Quarta puntata del Punto di Vista dell’Osservatorio dedicato alla Sovranità digitale.
La crescente dipendenza dai sistemi digitali impone nuove sfide alla sovranità digitale e alla cybersicurezza, rendendo necessaria una strategia di difesa contro minacce sempre più sofisticate. L’Unione Europea e l’Italia hanno adottato misure normative per proteggere dati e infrastrutture critiche, ma persistono vulnerabilità che richiedono investimenti strutturali e una maggiore cooperazione pubblico-privato. La transizione digitale, senza adeguate garanzie di sicurezza, rischia di compromettere la stabilità economica e sociale. Per garantire un futuro resiliente, è fondamentale un approccio integrato tra innovazione tecnologica, regolamentazione efficace e collaborazione internazionale.
La crescente dipendenza dai sistemi digitali pone sfide senza precedenti alla sovranità digitale, quale capacità di un Paese di esercitare un controllo autonomo sui propri dati, infrastrutture e tecnologie, inducendo gli Stati a sviluppare una maggiore consapevolezza sull’importanza della cybersicurezza. Infatti, garantire una protezione adeguata contro le minacce cibernetiche è diventato essenziale per preservare non solo l’autonomia tecnologica, ma anche la sicurezza nazionale, economica e sociale.
Con l’avanzamento tecnologico e la transizione digitale, i paradigmi della sicurezza informatica hanno subito una profonda trasformazione, evolvendosi fino a consolidarsi nel concetto di “cybersecurity”. Inizialmente il cyberspazio era percepito come uno spazio libero e privo di regolamentazione; tuttavia, la digitalizzazione ha inevitabilmente aumentato il livello di vulnerabilità della società da minacce cyber su tutti i fronti (ad es. frodi, ricatti informatici, attacchi terroristici) e, inoltre, con il crescente potere delle big tech e l’uso massiccio dei dati è emersa la necessità di un intervento statale per regolamentare il cyberspazio, salvaguardare l’indipendenza tecnologica e garantire la protezione dei dati personali.
Invero, la proliferazione di attacchi cyber sempre più sofisticati, come ransomware e campagne di disinformazione digitale, ha reso ancora più evidente l’urgenza di investire in tecnologie di difesa avanzate e in capacità di risposte rapide. Inoltre, nonostante gli sforzi delle istituzioni negli ultimi anni, frequenti sono ancora i data breach diretti ai sistemi informativi delle pubbliche amministrazioni. Per questa ragione, gli investimenti nella cybersecurity rappresentano oramai un elemento imprescindibile per lo sviluppo digitale. Secondo l’ultimo rapporto dell’Associazione Italiana per la Sicurezza Informatica (CLUSIT), nel primo semestre del 2024 sono stati rilevati 1.637 attacchi cyber a livello globale, con una media di 273 al mese, in aumento rispetto ai 230 del 2023 e ai 139 del 2019. L’Italia si conferma tra i Paesi più colpiti, rappresentando il 7,6% degli attacchi globali, concentrati principalmente su settori strategici come la sanità e il manifatturiero.
Da qui la necessità, da parte dell’Unione europea e degli Stati membri, di adottare misure normative o amministrative a tutela del patrimonio informativo.
In Italia, in particolare, un primo passo verso questa direzione è stato compiuto con il d.lgs. 18 maggio 2018, n. 65, in attuazione della direttiva (UE) 2016/1148 (Direttiva NIS), recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione. Tale direttiva è stata successivamente abrogata dalla Direttiva (UE) 2022/2555 (Direttiva NIS2), recepita con il d.lgs. 4 settembre 2024, n. 138, che ha ampliato e armonizzato le misure di sicurezza informatica a livello europeo (per un approfondimento sulla Direttiva NIS2, si rinvia a A. Palladino, Cybersecurity, adottata la Direttiva NIS2 per rafforzare la resilienza).
Ulteriori passi avanti sono stati compiuti con il d.l. 21 settembre 2019, n. 105, che ha istituito il Perimetro di sicurezza nazionale cibernetica, e con il d.l. 14 giugno 2021, n. 82, che ha sancito la nascita dell’Agenzia per la Cybersicurezza Nazionale (ACN), dipendente dalla Presidenza del Consiglio, responsabile della protezione delle infrastrutture critiche e della prevenzione delle minacce cyber. Inoltre, la Strategia Nazionale di Cybersicurezza 2022-2026, adottata a maggio 2022, rappresenta un ulteriore fondamentale tassello per rendere il Paese resiliente nel dominio digitale, con una particolare attenzione dedicata alla fiducia dei cittadini e alla piena tutela dei diritti e delle libertà fondamentali (sul tema, si veda P. Mascaro, La Strategia Nazionale per la Cybersicurezza).
