ROMA, 15 mar – (RegTech News) – L’Agenzia per la Cybersicurezza Nazionale (ACN) non è un mero ente tecnico, ma un organismo di sicurezza nazionale nel dominio cibernetico, la cui missione è oggi centrale a causa di una minaccia “insistente” legata alla “terza guerra mondiale a pezzi”. Lo ha affermato il Prefetto Bruno Frattasi, Direttore Generale dell’Agenzia per la cybersicurezza nazionale, intervenendo all’evento “Sovranità digitale: Italia ed Europa a prova di futuro” che si è tenuto alla Camera dei Deputati, delineando la strategia italiana per la protezione delle infrastrutture critiche.

Il nostro Paese si trova oggi immerso in una condizione di “permacrisi” permanente, una turbolenza che non lascia spazio all’ordinarietà dei tempi e che vede crescere esponenzialmente la minaccia verso il blocco occidentale. In questo scenario, l’ACN non opera semplicemente come un ente tecnico, ma emerge come un vero e proprio organismo di sicurezza nazionale nel dominio cibernetico, proteggendo quella superficie digitale che è ormai diventata il cuore pulsante delle funzioni vitali dello Stato.

La minaccia attuale è insistente e si manifesta non solo attraverso attacchi diretti alle infrastrutture, ma tramite una subdola guerra cognitiva fatta di disinformazione e manipolazione dell’opinione pubblica, orchestrata da potenze ostili ai valori democratici. Un esempio concreto della capacità di risposta italiana è rappresentato dai recenti Giochi Olimpici, dove un massiccio dispiegamento di sicurezza informatica ha permesso di neutralizzare attacchi ostili senza alcuna disfunzione dei servizi digitali. Secondo Frattasi, questo successo non è frutto della fortuna, ma di una pianificazione rigorosa e di una regia generale coordinata da un “quadrilatero” della sicurezza composto da Difesa, ACN, Polizia Postale e Intelligence.

Il fulcro di questa strategia di difesa è il Perimetro di sicurezza nazionale cibernetico, che tutela gli asset necessari alla continuità energetica, finanziaria e amministrativa del Paese. Le regole d’ingaggio sono ferree: le grandi amministrazioni sono tenute a segnalare incidenti gravi entro un’ora, garantendo tempi di reazione “brucianti” che superano gli standard europei della direttiva NIS 2. Parallelamente, lo scrutinio tecnologico assicura che ogni componente informatico sia robusto e resiliente, estendendo il controllo a tutta la catena di approvvigionamento per evitare vulnerabilità nascoste nella supply chain.

Un capitolo centrale della sovranità nazionale riguarda la gestione del cloud e la classificazione del patrimonio informativo. Con oltre 17.000 soggetti pubblici in migrazione verso la nuvola, l’Agenzia ha imposto una distinzione netta tra dati ordinari, critici e strategici. La dottrina della sovranità digitale espressa da Frattasi non ammette deroghe per i dati legati alla sicurezza nazionale: questi devono essere localizzati tassativamente sul territorio italiano per garantire un controllo oggettivo e assoluto. L’indipendenza tecnologica e l’autonomia strategica diventano quindi i pilastri su cui si fonda la nuova Legge 90/2024, che introduce premialità per le imprese provenienti da paesi “trusted”, ovvero partner UE e NATO di comprovata affidabilità.

L’Italia si muove così in anticipo rispetto alla riforma europea del Cyber Security Act, che inizierà presto a escludere fornitori basandosi sul rischio geopolitico per preservare le relazioni fiduciarie tra i paesi membri. In questo “eterno gioco” tra sicurezza e libertà, Frattasi intravede però la necessità di un meccanismo retrattile: se oggi la protezione deve prevalere per salvaguardare l’identità stessa della nazione, l’auspicio è che, al termine di questa stagione di angosce, la libertà dei mercati possa tornare a espandersi, riconsegnandoci un’Europa non solo sicura, ma pienamente libera.

Tra i punti salienti del piano operativo dell’Agenzia:

  • NOTIFICHE: Per i soggetti del Perimetro di sicurezza nazionale, i tempi di reazione sono strettissimi: un’ora per gli incidenti gravi e sei ore per quelli meno gravi, per garantire una tassonomia precisa della minaccia.
  • SOVRANITÀ DEL DATO: Con 17.000 soggetti pubblici già migrati al cloud, Frattasi ha ribadito che i dati strategici devono essere localizzati tassativamente nel territorio nazionale per non perdere il controllo oggettivo sulla sicurezza.
  • AUTONOMIA TECNOLOGICA: L’obiettivo è ridurre la dipendenza da fornitori extra-UE. La Legge 90/2024 introduce un indice di premialità per le imprese “Trust” provenienti da paesi UE, NATO o partner affidabili, anticipando la revisione del Cyber Security Act europeo che escluderà i fornitori in base al rischio geopolitico.

