Un piano strategico di cybersecurity per l'Italia

di Matteo Montagner (Trento)

Sicurezza informatica: da obbligo normativo a leva strategica per il Sistema Paese

Cosa succederebbe se un attacco informatico coordinato spegnesse i semafori di una grande città italiana, paralizzando il traffico urbano e i soccorsi? O se i sistemi informatici di un’intera Regione venissero messi fuori uso da un ransomware, impedendo per giorni l’erogazione di prestazioni sanitarie e certificati pubblici? O ancora, se un malware colpisse i sistemi di una utility energetica, bloccando la distribuzione di energia elettrica o gas su scala nazionale?

Non sono scenari di fantascienza, ma episodi già accaduti altrove. L’attacco informatico contro la sanità pubblica irlandese nel 2021 ha paralizzato i servizi per settimane. Il blocco del Colonial Pipeline negli Stati Uniti ha messo in crisi la logistica dei carburanti su tutta la East Coast. La minaccia cibernetica è concreta, e l’Italia è oggi altamente esposta.

La trasformazione digitale del Paese, accelerata dal PNRR e dagli investimenti europei, ha ampliato la nostra area sensibile a possibili attacchi. Le reti digitali sono il nuovo sistema nervoso della società: proteggere questi asset significa garantire continuità operativa, fiducia dei cittadini, stabilità economica, ordine pubblico e quindi in buona sostanza la democrazia.

Per affrontare questa sfida serve un salto di paradigma culturale, politico e operativo.

La Direttiva NIS2 (UE 2022/2555), che il nostro Paese è chiamato a recepire pienamente, amplia in modo significativo gli obblighi in materia di cybersecurity per le Organizzazioni pubbliche e private, estendendoli a una vasta platea di soggetti strategici, inclusi energia, trasporti, finanza, sanità, fornitori di servizi digitali e molte PMI coinvolte nelle filiere produttive. Si passa da un perimetro ristretto a un approccio sistemico, che riconosce la natura interdipendente della nostra economia e delle nostre infrastrutture.

La direttiva impone requisiti precisi: analisi dei rischi, gestione degli incidenti, sicurezza della supply chain, politiche di crittografia, formazione del personale, continuità operativa. A ciò si aggiungono altre normative europee emergenti come il Cyber Resilience Act, che rafforza la responsabilità dei produttori di software e dispositivi connessi, e il DORA – Digital Operational Resilience Act, che impone stringenti requisiti di resilienza ICT nel settore finanziario.

In questo contesto normativo in rapida evoluzione, il framework NIST (National Institute of Standards and Technology) statunitense rappresenta un punto di riferimento solido e condiviso a livello internazionale. basato su cinque funzioni chiave — Identify, Protect, Detect, Respond, Recover — il modello NIST promuove una gestione integrata, ciclica e consapevole del rischio informatico. Ed è proprio questo il cuore del cambiamento che serve anche in Italia.

Non possiamo più limitarci a una logica di mero adempimento normativo in chiave burocratica. È tempo di abbandonare una postura di inerzia reattiva a favore di un approccio proattivo, dinamico, strutturale. La sicurezza informatica deve essere integrata by design e by default nei processi aziendali, amministrativi e infrastrutturali.

Serve un nuovo paradigma nazionale che preveda:

• Stress test e assessment periodici degli asset digitali e delle infrastrutture critiche;
• Piani annuali di vulnerability assessment e penetration testing, condotti da terze parti qualificate, con report chiari e azionabili;
• Attività di red teaming e simulazioni di attacco, per misurare sul campo la reattività dei team interni e la tenuta complessiva del sistema;
• Controlli continui sulla supply chain digitale, oggi uno dei punti più esposti;
• Adozione strutturale di Security Operations Center (SOC) evoluti, capaci di rilevare e rispondere in tempo reale alle minacce.

Queste pratiche devono diventare parte integrante di una strategia di resilienza nazionale, coerente anche con gli indirizzi contenuti nel Codice dell’Amministrazione Digitale (CAD) e nel Piano Triennale per l’Informatica nella Pubblica Amministrazione, che indicano chiaramente la necessità di garantire la sicurezza, la disponibilità e l’integrità dei dati come prerequisiti per una digitalizzazione efficace.

