La trasformazione digitale della Pubblica Amministrazione rappresenta una sfida cruciale per l’Italia. Le normative e i regolamenti recentemente adottati a livello europeo – come NIS2, AI Act e DORA – mirano a rafforzare la resilienza dei settori e delle infrastrutture critiche. In questo scenario, però, la realtà quotidiana della PA nel nostro Paese spesso si scontra con iter burocratici complessi e lenti che rischiano di compromettere l’efficacia delle soluzioni adottate in termini di cybersecurity.
Indice degli argomenti
Cybersecurity nella PA, innovazione e burocrazia: i limiti da superare
Uno dei principali ostacoli all’evoluzione della cybersecurity nella PA è rappresentato dai tempi di aggiornamento delle convenzioni Consip, che avvengono ogni quattro anni. In un panorama in cui le minacce informatiche si evolvono nell’arco di poche ore, quattro anni rappresentano un’era geologica.
Non è un caso che le infrastrutture critiche italiane risultino sempre più appetibili a tutte le categorie di attaccanti informatici, dai cyber criminali ai quali permettono di massimizzare i proventi illeciti, agli attacchi sponsorizzati dai governi nei contesti di spionaggio e competitività, fino agli hacktivisti. Analizzando i dati estratti dai FortiGuard Labs di Fortinet – messi in luce nel Rapporto Clusit 2025 – emerge infatti che l’Italia nel 2024 è stata colpita dal 2,91% delle minacce globali, rispetto allo 0,79% dell’anno precedente.
Un ulteriore fattore che complica i processi di adozione di tecnologie all’avanguardia è il criterio di aggiudicazione delle gare, spesso basato sul prezzo più basso. Questo approccio, sebbene economicamente vantaggioso nel breve termine, rischia di compromettere la qualità dei servizi offerti e l’efficacia delle soluzioni implementate in ambito pubblico nel lungo periodo.
Il nuovo portale di ACN: un passo avanti per la cybersecurity nella PA
In questo scenario, è fondamentale adottare una strategia di cybersecurity nella PA più dinamica e funzionale a seconda delle esigenze e del contesto. Il nuovo Centro di Valutazione e Certificazione (CVCN) dell’Agenzia per la Cybersicurezza Nazionale rappresenta un passo in avanti nella giusta direzione.
Il portale consente alla PA di selezionare prodotti già certificati, riducendo i tempi di approvvigionamento e garantendo standard elevati di sicurezza. Ora, diviene necessario affiancare a queste iniziative un margine di autonomia maggiore per i CISO e gli IT manager delle amministrazioni pubbliche, fornendo loro budget dedicati e la possibilità di adottare rapidamente tecnologie innovative senza passare attraverso procedure burocratiche troppo lunghe.
La sinergia pubblico-privato per una cybersecurity efficace
La cybersecurity, anche nella PA, non può però essere affrontata in modo isolato. La collaborazione tra pubblico e privato rappresenta la chiave per vincere le sfide future oltre che per affrontare minacce globali che superano i confini aziendali e nazionali.
Per questo motivo, Fortinet è tra i membri fondatori della Cyber Threat Alliance, consorzio internazionale istituito nel 2014 che promuove la condivisione delle informazioni sulle minacce emergenti anche tra competitor. Si pensi però anche a iniziative come Nato Industry Cyber Partnership, Interpol Gateway e Cybercrime Atlas, che favoriscono la condivisione tempestiva di informazioni, migliorando la capacità di prevenzione e risposta. Queste collaborazioni creano un ecosistema di difesa in cui istituzioni governative, aziende e organizzazioni internazionali lavorano insieme per sviluppare standard condivisi e risorse per contrastare il crimine informatico su larga scala.
Protocolli d’intesa per rafforzare la cybersecurity nella PA
In linea con questo impegno, abbiamo recentemente siglato un protocollo d’intesa con l’Agenzia per la Cybersicurezza Nazionale con l’intento di collaborare per rafforzare la resilienza cibernetica del Paese.
Il protocollo è finalizzato alla successiva definizione di accordi attuativi che prevedono potenziali aree di collaborazione su diversi temi, quali la condivisione di best practice, lo scambio di informazioni, metodi di analisi e programmi di cyber threat intelligence e la possibilità di intraprendere iniziative su temi quali la formazione con la realizzazione di eventi educativi sul territorio destinati a diffondere e aumentare la consapevolezza dei rischi legati alla cybersecurity e le conoscenze in materia.
Di rilievo, nel nostro Paese, è anche la collaborazione con la Polizia Postale, che mira a garantire livelli di azione rapidi, elevati e altamente qualificati attraverso lo scambio di informazioni relative alla sicurezza legate alla protezione delle infrastrutture informatiche critiche. Il tutto, ponendo uno specifico focus anche sul tema delle competenze.
Competenze di cybersecurity nella PA: il gap da colmare
La trasformazione digitale della PA, infatti, necessita di conoscenze e skill adeguate, anche di cybersecurity. Di rilievo, in tal senso, sono i dati del Global Cybersecurity Skills Gap Report 2024, che mettono in evidenza le attuali sfide legate alla carenza di competenze in materia di cybersecurity e come questa stia avendo un impatto sulle organizzazioni di tutto il mondo, anche in ambito pubblico.
Secondo lo studio, nell’ultimo anno, l’86% dei leader d’azienda in Italia ha dichiarato di aver subito una violazione che può essere parzialmente attribuita alla mancanza di skill di cybersecurity nei team che si occupano di rete e di sicurezza. L’impatto è considerevole se si tiene in conto che il 58% dei partecipanti ha dichiarato di attribuire tali attacchi alla mancanza di consapevolezza sul tema della sicurezza da parte delle loro organizzazioni e dipendenti. Non da ultimo, il 44% ha evidenziato come siano stati necessari da 1 a 3 mesi per recuperare i danni derivanti dagli attacchi subiti.
In questo scenario, nel nostro Paese, il 2024 Security Awareness and Training Report sottolinea che i dipendenti di quasi il 66% delle organizzazioni non hanno consapevolezza in materia di cybersecurity, il 76% dei responsabili d’impresa si aspetta un maggior numero di lavoratori vittima di attacchi basati sull’AI e l’84% ritiene che una maggiore consapevolezza del personale su questi temi rafforzerebbe la postura di sicurezza della propria organizzazione.
Investire nella formazione per la cybersecurity nella PA
Per colmare questo divario, investiamo in programmi di formazione e sensibilizzazione e abbiamo aderito all’iniziativa Cybersecurity Skills Academy della Commissione Europea, estendendo l’Academic Partner Program a 37 nuove istituzioni educative in tutta l’Unione Europea, delle quali 7 in Italia, tra cui l’Università Campus Bio-Medico di Roma e l’Università degli Studi di Bari Aldo Moro.