Qual è il ruolo dell’ACN nella protezione delle infrastrutture critiche?

L’Agenzia per la Cybersicurezza Nazionale (ACN) ricopre un ruolo centrale e strategico nella protezione delle infrastrutture critiche italiane, operando come un organismo di sicurezza nazionale nel dominio cibernetico. Il suo compito principale è proteggere la “superficie digitale” del Paese, in particolare quella che ospita gli asset necessari alle funzioni vitali dello Stato, come la continuità energetica, finanziaria e amministrativa.

Gestione del Perimetro di Sicurezza Nazionale Cibernetico

L’ACN vigila sul perimetro che include le grandi amministrazioni e i soggetti che forniscono servizi essenziali. In questo ambito, l’Agenzia svolge due attività cruciali:

  • Conoscenza della minaccia: Monitora costantemente gli attacchi e i tentati incidenti per avere una tassonomia precisa delle minacce.
  • Scrutinio tecnologico: Valuta la robustezza e la resilienza degli asset informatici conferiti al perimetro, verificando la loro capacità di resistere ad attacchi.

Monitoraggio e Risposta Rapida agli Incidenti

A differenza di quanto previsto da normative come la NIS 2, per le infrastrutture critiche del perimetro nazionale i tempi di reazione richiesti sono “brucianti”. L’ACN deve essere notificata entro un’ora in caso di incidenti gravi ed entro sei ore per quelli meno gravi, garantendo una capacità di intervento immediata per neutralizzare le minacce, come avvenuto con successo durante i recenti Giochi Olimpici.

Accompagnamento alla Transizione Cloud e Sovranità del Dato

L’ACN guida la migrazione delle pubbliche amministrazioni verso il cloud, focalizzandosi su due aspetti:

  • Classificazione dei dati: Supporta le amministrazioni nel distinguere tra dati ordinari, critici e strategici.
  • Localizzazione e Sovranità: Per i dati che riguardano la sicurezza nazionale, l’Agenzia impone che le piattaforme siano localizzate nel territorio nazionale italiano per garantire la sovranità tecnologica.
  • Qualificazione dei fornitori: Ha messo a disposizione uno schema di certificazione per gli operatori cloud per garantire che siano soggetti affidabili (“trusted”).

Sicurezza della Supply Chain (Catena di Approvvigionamento)

Un ruolo fondamentale riguarda la protezione delle catene di approvvigionamento critiche. L’ACN mira a ridurre la dipendenza tecnologica da fornitori extra-UE che potrebbero presentare rischi geopolitici. Attraverso la Legge 90/2024, è stato introdotto un indice di premialità per le imprese che utilizzano tecnologie provenienti da paesi considerati affidabili (UE, NATO e paesi amici).

Coordinamento e Regia Generale

L’Agenzia funge da regia generale in un sistema di difesa composto da vari attori, tra cui la Difesa, la Polizia Postale e l’Intelligence. Questo coordinamento è essenziale per superare le frammentazioni e garantire una resilienza sistemica del Paese, assicurando che non solo il perno centrale ma tutta la catena del valore sia protetta. L’ACN agisce come il garante della resilienza digitale italiana, combinando capacità tecnica di analisi della minaccia, poteri normativi di controllo sulle tecnologie e una funzione di coordinamento strategico tra settore pubblico e privato.

In che modo la sovranità dei dati influenza la sicurezza nazionale?

La sovranità dei dati è oggi considerata un pilastro fondamentale della sicurezza nazionale, poiché la protezione del patrimonio informativo del Paese è intrinsecamente legata alla continuità delle sue funzioni vitali, come quelle energetiche, finanziarie e amministrative.

Per i dati definiti strategici o che riguardano direttamente la sicurezza nazionale, la sovranità impone che le piattaforme di atterraggio (cloud o data center) siano localizzate fisicamente nel territorio nazionale italiano. Secondo le fonti, questa è una “misura base di sicurezza” imprescindibile: se i dati risiedessero altrove, lo Stato perderebbe la capacità di garantire la loro protezione oggettiva.

La sovranità dei dati mira a ridurre la dipendenza tecnologica da fornitori extra-UE. Questo concetto è strettamente legato all’autonomia strategica del Paese: affidarsi a tecnologie di nazioni che non condividono i nostri valori o che presentano rischi geopolitici espone le infrastrutture critiche a possibili manipolazioni o interruzioni di servizio. Un aspetto critico della sovranità è la capacità di controllare chi opera “alle spalle” dei fornitori di servizi digitali. Se un provider è straniero e non trasparente, diventa impossibile monitorare la sua catena di approvvigionamento, creando una vulnerabilità che può essere sfruttata da attori ostili. La sicurezza nazionale richiede quindi l’uso di tecnologie “trusted” (affidabili), provenienti da paesi con cui esistono rapporti di fiducia consolidati (UE, NATO e partner stretti).

