La trasformazione digitale ha ridisegnato la mappa del rischio per la Pubblica Amministrazione italiana. A ogni piattaforma in più, a ogni identità digitale, a ogni banca dati corrisponde una nuova superficie esposta, e i numeri raccontano dove la pressione si sta concentrando: secondo il Rapporto Clusit 2026, nel 2025 il comparto governativo è tornato in cima alla classifica dei settori più colpiti in Italia, con oltre il 28% degli incidenti registrati e un balzo di dodici punti rispetto all’anno precedente. Il DDoS è la prima tecnica d’attacco nel Paese, spesso veicolato da campagne hacktiviste che mirano direttamente ai servizi pubblici essenziali. Non sono dati che riguardano l’IT: riguardano la continuità del rapporto fra Stato e cittadini.
A queste evidenze le amministrazioni rispondono ormai con un repertorio condiviso di principi: sicurezza by design, sovranità tecnologica, governance del rischio. Sono direzioni giuste, ma fra l’enunciazione e l’attuazione c’è uno scarto operativo che fa la differenza fra chi resiste e chi viene fermato. Per questo la domanda utile non è più “qual è il modello giusto”, su quello la convergenza esiste, ma “da dove cominciare adesso, con le risorse, i contratti e le persone che abbiamo”. Quattro scelte concrete, in particolare, possono essere avviate senza attendere la prossima cornice normativa e producono effetti misurabili nel giro di pochi mesi: mappare gli asset, mettere le identità al centro, costruire capacità di ripristino, governare la catena di fornitura.
1. Perché mappare gli asset digitali è il presupposto di ogni difesa
Non si protegge ciò che non si conosce: la prima decisione di sicurezza per un’amministrazione è disporre di una mappatura aggiornata e classificata dei propri asset digitali: server, applicazioni, banche dati, identità, fornitori con accesso alle reti. Sembra un consiglio scontato, ed è proprio per questo che viene sistematicamente saltato. Costruire un inventario vivo, non un file dimenticato in una cartella condivisa, significa classificare i dati per criticità, riconoscere le interdipendenze fra sistemi, individuare ciò che, se compromesso, fermerebbe un servizio al cittadino. Un lavoro che non ha il massimo appeal tecnologico, ma restituisce l’unica cosa davvero indispensabile: una rappresentazione realistica del perimetro da proteggere e una base condivisa su cui poggiare gli investimenti successivi.
2. Le identità digitali sono il nuovo perimetro della PA
Le identità digitali sono oggi il vero perimetro della Pubblica Amministrazione: la maggior parte degli incidenti recenti non parte da una vulnerabilità tecnica esotica, ma da una credenziale rubata, riutilizzata o lasciata senza protezione. Per questo l’autenticazione a più fattori (MFA), soprattutto sugli accessi amministrativi, va trattata come un requisito non negoziabile. A questa si affianca la gestione degli accessi privilegiati: gli account che modificano configurazioni o leggono dati sensibili devono essere separati dalle utenze ordinarie, tracciati nelle loro azioni, limitati nel tempo. È l’applicazione di una logica Zero Trust: nessuna identità è affidabile per default, ogni accesso viene verificato in funzione del contesto.
3. Come costruire resilienza operativa: prepararsi a ripartire, non solo a difendersi
La protezione perfetta non esiste, e illudersi del contrario è già una vulnerabilità: ciò che distingue un’organizzazione resiliente da una fragile non è la capacità di evitare l’attacco, ma la velocità con cui torna operativa. Prima o poi, purtroppo, un attacco accade. Per la Pubblica Amministrazione questo significa investire in backup immutabili, conservati fuori dalla rete principale, e in piani di ripristino davvero testati, non solo scritti. Significa segmentare le reti perché la compromissione di un sottosistema non degeneri in un blackout generalizzato. E significa dotarsi di un playbook di risposta agli incidenti chiaro: chi decide nelle prime ore di una crisi, chi parla con cittadini e media, chi attiva i partner esterni. Le ore subito dopo un attacco non si improvvisano.
4. Come governare la sicurezza della catena di fornitura
La sicurezza di un’amministrazione dipende anche da quella dei suoi fornitori: software, servizi cloud, manutenzione, consulenze fanno di ogni ente un nodo di un ecosistema connesso. Gli attacchi alla supply chain crescono proprio perché colpire un fornitore consente, in un solo passaggio, di raggiungere decine di clienti pubblici. Serve un cambio di passo nei contratti: requisiti minimi di sicurezza esplicitati, obblighi di notifica degli incidenti, diritto di audit, gestione delle vulnerabilità. In breve, pretendere dai fornitori almeno lo stesso rigore che ci si impone internamente e formalizzarlo in capitolato, non in una circolare di buone intenzioni.
Mappatura, identità, ripristino e filiera: questi quattro punti non chiudono il discorso sulla cybersecurity pubblica, ma definiscono il terreno minimo su cui ogni amministrazione dovrebbe potersi muovere. Sono passi lontani dalla retorica dell’innovazione, eppure è qui che si gioca la differenza fra uno Stato digitale credibile e uno vulnerabile. La fiducia dei cittadini non si misura nel numero di servizi online, ma nella certezza che continueranno a funzionare anche nei giorni in cui qualcuno proverà a fermarli.
