio di consapevolezza collettiva. La sicurezza nasce dalla governance e si consolida con la cultura organizzativa. Guardando al futuro – ha precisato Landi – l’Emilia-Romagna punta a consolidare il proprio modello su quattro pilastri: Governance chiara e ruoli definiti, in linea con ACN; Infrastrutture resilienti e distribuite (data center e cloud sovrano); Competenze diffuse e formazione continua; Investimenti strutturali, sostenuti da PNRR e fondi nazionali. Una strategia che coniuga pragmatismo e visione, dimostrando che la sicurezza informatica può essere — e deve essere — una funzione strategica di governo del digitale pubblico”.
Giannandrea (Lepida): “Difendere la rete pubblica significa difendere il patto di fiducia che lega la collettività alle istituzioni”
“Viviamo in un contesto in cui gli attacchi informatici sono ormai all’ordine del giorno. La dimensione della minaccia non è più episodica, ma sistemica. Si tratta, nella maggior parte dei casi, di attacchi a fini economici, progettati per estorcere denaro o trarre profitto illegittimo attraverso la compromissione di sistemi informativi e dati sensibili”, ha detto Stefano Giannandrea – Direttore Divisione Sicurezza Ambiente & Emergenza di Lepida.
“Il panorama criminale si è industrializzato: esistono oggi vere e proprie gang organizzate che operano secondo modelli di business consolidati, offrendo sul mercato servizi di “crime-as-a-service”. Negli ultimi mesi si è persino assistito alla nascita di alleanze tra gruppi di ransomware, che hanno unito le forze per massimizzare i profitti e ampliare la capacità offensiva. È un salto di qualità che conferma quanto la cybercriminalità sia diventata un ecosistema globale, coordinato e orientato al guadagno.
A fronte di queste strutture criminali – ha aggiunto Giannandrea – le capacità difensive delle organizzazioni pubbliche e private restano spesso inadeguate. Il rapporto tra costi e competenze è profondamente sbilanciato: per ogni euro investito da chi attacca, servono decine o centinaia di euro per difendersi. I numeri parlano chiaro: ormai è quasi inevitabile che ogni organizzazione — direttamente o tramite i propri fornitori — si trovi prima o poi a gestire un incidente informatico”.
“In questo quadro, la Pubblica Amministrazione si conferma uno dei bersagli privilegiati: gestisce dati di grande valore e servizi essenziali per i cittadini. Al tempo stesso, deve affrontare una transizione normativa complessa, segnata dalla Legge 90/2023 e dal decreto di recepimento della Direttiva NIS2, che introducono nuovi obblighi di sicurezza e responsabilità dirette per gli enti pubblici. Non si tratta più soltanto di un adempimento tecnico, ma di un obbligo istituzionale: garantire la continuità dei servizi digitali, la protezione dei dati personali e, soprattutto, la fiducia dei cittadini e delle imprese nella cosa pubblica. Difendere la rete pubblica significa difendere il patto di fiducia che lega la collettività alle istituzioni”, ha sottolineato Giannandrea.
“La Regione Emilia-Romagna, attraverso Lepida, ha intrapreso un percorso di cooperazione territoriale volto a creare una rete di sicurezza diffusa. L’obiettivo è fare fronte comune: condividere competenze, strumenti e capacità operative tra enti pubblici, riducendo la frammentazione e potenziando la capacità di prevenzione e risposta. Nasce in questa logica lo Csirt Emilia-Romagna, struttura di riferimento regionale per la gestione degli incidenti di sicurezza.
La sfida, oggi, è costruire un ecosistema di sicurezza collaborativo – ha detto Giannandrea – capace di anticipare gli attacchi, reagire rapidamente e condividere informazioni in tempo reale. La cybersicurezza non può più essere un tema di nicchia: è un bene pubblico, un’infrastruttura invisibile ma essenziale per la tenuta democratica, economica e sociale del Paese”.