Ma non è solo una questione di tecnologia. Al centro della resilienza cyber ci sono le persone. L’essere umano è, e resta, il primo vettore d’attacco: phishing, social engineering, furti di credenziali e attacchi mirati agiscono spesso sfruttando la disattenzione o l’inesperienza dei dipendenti. Per questo è fondamentale investire in:

• Formazione continua e capillare, sia nella PA sia nel settore privato;
• Integrazione della cybersecurity nei percorsi HR, fin dall’onboarding;
• Diffusione di una cultura della sicurezza che trasformi i comportamenti individuali e collettivi

Un’attenzione particolare va riservata al tessuto produttivo delle PMI, che spesso non dispone di risorse dedicate, ma gioca un ruolo cruciale nelle catene del valore. Occorre promuovere misure di accompagnamento, incentivi fiscali, consorzi territoriali e strumenti di condivisione che rendano accessibile a tutte le Imprese un livello adeguato di protezione.

Secondo il sondaggio Generali-Confindustria del 2024, condotto su un campione di 1.008 PMI, solo il 18% delle Aziende ha un piano di cybersecurity strutturato e aggiornato. Il 62% delle PMI ritiene il rischio cyber crescente, ma meno del 30% ha effettuato test di sicurezza o valutazioni di vulnerabilità negli ultimi 12 mesi. Eppure molte di queste Imprese sono fornitori di grandi gruppi o operano in settori strategici.

È evidente che la resilienza del sistema industriale italiano passa anche dalla protezione degli anelli più piccoli.

Per questo è il momento di proporre un Piano Nazionale per la Cybersecurity delle Imprese, analogo al modello “Industria 4.0”, con incentivi fiscali mirati, voucher tecnologici, fondi per il supporto alla remediation e linee guida tecniche per gli assessment.

Un piano che si ispiri alle esperienze più avanzate a livello internazionale (es. il Cybersecurity Incentives Program statunitense e il Cybersecurity Preparedness Grant canadese), e che contenga:

1. Accesso facilitato a fondi e strumenti per la sicurezza preventiva: voucher per assessment indipendenti, strumenti open source certificati, linee guida di baseline settoriale, piattaforme condivise regionali per la risposta agli incidenti.
2. Supporto tecnico alla remediation post-incidenti, anche attraverso consorzi di esperti e helpdesk nazionali pubblici-privati.
3. Tre proposte di nudging operativo, per orientare il comportamento delle Organizzazioni:
   • Incentivi fiscali (IRES premiale) per investimenti in cybersecurity, includendo hardware, software e formazione;
   • Criteri premianti nei bandi di public procurement, affinché gli investimenti in sicurezza diventino una leva per l’accesso ai fondi pubblici;
   • Adozione di criteri condivisi con il progetto europeo EU Secure, per promuovere la conformità delle PMI al Cyber Resilience Act, con audit leggeri ma efficaci, checklist comuni e strumenti digitali guidati.

La sfida è chiara: costruire un Sistema Paese cyber-resiliente, che sappia integrare la sicurezza nelle sue filiere produttive, nei suoi servizi pubblici e nel suo capitale umano.

È tempo di costruire un Piano Cyber Italia, ambizioso e inclusivo, che renda la sicurezza informatica non solo un obbligo, ma una leva strategica di sviluppo e di sovranità nazionale.

Una proposta liberale per la cybersicurezza: meno burocrazia, più libertà e competitività

In un contesto europeo che sta alzando l’asticella normativa con la Direttiva NIS2 e il Cyber Resilience Act, l’Italia ha l’opportunità di rispondere non con nuovi vincoli, ma con un piano di intervento liberale che favorisca chi investe in sicurezza, riduca la burocrazia e aumenti la competitività delle Imprese.

La proposta si fonda su tre pilastri concreti:

1. Incentivo fiscale IRES premiale Le Imprese che investono in sicurezza informatica (infrastrutture, assessment, formazione, SOC, penetration test) potranno accedere a una deduzione maggiorata del costo sostenuto, analogamente a quanto già avviene per Transizione 4.0.