La sovranità influenza la sicurezza nazionale anche attraverso la corretta classificazione dei dati. L’ACN supporta le amministrazioni nel distinguere tra dati ordinari, critici e strategici, assicurando che le informazioni più sensibili migrino verso infrastrutture dotate di certificazioni rigorose, capaci di resistere a minacce cibernetiche sempre più aggressive. In un contesto di “percrisi” e conflitti distribuiti (la cosiddetta “terza guerra mondiale a pezzi”), i dati sono diventati un obiettivo della guerra cognitiva. Il controllo sovrano sui dati protegge il Paese da pratiche di disinformazione, manipolazione dell’opinione pubblica e alterazione dei processi democratici orchestrate da potenze ostili. La sovranità dei dati non è una mera questione tecnica, ma una necessità politica e di sicurezza per garantire che l’Italia mantenga il controllo sulla propria “superficie digitale” e sull’identità stessa della nazione.

  • Il “meccanismo retrattile”: Il bilanciamento non è statico ma flessibile. In periodi di crisi o “permacrisi”, lo Stato e l’Unione Europea adottano misure di protezione più rigide (come lo scrutinio tecnologico o l’esclusione di fornitori rischiosi). Tuttavia, l’obiettivo è che tali misure possano essere riviste o rimosse quando la situazione internazionale migliorerà, permettendo alla libertà dei mercati e dei traffici di riespandersi.
  • Sicurezza come prerequisito della Libertà: Per avere un’Europa libera, è necessario eliminare la dipendenza da tecnologie provenienti da attori ostili che potrebbero usare il dominio digitale per manipolare l’opinione pubblica o alterare i processi democratici. In quest’ottica, alcune restrizioni alla libertà di mercato sono considerate necessarie per preservare la libertà politica e l’autonomia strategica.
  • Valutazione del rischio geopolitico: L’Europa sta introducendo criteri più ferrei attraverso la revisione del Cyber Security Act (CSA). Questo permetterà di identificare paesi terzi che presentano un rischio geopolitico, escludendo i loro fornitori dagli schemi di certificazione e dagli appalti pubblici per garantire che le relazioni fiduciarie tra i paesi membri rimangano intatte.
  • Tutela dell’identità europea: Mentre la sicurezza nazionale rimane competenza dei singoli Stati, l’Unione Europea interviene sulla cybersicurezza per proteggere lo spazio comune dei diritti e delle libertà. Il fine ultimo è garantire che la trasformazione digitale non comprometta l’identità stessa della nazione e i valori democratici occidentali.

In cosa consiste lo scrutinio tecnologico degli asset del Perimetro?

Lo scrutinio tecnologico è una delle due attività fondamentali, previste dalla legge e svolte dall’ACN, per la protezione del Perimetro di sicurezza nazionale cibernetico. Nello specifico, questa attività consiste nella valutazione della robustezza e della resilienza degli asset informatici che vengono conferiti al Perimetro dai soggetti che ne fanno parte. L’obiettivo è proteggere la “superficie digitale più pregiata” del Paese, ovvero quella che ospita le funzioni essenziali e vitali per la continuità energetica, finanziaria e amministrativa dello Stato. Lo scrutinio si articola su diversi aspetti cruciali:

  • Verifica dell’affidabilità (Trust): Mira a garantire che le tecnologie utilizzate siano “trusted” (affidabili), favorendo fornitori provenienti da contesti geografici sicuri come l’Europa o l’area NATO.
  • Riduzione della dipendenza tecnologica: Uno degli scopi primari è eliminare o ridurre il più possibile la dipendenza da fornitori extra-UE, garantendo così l’autonomia strategica del Paese.
  • Controllo della Supply Chain: Lo scrutinio serve a monitorare le catene di approvvigionamento, poiché è difficile controllare la sicurezza e la trasparenza di fornitori stranieri non conosciuti che operano “alle spalle” dei provider principali.
  • Resilienza Sistemica: Il processo non riguarda solo il singolo asset, ma mira a una resilienza che coinvolga l’intera catena del valore e i collegamenti tra i vari soggetti critici.