Colajanni (Univ. di Bologna): “Non si può parlare di sicurezza senza sovranità”
“La cybersecurity non è delegabile a un gruppo ristretto di esperti o a un’organizzazione esterna, non ci sono i crociati che risolvono tutto, serve coinvolgimento diretto di tutti, soprattutto attraverso persone competenti e referenti interni che fungano da ponte, da cinghia di trasmissione, tra le strutture operative e gli enti di riferimento, come la Regione o Lepida”, ha dichiarato nelle conclusioni Michele Colajanni, Professore ordinario di Ingegneria Informatica presso l’Università di Bologna.
Viene richiamato l’articolo 38 delle nuove norme dell’ACN, che sancisce la responsabilità personale dei manager e dirigenti in caso di violazioni o mancanze nella sicurezza informatica: “È un cambio di paradigma, la sicurezza non è più solo un dovere tecnico, ma una responsabilità legale e personale del top management. La sicurezza parte dalla conoscenza interna dell’organizzazione: capire quali servizi sono critici e non possono essere interrotti; sapere quali dati, se sottratti, causerebbero crisi politiche, finanziarie o funzionali; identificare i “single point of failure” e rafforzare le aree deboli. Questa è la vera “partecipazione attiva”: sapere come si funziona e non aspettare che un consulente lo scopra dall’esterno.
La resilienza e la sicurezza informatica non sono un bollino o un requisito formale, ma un modo per migliorare l’efficienza organizzativa. Un’organizzazione che conosce i propri dati e i propri accessi è anche più efficiente”.
Colajanni ha poi aggiunto: “La sicurezza è composta da prevenzione, individuazione (detection), valutazione e risposta. La fase di detection oggi è dominata dall’intelligenza artificiale, poiché gli esseri umani non possono gestire manualmente migliaia di eventi al minuto”.
Un ultimo elemento chiave è l’intelligenza artificiale, che sta trasformando i Security Operations Center (SOC), destinati in parte a essere sostituiti o radicalmente ridisegnati. Il messaggio finale è un invito alla responsabilità condivisa: “La sicurezza informatica non si delega, si costruisce insieme. Serve consapevolezza, formazione, persone competenti e un impegno reale del top management”.
Ad essa Colajanni ha affiancato il tema della sovranità tecnologica, sottolineando che l’Europa — e l’Italia in particolare — è consumatrice e non produttrice di tecnologia: “Non ha un’autonomia digitale né capacità di influenza sulle grandi piattaforme globali, dominate dagli Stati Uniti”. Uno status di dipendenza tecnologica non frutto del caso, ma di scelte politiche e industriali mancate: “Noi il treno della sovranità digitale l’abbiamo perso venticinque anni fa. Invece di investire in infrastrutture, ricerca e competenze proprie, l’Europa (e in particolare l’Italia) ha delegato il controllo digitale a soggetti stranieri. Oggi, recuperare vent’anni di ritardo in un settore che cresce esponenzialmente è praticamente impossibile. Il problema è nella mancanza di visione comune in Europa: francesi, tedeschi e italiani procedono in ordine sparso, ognuno a difendere il proprio piccolo interesse nazionale”.
Serve una leadership condivisa, citando l’esempio di una figura “alla Draghi”, che possa guidare un vero progetto sovranazionale: “Serve un Draghi della situazione, super partes, che dica: tu francese fai questo, tu tedesco fai quello, tu italiano fai quest’altro.”
In sostanza, ha affermato Colajanni: “senza una coscienza di indipendenza digitale, non può esserci una vera strategia di sicurezza. Il cloud, per esempio, è gestito da aziende estere — americane o canadesi — anche quando i progetti vengono annunciati come “italiani” o “europei”. Non basta proclamarsi “protagonisti”, bisogna costruire capacità reali. Non si può parlare di sicurezza senza sovranità. E non si può invocare indipendenza tecnologica continuando a usare strumenti di chi si critica”.