   Non si impone un obbligo, si premia chi sceglie la strada della resilienza.

 

2. Semplificazione burocratica e sportello unico cyber Oggi una PMI deve interfacciarsi con molteplici soggetti (AgID, ACN, Camera di Commercio, Regione, consulenti). La proposta è di introdurre uno sportello unico nazionale e digitale, che offra accesso centralizzato a:
   • voucher per assessment e remediation,
   • checklist guidate per la compliance NIS2 e CRA,
   • piattaforme open source per test di vulnerabilità.

   Meno carte, più strumenti pratici.

 

3. Premialità nel procurement pubblico La sicurezza informatica deve diventare criterio premiato nei bandi pubblici: un’Impresa che adotta misure avanzate o ha certificazioni di sicurezza ottiene un punteggio aggiuntivo.

   Cybersecurity come leva di mercato, non come tassa occulta.

 

Inoltre, la proposta prevede l’adozione nazionale dei criteri armonizzati del progetto europeo EU Secure, per accompagnare le PMI alla compliance del Cyber Resilience Act senza costi sproporzionati: audit leggeri, strumenti digitali, supporto tecnico.

Un piano nazionale per la cybersicurezza basato su incentivi, semplificazione e fiducia nel mercato, che taglia burocrazia inutile e trasforma la sicurezza digitale da obbligo a opportunità concreta di crescita, competitività e innovazione.

Serve una svolta radicale. Non bastano più piani timidi o raccomandazioni generiche. L’Italia ha bisogno di una scossa culturale e fiscale per affrontare la sfida della cybersicurezza.

La proposta è semplice: le Aziende che non investono in sicurezza digitale non godranno di agevolazioni fiscali. Come funziona:

• Chi investe in cybersecurity (VA/PT, SOC, formazione, crittografia, etc.) accede a un’IRES ridotta fino al 18%.
• A chi non investe in sicurezza digitale si continuerà ad applicare l’aliquota piena (24%) e subirà un malus negli appalti pubblici.

È il principio del “chi protegge, risparmia” – chi trascura, paga”. Perché la vulnerabilità digitale di un’Impresa è un rischio collettivo. Come accade con l’ambiente: chi inquina paga. Ora chi non protegge contribuisce di meno al bene comune.

In parallelo, la burocrazia va ridotta ai minimi termini, come prima indicato: uno sportello unico nazionale digitale per la compliance NIS2 e CRA, tool guidati per autovalutazione, voucher automatici per test di sicurezza e remediation.

Inoltre chi è in regola ottiene accesso preferenziale al procurement pubblico e ai fondi PNRR. Una rivoluzione meritocratica: la cybersicurezza come passaporto economico. È tempo di smettere di considerare la sicurezza informatica un costo. È un dovere civile, un vantaggio competitivo, una responsabilità verso il Paese. Lo Stato deve dirlo con chiarezza: l’era dell’indifferenza è finita.

Conclusioni

Dobbiamo avere chiaro che la sicurezza informatica non è solo un tema privato, ma un interesse pubblico primario, esattamente come la salute o l’ambiente. È un bene comune, fondamento della nostra sovranità digitale e della nostra libertà democratica.

In un mondo dove l’informazione è un fattore di potere di vitale importanza sia negli aspetti di vita privati che pubblici, proteggere i dati significa proteggere il futuro. Chi controlla i dati controlla i flussi economici, le scelte strategiche, le priorità geopolitiche.

È il momento di compiere un upgrade come Sistema Paese. Non possiamo più limitarci a rincorrere gli attacchi o a rispondere a posteriori. Dobbiamo prevenirli, anticiparli e, quando necessario, saper reagire con lucidità e coordinamento. Serve prevenzione, consapevolezza, investimento strutturale. Serve una visione politica alta, che ponga la cybersecurity al centro della competitività nazionale.

Solo così potremo garantire all’Italia un futuro digitale sicuro, libero e sostenibile.