Cybersecurity nazionale

L'Agenzia per la cybersicurezza nazionale (ACN) è l'istituzione che ha il compito di coordinare le attività di sicurezza informatica a livello nazionale. Rappresenta uno dei passi avanti significativi fatti dall'Italia negli ultimi anni nel campo della cybersecurity. L'ACN svolge un ruolo strategico di indirizzo, coordinamento e monitoraggio periodico, volto ad attuare il piano di implementazione della Strategia nazionale di cybersicurezza. Tra le sue funzioni vi è anche quella di rilevare i fabbisogni finanziari delle amministrazioni responsabili nell'ambito del piano di implementazione della Strategia e di proporre, d'intesa con il Ministero dell'economia e delle finanze, i fondi che devono essere assegnati tramite DPCM.

Secondo i dati disponibili, le principali minacce informatiche per l'Italia sono il ransomware, i malware e le phishing attack. Nel 2023 il numero di attacchi informatici in Italia è aumentato del 12% rispetto al 2022, con il 69% degli attacchi di natura cybercriminale. Il costo medio di un attacco informatico per un'azienda italiana è di 200.000 euro. Inoltre, l'uso improprio delle credenziali da parte dei dipendenti è considerato una delle principali vulnerabilità delle infrastrutture critiche, tanto che è stata introdotta una specifica categoria di incidenti (ICP-A-20) dedicata a questi eventi nel perimetro di sicurezza nazionale cibernetica.

La Strategia Nazionale di Cybersicurezza (SNCS) definisce le priorità e gli obiettivi dell'Italia in materia di sicurezza informatica. Secondo la strategia, la sicurezza informatica deve fondarsi su capacità di monitoraggio continuo, rilevazione precoce e risposta tempestiva agli incidenti, articolate in livelli politico-strategico, operativo e tecnico-esecutivo. L'Italia riconosce il dominio cibernetico come ambito operativo strategico, al pari di terra, mare, aria e spazio. Per l'attuazione della Strategia, il Governo ha stanziato fondi significativi, come dimostrato dal DPCM pubblicato in Gazzetta Ufficiale il 30 settembre 2025, che ha assegnato quasi 60 milioni di euro per il triennio 2025-2027.

Il perimetro di sicurezza nazionale cibernetica è un sistema di governance condivisa che identifica, protegge e monitora quelle realtà pubbliche e private il cui funzionamento è essenziale per la sicurezza e il benessere del Paese. Non si tratta di un muro digitale o di un firewall nazionale, ma di un sistema che si basa sul concetto chiave di dipendenza tecnologica: un soggetto rientra nel perimetro quando svolge funzioni essenziali dello Stato o eroga servizi essenziali, e quando l'esercizio di tali funzioni o servizi dipende dall'utilizzo di reti, sistemi informativi e servizi informatici. Il DPCM 131/2020 ha definito undici settori strategici, ciascuno con la propria amministrazione competente che identifica i soggetti critici.

Il perimetro di sicurezza nazionale cibernetica include undici settori strategici: il settore governativo (coordinato dalla Presidenza del Consiglio); il settore dell'interno (Ministero dell'Interno); il settore della difesa (Ministero della Difesa); lo spazio e aerospazio; l'energia (MIMIT); le telecomunicazioni (MIMIT); l'economia e finanza (MEF); i trasporti (MIT); i servizi digitali (Presidenza del Consiglio); le tecnologie critiche (Presidenza del Consiglio, MIMIT e MUR); gli enti previdenziali e del lavoro (Ministero del Lavoro). Questi settori rappresentano il cuore pulsante dell'apparato statale nell'era digitale, e la loro protezione è fondamentale per garantire la sicurezza nazionale.

Nonostante i progressi fatti negli ultimi anni, in Italia persistono ancora alcune criticità nel campo della cybersecurity. Il livello di consapevolezza sui rischi informatici è ancora basso, sia tra le aziende che tra i cittadini. Le infrastrutture critiche nazionali sono ancora vulnerabili ad attacchi informatici. La carenza di personale qualificato in materia di sicurezza informatica rappresenta un problema serio. Inoltre, solo il 34% delle aziende italiane ha adottato un piano di risposta agli incidenti informatici. Un'altra criticità è rappresentata dalla gestione del rischio intrinseco alla catena di approvvigionamento, che rappresenta uno dei principali vettori di attacco, specialmente nell'attuale momento storico caratterizzato da una importante evoluzione tecnologica.

