Il contesto normativo si evolve. Le minacce si moltiplicano. La resilienza cibernetica diventa un imperativo. La Relazione annuale al Parlamento 2024 dell’Agenzia per la Cybersicurezza Nazionale (premere qui per leggere) disegna un panorama tanto articolato quanto cruciale per comprendere lo stato di salute digitale del Paese. Il documento, denso e ricco di analisi, rappresenta un punto di svolta nell’approccio strategico nazionale alla sicurezza delle infrastrutture digitali, in un’epoca segnata da tensioni geopolitiche e attacchi su vasta scala.
Riforma normativa: un anno cardine per la cybersicurezza italiana
Il 2024 è stato l’anno della legge n. 90 e del decreto NIS2. Due pilastri normativi che hanno modificato in profondità l’ecosistema giuridico della cybersicurezza in Italia. La legge 90/2024 ha esteso l’obbligo di notifica degli incidenti cyber a soggetti pubblici prima esclusi – come Regioni, Comuni e ASL – introducendo un obbligo sistemico di protezione e risposta tempestiva. Si rafforza così la postura difensiva nazionale, sia in termini tecnici che procedurali.
Con il recepimento della Direttiva NIS2, l’Italia si è posizionata tra i Paesi più reattivi dell’Unione Europea, implementando una rete normativa multilivello che include anche soggetti privati critici per la sicurezza dell’infrastruttura digitale nazionale. Il principio di proporzionalità, l’estensione dei poteri sanzionatori e l’istituzione del Tavolo NIS presso l’ACN evidenziano una volontà chiara: consolidare un approccio sistemico alla gestione del rischio cyber.
Attacchi in aumento: minacce distribuite, impatti asimmetrici
Il 2024 ha visto un incremento del 40% degli eventi cyber rispetto all’anno precedente. Gli incidenti confermati sono quasi raddoppiati. Tra i più frequenti, attacchi DDoS riconducibili a gruppi hacktivisti filorussi, ransomware che colpiscono principalmente le PMI e minacce APT (Advanced Persistent Threat) indirizzate a infrastrutture strategiche.
La statistica evidenzia una tendenza preoccupante: il ransomware impatta soprattutto soggetti a bassa criticità formale, ma ad alta vulnerabilità strutturale, come piccole imprese e realtà locali. Un dato che richiede interventi mirati non solo sul piano normativo, ma anche in termini di consapevolezza e formazione.
Cloud pubblico e sicurezza: un nuovo Regolamento per la PA
Altro elemento chiave della Relazione è l’entrata in vigore del nuovo Regolamento unico per le infrastrutture e i servizi cloud per la P.A.. L’ACN, con il Dipartimento per la trasformazione digitale, ha ridefinito le regole di ingaggio per il trattamento dei dati pubblici, introducendo classificazioni in strategici, critici e ordinari. Le PP.AA. sono ora tenute a verificare e qualificare ogni infrastruttura utilizzata. Una vera svolta nel paradigma di digitalizzazione sicura.
Tecnologie emergenti e resilienza: crittografia, intelligenza artificiale e certificazioni
La relazione conferma il ruolo centrale dell’ACN nella promozione della sicurezza delle nuove tecnologie. Sono state pubblicate nuove Linee guida sulla crittografia, è stato istituito il Centro nazionale di crittografia, e si è concluso l’iter normativo dell’AI Act, con l’ACN chiamata a partecipare all’AI Board europeo. Sul versante delle certificazioni, è entrato in vigore il primo schema europeo EUCC, con l’Italia attivamente coinvolta nei processi di accreditamento.
Golden Power, cooperazione e formazione: leve strategiche per il futuro
Nel 2024 l’ACN ha fornito contributi in oltre il 46% delle notifiche ricevute nell’ambito del Golden Power. Non solo vigilanza, ma anche stimolo alla cooperazione internazionale, come dimostrano gli esercizi EU-CyCLONe, l’organizzazione della European Cybersecurity Challenge e la creazione del Tavolo per l’internazionalizzazione delle imprese cyber.
Parallelamente, si investe sul capitale umano: campagne di sensibilizzazione, accordi con il Ministero dell’Istruzione e un forte impulso alla formazione specialistica – anche attraverso i fondi PNRR – rendono evidente che la cybersicurezza non è più solo una questione tecnologica, ma culturale.
Conclusioni
La Relazione ACN 2024 evidenzia una consapevolezza crescente: la cybersicurezza non è un comparto, ma un’infrastruttura trasversale. In un mondo iperconnesso, ogni vulnerabilità è un rischio sistemico. Il modello italiano, aggiornato e rafforzato nel 2024, dimostra che la resilienza digitale passa da una governance coesa, da una regolazione tempestiva e da un tessuto sociale e imprenditoriale adeguatamente formato.
Difendere il cyberspazio significa oggi difendere la democrazia.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Lo Studio Legale Nappi diventa sede dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 3 Giugno 2025
- L’Avv. Nicola Nappi è il nuovo Presidente dell’Osservatorio Italiano sul Diritto delle Nuove Tecnologie - 28 Maggio 2025
- Pubblicata la relazione annuale ACN 2024 - 14 Maggio 2025
- Garante Privacy e modello “Pay or Ok”: la consultazione pubblica che può ridefinire l’equilibrio tra consenso e monetizzazione - 14 Maggio 2025
- Obbligo di alfabetizzazione in materia di Intelligenza Artificiale: cosa cambia dal 2025 - 14 Maggio 2025