Anche il Piano nazionale di ripresa e resilienza (Pnrr) ha riconosciuto la centralità della cybersicurezza nella realizzazione delle politiche di digitalizzazione, promuovendo interventi come la migrazione al cloud delle pubbliche amministrazioni e il rafforzamento delle infrastrutture critiche. Tuttavia, la crescente dipendenza da software (e la conseguente esposizione alle intenzioni degli sviluppatori/proprietari degli stessi) e l’aumento dell’interdipendenza delle “catene del valore digitali” (pubbliche amministrazioni, aziende controllate dallo Stato, privati) amplificano il rischio di attacchi, rendendo imprescindibili investimenti strutturali.
Un esempio di innovazione nel contrasto agli attacchi informatici è stato il CERT-PA, che, nel 2019, ha avviato una Piattaforma Nazionale per il contrasto agli attacchi informatici nella Pubblica Amministrazione. Nonostante la breve durata di questa iniziativa, la Piattaforma ha evidenziato l’importanza di strumenti di info-sharing per la prevenzione e il monitoraggio degli attacchi cyber.
Sebbene i progressi, permangono ancora molteplici sfide nonché ritardi significativi nell’adozione di misure efficaci.
In primo luogo, per raggiungere un livello di sicurezza elevato, è essenziale investire anche nelle risorse umane: occorre cioè immettere nuovo personale, specialmente nei comparti preposti a difendere il Paese da minacce cibernetiche, nonché irrobustire gli asset e le unità cyber incaricate della protezione della sicurezza nazionale e della risposta alle minacce cyber. Un esempio è rappresentato dalla figura del Responsabile per la transizione digitale nelle pubbliche amministrazioni che in tale contesto assume un ruolo fondamentale, anche per introiettare la cultura del dato che attualmente manca e di cui vi è bisogno.
In secondo luogo, l’assenza di standard internazionali condivisi e la mancanza di risorse in alcuni Paesi rappresentano ostacoli rilevanti. La crescente sofisticazione degli attacchi richiede un aggiornamento costante delle infrastrutture e l’adozione di politiche flessibili in grado di rispondere rapidamente ai rischi emergenti. La transizione digitale, senza un adeguato sviluppo della cybersicurezza, rischia di compromettere la continuità dei servizi pubblici e la fiducia dei cittadini e delle imprese; pertanto, si evidenzia l’urgenza di un approccio integrato per garantire la resilienza del sistema digitale. In tal senso, la cooperazione internazionale è altrettanto cruciale: iniziative come il Cybersecurity Act dell’Unione Europea, la NATO Cyber Defence Pledge e, da recente, il Cyber Solidarity Act dimostrano l’importanza di un approccio collaborativo per affrontare le minacce transnazionali; dunque, a livello normativo, è essenziale stabilire standard rigorosi che assicurino la protezione dei dati e la trasparenza delle piattaforme digitali.
Allo stesso tempo, il settore privato si dimostra spesso più reattivo nel contrastare le minacce, sottolineando la necessità di una collaborazione pubblico-privato più strutturata. Si pensi alle aziende leader come Google, Microsoft e Palantir, che al fine di rafforzare la sicurezza informatica investono nell’intelligenza artificiale.
Per concludere, in un mondo sempre più interconnesso, investire nella cybersicurezza non è solo una necessità tecnica, ma un imperativo strategico. La sovranità digitale, influenzando la capacità degli Stati di garantire la propria resilienza e autonomia nel contesto globale, rappresenta una delle sfide più cruciali del nostro tempo. L’Italia, nel corso degli anni, ha sviluppato numerosi documenti programmatici e operativi che costituiscono l’ossatura italiana della cybersecurity, ma i dati CLUSIT rivelano che è ancora lungo il percorso da fare. Dunque, per rispondere alle minacce cibernetiche e superarne le sfide è necessario un equilibrio tra sviluppo tecnologico, regolamentazione efficace e collaborazione internazionale, con l’obiettivo di costruire un futuro digitale sicuro e inclusivo per tutti.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
