Oggi tutto è digitale: sanità, trasporti, PA, energia, comunicazioni ma la sicurezza è spesso considerata un onere o un tema secondario
Oggi tutto è digitale: sanità, trasporti, pubblica amministrazione, energia, comunicazioni. Le nostre vite scorrono ormai dentro sistemi informatici che, proprio per questo, vanno protetti. Ma la verità è che la consapevolezza della necessità di protezione – la cybersecurity – non è ancora davvero diffusa.
In origine la minaccia era rappresentata dal cyber crime, virus, malware, intrusioni finalizzate a rubare dati o a estorcere denaro. Poi è emersa una seconda minaccia, il cyber terrorismo, con attacchi mirati a generare panico e caos. Ma oggi lo scenario è cambiato ancora. La guerra cibernetica tra Stati – la cosiddetta cyberwar – è un fenomeno reale. I conflitti si combattono anche attraverso attacchi informatici in grado di paralizzare infrastrutture critiche. A ciò si aggiungono gli incidenti non volontari, spesso causati da errori, disattenzioni o vulnerabilità trascurate.
Eppure, nonostante l’evidenza di un rischio sempre più concreto e pervasivo, la percezione della cybersicurezza resta debole. Non solo tra i cittadini, ma anche in molte aziende e istituzioni pubbliche. La tecnologia da sola non basta. Serve una cultura della sicurezza, quotidiana, strutturata, interiorizzata.
Lo dimostrano i fatti. Nel 2021, un attacco ransomware ha colpito i sistemi della Regione Lazio, bloccando tra l’altro la piattaforma di prenotazione dei vaccini. L’origine? Un accesso remoto, sembrerebbe, con credenziali rubate a un dipendente in smart working, senza autenticazione a più fattori. Nel 2020, Enel ha subito un attacco che ha sottratto terabyte di dati sensibili. Anche in quel caso, si ipotizza l’ingresso tramite phishing o vulnerabilità non corrette. L’anno prima, l’azienda norvegese Norsk Hydro ha visto paralizzati i suoi impianti industriali per giorni a causa di un ransomware avviato da un semplice file Word aperto da un dipendente. In tutti questi casi, la falla non era solo tecnica, ma culturale: mancavano consapevolezza, formazione, attenzione quotidiana.
Questa mancanza di attenzione attraversa tanto il settore pubblico quanto quello privato. Nelle piccole amministrazioni locali come nei grandi enti centrali, nelle PMI come nelle multinazionali, la sicurezza informatica viene spesso considerata un onere, un ostacolo operativo o un tema secondario. È un atteggiamento pericoloso. Finché non si verifica un attacco, la sicurezza sembra sempre una spesa evitabile. Ma quando l’attacco arriva, le conseguenze possono essere devastanti: perdita di dati, interruzioni operative, sanzioni, danni reputazionali, blocchi dei servizi.
Proprio per cercare di ridurre la vulnerabilità complessiva dei sistemi, l’Unione Europea ha avviato un percorso normativo già a partire dalla Direttiva NIS del 2016, la prima a imporre obblighi precisi agli operatori di servizi essenziali e ai fornitori digitali. In Italia, l’impegno normativo si è concretizzato a partire dal 2019 con la legge n. 133, che ha introdotto il perimetro di sicurezza nazionale cibernetica per proteggere infrastrutture strategiche pubbliche e private.
Nel 2021, con il decreto-legge 82 – poi convertito nella legge 109 – è stata istituita l’Agenzia per la Cybersicurezza Nazionale (ACN), un organismo centrale per il coordinamento della sicurezza informatica del Paese. L’ACN ha tra i suoi compiti la promozione della resilienza dei sistemi, la gestione delle crisi cibernetiche e la rappresentanza dell’Italia nel contesto internazionale.
Nel 2024, la legge n. 90 ha rafforzato ulteriormente il quadro, prevedendo nuovi obblighi di notifica per determinati tipi di incidenti e l’istituzione di referenti per la cybersicurezza presso tutte le pubbliche amministrazioni. È un passo importante, che sancisce una responsabilità diretta e concreta per ciascun ente.
Tuttavia, a fronte di norme più strutturate e organismi di coordinamento sempre più efficienti, resta una criticità fondamentale: l’assenza di una cultura diffusa della sicurezza. Il rischio informatico viene ancora percepito come un problema tecnico e specialistico, quando in realtà riguarda tutti. Chi scrive una mail, chi salva un file, chi gestisce un database, chi accede a un portale pubblico.
Lo dimostrano i numeri, ma anche casi meno noti, come le email truffa inviate a enti locali o piccole aziende, con finti ordini di bonifico firmati “dal dirigente”, che hanno provocato perdite economiche reali per la mancanza di procedure interne di verifica. O come gli attacchi a ospedali europei, entrati nei sistemi sanitari attraverso mail aperte inavvertitamente da un dipendente, causando il blocco delle attività ospedaliere per giorni.
Servono procedure, investimenti, formazione. Ma prima ancora, serve consapevolezza. La cybersicurezza deve diventare una responsabilità condivisa, un valore da tutelare come l’ambiente o la salute. Non basta aggiornare software o installare firewall. Serve un cambiamento di mentalità, un’educazione continua, una capacità di leggere i segnali del rischio prima che sia troppo tardi.
La cybersicurezza è oggi un pilastro della democrazia digitale. Non possiamo permetterci che poggi su fondamenta fragili. Le minacce non aspettano. È il momento di capire che proteggere i nostri sistemi significa proteggere noi stessi, le nostre informazioni, i nostri diritti. Solo una reale e profonda cultura della sicurezza potrà renderci davvero resilienti nel mondo digitale.
