Italia: cybersecurity nella PA tra NIS2, PNRR e nuove minacce APT

Il mercato della cybersecurity per la pubblica amministrazione italiana attraversa una fase di accelerazione. Tre fattori guidano l'espansione: l'obbligo di conformità alla direttiva europea NIS2, i finanziamenti della Misura 1.4 del PNRR destinati ai servizi digitali pubblici e l'aumento documentato di attacchi ransomware contro comuni, ASL e università negli ultimi 30 giorni.

Direttiva NIS2: deadline e obblighi per il settore pubblico

L'Italia deve recepire entro ottobre 2024 la direttiva NIS2, che amplia il perimetro degli enti soggetti a obblighi di sicurezza informatica. Oltre ai soggetti già inclusi nel Perimetro di Sicurezza Nazionale Cibernetica, rientrano ora nella normativa anche strutture sanitarie regionali, fornitori di servizi digitali pubblici e gestori di infrastrutture critiche a livello locale. La compliance richiede implementazione di misure tecniche (rilevamento intrusioni, crittografia, gestione identità), procedure organizzative e reporting obbligatorio degli incidenti all'Agenzia per la Cybersicurezza Nazionale (ACN) entro 24 ore.

Per gli enti locali privi di competenze interne, la sfida maggiore resta la valutazione del rischio e la scelta di soluzioni conformi. Engineering Italia e Almaviva Public Sector hanno entrambi lanciato pacchetti di assessment NIS2 dedicati alla PA, mentre PagoPA SpA sta estendendo i propri standard di sicurezza alle piattaforme nazionali di pagamento e identità digitale.

PNRR: investimenti in cybersecurity per comuni e ASL

La Misura 1.4 del Piano Nazionale di Ripresa e Resilienza destina 623 milioni di euro ai servizi digitali della PA entro il 2026. Una quota crescente di questi fondi viene allocata alla sicurezza informatica, soprattutto per proteggere i nuovi portali di accesso ai servizi online e le integrazioni con SPID e Carta d'Identità Elettronica. Comuni con più di 15.000 abitanti devono garantire autenticazione forte, cifratura end-to-end e conformità GDPR per tutti i servizi accessibili tramite app.io.

I fornitori italiani rispondono con offerte modulari. Engineering (sito web) propone una suite integrata per la gestione delle identità digitali e il rilevamento delle anomalie, mentre Almaviva (sito web) punta su Security Operations Center (SOC) condivisi per aggregazioni di piccoli comuni. Il modello "SOC as a Service" riduce i costi operativi e consente di centralizzare competenze specialistiche.

Attacchi ransomware: trend e contromisure

Negli ultimi 30 giorni, l'ACN ha registrato almeno cinque attacchi ransomware di alto profilo contro enti pubblici italiani, tra cui un'ASL in Campania e due comuni in Lombardia. Gli attaccanti sfruttano vulnerabilità non patchate in sistemi di gestione documentale legacy e VPN obsolete. Il danno medio per incidente supera i 200.000 euro tra interruzione dei servizi, ripristino dei dati e sanzioni GDPR.

La risposta passa per strategie di backup immutabile, segmentazione delle reti e formazione continua del personale. PagoPA (sito web) ha avviato campagne di phishing simulato per i dipendenti degli enti che utilizzano le piattaforme nazionali. Parallelamente, l'ACN raccomanda l'adozione di framework internazionali come il NIST Cybersecurity Framework per la gestione del rischio.

Sovereign cloud e data residency

La spinta europea verso la sovranità digitale influenza anche le scelte infrastrutturali italiane. Diversi progetti pilota testano soluzioni di cloud sovrano basate su tecnologie open source e data center nazionali, per garantire che i dati sensibili della PA non transitino su infrastrutture extra-UE. Il modello ricorda iniziative analoghe in Austria e Svizzera.

L'interesse per soluzioni cloud conformi alla classificazione "Alto" del Quadro Strategico Nazionale per la Cybersecurity è in crescita, soprattutto tra enti che gestiscono dati sanitari o anagrafici. Engineering collabora con provider nazionali per certificare ambienti multi-tenant dedicati alla PA, mentre Almaviva punta su architetture ibride che combinano cloud pubblico e on-premise per carichi di lavoro critici.

Outlook: mercato e competenze

Entro il 2026, il mercato italiano della cybersecurity per la PA è destinato a crescere di oltre il 40%, spinto da obblighi normativi e finanziamenti europei. La carenza di competenze resta tuttavia il principale collo di bottiglia: l'ACN stima un deficit di circa 3.000 specialisti nel settore pubblico. Per colmare il gap, università e fornitori IT avviano programmi di formazione certificata su gestione identità, sicurezza cloud e risposta agli incidenti. Il rafforzamento delle competenze interne sarà decisivo per garantire una protezione sostenibile nel lungo periodo.