Event. What i say

Per il Ministero dell’Interno, la sicurezza informatica ha una dimensione profondamente peculiare e radicata nel tempo, in quanto la maggior parte delle banche dati riguarda servizi strategici per il Paese, quali l’ordine e la sicurezza pubblica, l’anagrafe nazionale della popolazione residente, la carta d’identità elettronica, le elezioni, nonché la protezione civile e la difesa. Le attività non riguardano solo l’implementazione delle misure tecnico-organizzative di sicurezza a livello centrale e periferico, ma anche la vigilanza sull’attuazione digitale da parte degli enti locali e la verifica dell’utilizzo dei fondi del PNRR. Si tratta di una funzione che richiede competenze tecniche, organizzative e giuridiche e che si svolge in un ecosistema frammentato, eterogeneo e caratterizzato da una forte stratificazione storica. L’Amministrazione non ha una struttura IT unitaria, ma è composta da un insieme di dipartimenti e divisioni con responsabilità autonome. Questa frammentazione ha generato, nel corso degli anni, un mosaico eterogeneo di sistemi informativi: applicativi legacy convivono con piattaforme cloud-based, creando una forte complessità gestionale. A livello locale, un referente informatico può trovarsi a gestire decine di sistemi diversi, spesso non integrati e soggetti a normative che impongono la separazione fisica e logica dei dati.

La governance dei dati è uno dei punti più critici. La loro dispersione in sistemi non comunicanti rende difficile aggregarli, analizzarli e monitorarli. La mancanza di visibilità diventa essa stessa una vulnerabilità: un flusso che si assottiglia o un sistema che smette di generare segnali indica spesso un malfunzionamento.

Negli ultimi anni, grazie anche ai fondi del PNRR e alla Strategia Cloud Italia, è iniziata una profonda trasformazione digitale che mira a migrare verso nuove piattaforme, spesso cloud on-premise o infrastrutture di società partecipate (come il Polo Strategico Nazionale), con l’obiettivo di migliorare la postura di sicurezza. Tale trasformazione non consiste in semplici trasposizioni, ma in reingegnerizzazioni necessarie per rispettare normative quali il perimetro di sicurezza nazionale cibernetica (PSNC) e la normativa NIS. L’obiettivo è abbandonare i sistemi legacy, consolidare i sistemi cloud, adottare nuove piattaforme IAM, integrare i flussi nei SIEM e ottenere dati più puliti e monitorati.

Sono attivi i SOC dipartimentali per monitorare e proteggere le infrastrutture anche grazie ai sistemi di threath intelligence basati su AI. Rimane comunque il tema delle minacce interne. Spesso i comportamenti rischiosi nascono da difficoltà operative più che da intenzioni malevole: ad esempio, l’uso di più postazioni, l’alternanza tra dispositivi personali e aziendali e procedure di accesso complesse. È proprio in questo spazio intermedio che si verificano incidenti spesso involontari che richiedono una gestione non punitiva e la capacità di distinguere tra eventi critici e semplici anomalie.

Uno strumento chiave è la formazione, a condizione che venga ripensata. La formazione obbligatoria tradizionale ha un impatto scarso, mentre funziona una formazione immersiva basata su casi reali, pop-up informativi e alert sulle conseguenze di un clic errato. Partire dagli incidenti di attualità coinvolge e aumenta notevolmente la consapevolezza. L’approccio più efficace combina aspetti tecnici e umani: una mappatura continua di asset, dati e flussi, ma anche il coinvolgimento delle componenti giuridiche e amministrative, aiutandole a comprendere il valore della sicurezza. Nel pubblico, l’obiettivo non è la produttività, ma garantire la continuità: un attacco che blocca i servizi strategici o le applicazioni critiche ha un impatto immediato e sociale. Per questo motivo, tradurre il linguaggio tecnico in un linguaggio comprensibile ai vertici e ai decisori diventa un compito strategico.