A cura di Giacomo Parravicini, Direttore IndraMind Cybersecurity in Italia
Negli ultimi anni la Pubblica Amministrazione italiana ha intrapreso una corsa alla digitalizzazione senza precedenti. Il PNRR, da solo, ha attivato oltre 68.000 progetti digitali, coinvolgendo praticamente la totalità dei comuni italiani; il Piano Triennale per l’Informatica ha definito una traiettoria condivisa, e la Strategia Cloud Italia ha posto le basi infrastrutturali del nuovo perimetro pubblico. Un’accelerazione che, fino a pochi anni fa, sarebbe stata difficile da immaginare.
A questa accelerazione, però, ne corrisponde un’altra, meno visibile e più insidiosa: quella della superficie d’attacco. Il Rapporto Clusit 2026 restituisce un quadro che dovrebbe far riflettere chiunque abbia responsabilità di servizio pubblico: nel 2025 il numero complessivo di incidenti in Italia è cresciuto del 42%, e proprio il settore governativo e della PA è tornato al primo posto tra i comparti più colpiti, con oltre il 28% degli incidenti e un balzo di dodici punti percentuali rispetto all’anno precedente. A trainare questa dinamica è soprattutto il DDoS, diventato la prima tecnica di attacco nel nostro Paese (38,5%, quasi il doppio rispetto al 2024), spesso nel quadro di campagne hacktiviste che prendono di mira proprio i servizi pubblici essenziali. Non sono numeri che riguardano il dipartimento IT: riguardano la continuità dei servizi, la fiducia dei cittadini, la stessa credibilità delle istituzioni.
È a partire da questa consapevolezza che emerge una domanda diversa. Non più se investire in cybersecurity, ma quale modello di sicurezza vogliamo costruire intorno allo Stato digitale. Uno Stato che protegge i dati e l’identità dei cittadini con la stessa serietà con cui protegge i propri confini, le proprie città. Uno Stato che garantisce continuità operativa anche sotto pressione e che fa della resilienza una promessa istituzionale, non un’eccezione gestita in emergenza. In questo passaggio, credo che le amministrazioni debbano muoversi su tre direzioni parallele.
La prima è la sicurezza by design. Per troppo tempo abbiamo trattato la cybersecurity come uno strato da aggiungere a sistemi già progettati e in esercizio. Una logica che oggi non regge più. In un perimetro pubblico fatto di cloud, identità digitali, piattaforme interoperabili e applicazioni di intelligenza artificiale, ogni componente nasce con un proprio profilo di rischio: pretendere di proteggerla a posteriori significa rincorrere. La sicurezza, di conseguenza, va progettata insieme al servizio: nei modelli di dati, nelle architetture applicative, nei flussi di accesso, nei contratti con i fornitori.
Significa adottare framework come Zero Trust, gestione adattiva delle identità, monitoraggio continuo, automazione e IA per il rilevamento delle minacce. Ma significa, soprattutto, un cambio culturale: smettere di percepire la sicurezza come un freno e iniziare a riconoscerla per quello che è, cioè la condizione che rende la velocità sostenibile nel tempo.
La seconda direzione è la sovranità tecnologica. La PA non gestisce dati come gli altri: gestisce informazioni che riguardano la vita, la salute, i diritti delle persone. In un mondo in cui le minacce si fanno più sofisticate e le tensioni geopolitiche ridisegnano equilibri che davamo per acquisiti, affidarsi a catene tecnologiche che non controlliamo diventa un rischio che il settore pubblico non può più permettersi.
Sovranità vuol dire conoscere dove risiedono i dati, chi sviluppa e manutiene le soluzioni che li proteggono e secondo quali regole. L’Europa sta costruendo un quadro normativo e industriale che va esattamente in questa direzione, e disporre di fornitori europei con tecnologie proprietarie di cybersecurity significa poter contare su un controllo reale del ciclo di vita del prodotto, sulla conformità normativa e su un’evoluzione dei servizi coerente con le priorità del nostro contesto istituzionale.
La terza direzione, forse la più sfidante, riguarda la governance. La cybersecurity nella PA non si risolve con un singolo strumento o una singola scelta tecnica: è il risultato di un coordinamento continuo tra cultura, processi, competenze e tecnologia. Il quadro normativo dei prossimi anni – AI Act, NIS2, Perimetro di Sicurezza Nazionale – sta spostando proprio qui l’asticella: chiede alle amministrazioni di passare da una conformità formale a una capacità reale di governo del rischio. Vuol dire ruoli e responsabilità chiare, metriche affidabili per misurare la postura cyber, gestione unificata di identità, accessi privilegiati e configurazioni cloud, e una formazione che renda la sicurezza una pratica diffusa, non un’eccezione affidata a pochi specialisti.
C’è un filo che tiene insieme queste tre direzioni, ed è la fiducia. La cybersecurity, nella PA, non è soltanto difesa di un perimetro: è protezione quotidiana del rapporto tra cittadino e istituzioni. Ogni servizio digitale che continua a funzionare, anche sotto attacco, è un atto di credibilità dello Stato. Ogni dato protetto è una promessa mantenuta. La fase che stiamo vivendo di trasformazione digitale non si misurerà nel numero di applicazioni rilasciate o di processi automatizzati, ma nella capacità di tenere insieme innovazione e sicurezza, velocità e responsabilità, autonomia tecnologica e sovranità europea.