Il Piano per l'industria cyber nazionale, approvato dall'Agenzia per la cybersicurezza nazionale (ACN), è frutto della cooperazione fra ACN, MIMIT, MUR, MAECI e Dipartimento per la Trasformazione Digitale. Il Piano prevede 1,5 miliardi di euro da investire in ricerca, capitale di rischio e per internazionalizzare le startup del settore, con l'obiettivo di potenziare l'intero ecosistema industriale italiano della cyber security. I tre pilastri del Piano sono: sostegno all'innovazione e alla cooperazione tra ricerca e industria, sviluppo di startup e PMI, e sviluppo di nuove competenze. Il documento strategico delinea azioni, strumenti e fonti di finanziamento per supportare l'innovazione nell'era dell'AI (offensiva e difensiva), la crescita delle aziende e startup e la formazione per sviluppare competenze nel settore cyber.

Per migliorare la sicurezza informatica in Italia è necessario: aumentare la consapevolezza sui rischi informatici; investire nella formazione di personale qualificato in materia di sicurezza informatica; rafforzare le infrastrutture critiche nazionali; adottare misure di sicurezza adeguate a livello aziendale; collaborare a livello nazionale e internazionale per contrastare le minacce informatiche. Inoltre, è fondamentale promuovere l'autonomia tecnologica e strategica del Paese, rafforzando il concetto di sovranità digitale, intesa anzitutto come sovranità sul dato. Il Framework Nazionale per la Cybersecurity e la Data Protection rappresenta uno strumento importante per guidare le organizzazioni nell'implementazione di misure di sicurezza adeguate.

Il fattore umano gioca un ruolo centrale nella protezione delle infrastrutture digitali. In un'epoca in cui la sicurezza informatica è una questione sistemica, al pari della sicurezza fisica e della continuità operativa, è fondamentale considerare che la crescente sofisticazione delle minacce informatiche – che vanno dai ransomware alle tecniche avanzate di phishing, fino all'uso malevolo dell'intelligenza artificiale – può trovare inconsapevole collaborazione nell'errore o nella disattenzione umana. Le attività di accesso non autorizzato alle reti e ai sistemi informatici, anche quando effettuate da personale interno che abusa dei propri privilegi, costituiscono oggi una delle principali vulnerabilità delle infrastrutture critiche.

Il Framework Nazionale per la Cybersecurity e la Data Protection (FNCDP) è uno strumento indicato dall'Agenzia per la Cybersicurezza Nazionale (ACN) per l'adeguamento alle misure di sicurezza prescritte dalla direttiva NIS 2 e dal decreto legislativo che l'ha recepita in Italia. La versione 2.1 del FNCDP, pubblicata nel 2025, è sostanzialmente la traduzione in italiano del NIST CSF v2.0, con alcune differenze specifiche per il contesto italiano, come l'aggiunta della Category Data Management nella Function Identify, che contiene cinque Subcategory riferite alla privacy e che richiamano le norme del GDPR. Il Framework è strutturato in sei funzioni (Govern, Identify, Protect, Detect, Respond, Recover), ciascuna suddivisa in categorie e sottocategorie che rappresentano i singoli controlli da verificare e implementare.

L'Agenzia per la cybersicurezza nazionale (ACN) ha adottato linee guida per l'applicazione dei criteri di premialità, con l'intento di incentivare l'adozione di tecnologie di cyber sicurezza italiane o provenienti da specifici Paesi, qualora dovessero presentarsi esigenze di tutela della sicurezza nazionale. Il valore del premio da attribuire è pari a 8 punti, diversificati in base alle tecnologie. Per rendere più agevole l'attribuzione del punteggio, l'ACN ha messo a disposizione un tool in grado di interpretare i contenuti di una Bill of Materials (BOM), che consiste nell'identificare esattamente i luoghi di provenienza dei singoli componenti/servizi appartenenti alle tecnologie di cybersecurity. Eventuali difformità rispetto a quanto dichiarato dal fornitore, emerse in sede ispettiva, saranno causa di risoluzione del contratto.