E’ chiaro che lo scrutinio tecnologico è lo strumento con cui l’ACN verifica preventivamente che le infrastrutture digitali del Paese siano tecnicamente solide e geopoliticamente sicure per resistere a minacce cibernetiche sempre più insistenti. L’indice di premialità per le imprese tecnologiche affidabili è un meccanismo introdotto dalla Legge 90/2024 (nello specifico dall’articolo 14) per rafforzare la sicurezza cibernetica nazionale, favorendo l’uso di tecnologie provenienti da contesti geopolitici sicuri. L’indice di premialità si basa sui seguenti criteri:

  • Assegnazione del punteggio: Il governo, attraverso un apposito provvedimento (DPCM), individua gli elementi di cybersicurezza che devono essere necessariamente presenti nei contesti critici. Alle imprese che utilizzano tecnologie considerate “Trust” (affidabili) viene assegnato un indice di premialità, che può essere fatto valere, ad esempio, nell’ambito di bandi e appalti pubblici.
  • Criterio di affidabilità (Paesi Trusted): L’affidabilità di un’impresa e della sua tecnologia è strettamente legata al suo paese di origine. Secondo il decreto attuativo, sono considerati affidabili i fornitori provenienti da:
    • Tutti i paesi europei.
    • Tutti i paesi NATO.
    • Alcuni paesi extra-europei che hanno accordi di amicizia o collaborazione consolidati con la NATO o con l’Unione Europea.
  • Obiettivo strategico: Questo sistema serve a garantire che il Paese si affidi a tecnologie di cui ci si può fidare grazie a rapporti di collaborazione e fiducia reciproca già esistenti. L’obiettivo finale è ridurre la dipendenza tecnologica da fornitori extra-UE che potrebbero presentare rischi geopolitici o la cui catena di approvvigionamento (supply chain) non sia verificabile.
  • Contesto normativo europeo: Questo modello italiano anticipa una direzione intrapresa anche dall’Unione Europea con la revisione del Cyber Security Act (CSA). La futura normativa europea permetterà infatti di escludere dai bandi o dagli schemi di certificazione i fornitori di paesi terzi identificati come a “rischio geopolitico”.

L’indice di premialità funziona come un incentivo per le amministrazioni e i soggetti critici a scegliere partner tecnologici che garantiscano l’autonomia strategica e la sovranità digitale del Paese.

Come cambierà la certificazione cloud con le nuove norme del Cyber Security Act europeo?

Il bilanciamento tra sicurezza e libertà nel dominio cibernetico europeo è una dicotomia dinamica che deve adattarsi al contesto storico. Attualmente, a causa delle forti turbolenze internazionali e della cosiddetta “terza guerra mondiale a pezzi” (conflitti distribuiti che alimentano una minaccia cibernetica costante), la sicurezza tende a prevalere per proteggere le funzioni vitali dello Stato e i processi democratici secondo i seguenti criteri:

La certificazione cloud è destinata a subire una trasformazione significativa con l’introduzione del nuovo quadro normativo europeo, che mira a superare le attuali frammentazioni nazionali e a rispondere alle crescenti sfide geopolitiche.

L’attuale schema di qualificazione degli operatori cloud adottato dall’ACN (in vigore dal 2024) è considerato una misura transitoria. Una volta completato l’iter a livello comunitario, questo verrà superato da uno schema di certificazione europeo uniforme, volto a favorire la capacità dell’Unione di “fare sistema” e ridurre le gelosie tra i singoli Stati membri. Il motore principale di questo cambiamento è la riforma del Cyber Security Act (CSA), parte di un più ampio pacchetto di riforme digitali noto come “Digital Omnibus”. La revisione del CSA, il cui atto definitivo è previsto entro la fine del 2026, introdurrà criteri molto più rigorosi per la certificazione. La novità più rilevante riguarda la valutazione del rischio geopolitico. Le nuove norme europee permetteranno alla Commissione di:

  • Identificare paesi terzi le cui tecnologie sono considerate insicure a causa del contesto geopolitico.
  • Escludere i fornitori appartenenti a tali paesi dagli schemi di certificazione.
  • Impedire a tali soggetti di partecipare ai bandi di appalto pubblici.

Questi nuovi criteri di certificazione non saranno isolati, ma avranno un effetto “di rimbalzo” anche sui soggetti che rientrano nel perimetro della direttiva NIS 2. Ciò significa che le imprese e le amministrazioni considerate “entità essenziali o importanti” dovranno fare affidamento su fornitori cloud che rispettino questi nuovi standard di sicurezza e affidabilità geopolitica. Il fine ultimo della nuova certificazione europea è garantire che le relazioni tra i paesi membri rimangano basate sulla fiducia, proteggendo lo spazio digitale da tecnologie ostili. L’Europa si sta muovendo in una direzione già tracciata dall’Italia con la Legge 90/2024, che punta all’indipendenza tecnologica e all’autonomia strategica rispetto a fornitori extra-UE che non offrono garanzie di trasparenza. La certificazione cloud passerà da una valutazione puramente tecnica a una valutazione che integra sicurezza informatica e affidabilità geopolitica, con la possibilità di escludere attori considerati rischiosi per la libertà e la sovranità del dominio digitale europeo.