Cybersicurezza nella PA locale: il problema non è la norma, è il presidio

C’è un equivoco comodo, in Italia: pensare che la cybersicurezza sia materia “da ministeri” o da grandi operatori strategici. È rassicurante. Ed è sbagliato.

Nel disegno reale della connettività pubblica, gli enti locali non sono periferia: sono nodi. Collegano servizi essenziali, custodiscono dati sensibili, erogano funzioni quotidiane — anagrafe, tributi, polizia locale, SUAP, servizi sociali, scuole, sanità territoriale — e, soprattutto, sono innestati in filiere nazionali di infrastrutture, fornitori, piattaforme e interconnessioni. Quando cade un Comune o un ente locale, non “cade solo lui”: si spezza una catena.

Il punto non è fare allarmismo. È riconoscere un fatto strutturale: l’ente locale è una superficie d’attacco. E, nella pubblica amministrazione, la superficie d’attacco non si amplia solo con la tecnologia. Si amplia anche con la politica.

Il rischio che non diciamo: quando la cybersicurezza perde contro la convenienza

La cybersicurezza in un ente locale non fallisce soltanto per carenza di budget o competenze. Fallisce, molto spesso, per scelte organizzative e per interessi: affidamenti opachi, forniture “su misura”, consulenze frammentate, turnover senza continuità, l’“uomo solo al comando” o — peggio — nessuno davvero al comando.

Qui emerge la parte scomoda: il conflitto tra interesse pubblico e micro-interesse locale.

Quando la gestione della rete e dei servizi digitali diventa terreno di favoritismi, relazioni personali o parentali, aziende “invitate” a partecipare e vincere, decisioni guidate dal consenso o dalla prossimità, la sicurezza smette di essere un requisito tecnico. Diventa una variabile politica. E quando la sicurezza è una variabile, prima o poi viene sacrificata.

Questo non è moralismo. È gestione del rischio. Una rete progettata per “far contenti” è una rete più facile da violare. Una governance pensata per la carriera è una governance che, alla prima crisi, cerca coperture invece che soluzioni.

Il quadro normativo c’è. Il problema è l’esecuzione (e il presidio)

Negli ultimi anni il perimetro regolatorio si è rafforzato: strumenti per la resilienza, obblighi di gestione del rischio e di notifica, standard minimi e linee guida. Ma senza un presidio interno reale, la norma resta carta.

Da qui una tesi semplice: ogni ente locale deve avere una sentinella vera, con un mandato chiaro. Proteggere. Non “far girare” contratti.

La sentinella dell’ente: cosa deve fare, davvero

Un referente — o una piccola funzione — che:

• mappi asset, dipendenze e fornitori critici;
• imponga baseline minime verificabili (patching, MFA, backup offline o immutabili, segmentazione, logging);
• definisca e testi procedure di risposta agli incidenti;
• tratti gli accessi dei fornitori come un rischio, non come un’abitudine;
• metta per iscritto i rischi e li porti sul tavolo decisionale, anche quando dà fastidio.

Seconda tesi: la rete nazionale di protezione deve parlare la stessa lingua

C’è un’altra illusione da sfatare: che basti centralizzare. La sicurezza nazionale delle infrastrutture critiche non è solo un centro che coordina. È una rete che scambia informazioni in modo rapido ed efficace.

Se quella rete è attraversata da silos, opacità e obiettivi di carriera, diventa lenta, autoreferenziale, inefficiente. Serve invece una rete di sentinelle che condivida indicatori, adotti playbook comuni, svolga esercitazioni reali, conduca post-mortem senza caccia alle streghe e faccia emergere i problemi prima che diventino incidenti.

La differenza non la fa la norma. La fa l’assenza di ambiguità: protezione sopra carriera.

Il costo del fallimento: non è solo downtime, è debito pubblico

Quando un ente locale acquista male — o acquista per relazione — non produce solo inefficienza. Produce debito, diretto e indiretto: contratti correttivi, ripristini costosi, contenziosi, perdita di produttività, emergenze gestite in deroga.

Interrompere il ciclo delle decisioni sbagliate significa liberare risorse e pianificare. La prevenzione è anche finanza pubblica.

Riquadro operativo: “bando cucito” e cybersicurezza

Segnali di rischio (non prove) che un affidamento IT stia nascendo male. Non per accusare, ma come check-list prima di firmare.

Indicatori tipici di rischio

• Requisiti tecnici iper-specifici che coincidono con un unico prodotto o una sola combinazione possibile.
• Tempi di gara compressi e gestione inadeguata dei chiarimenti.
• Capitolati copiati da affidamenti precedenti senza adattamento al contesto reale.
• Valutazioni tecniche fortemente discrezionali e poco misurabili.
• Assenza di exit strategy: lock-in contrattuale, dati non portabili, documentazione insufficiente, dipendenza totale dal fornitore.
• Conflitti di interesse non gestiti: relazioni personali, incarichi pregressi, commissioni non adeguatamente presidiate.
• Affidamenti ripetuti allo stesso perimetro senza motivazioni solide.

Contromisure minime

• Gestione e documentazione dei conflitti di interesse e delle misure di prevenzione.
• Clausole anti lock-in (portabilità, documentazione, consegna delle configurazioni e piani di handover).
• Security baseline verificabile, non solo dichiarata: MFA, logging, backup testati, segregazione dei privilegi, hardening, patching e gestione delle vulnerabilità.
• Controlli e collaudi tecnici reali, con criteri misurabili (SLA e requisiti di sicurezza).

Conclusione: la sicurezza è governance, non solo tecnologia

Il tema non è aggiungere un firewall. È difendere la funzione pubblica.

Se i nodi locali restano fragili perché la cybersicurezza viene trattata come una spesa — o peggio come un’occasione di relazione — la sicurezza nazionale diventa un castello costruito su fondamenta amministrative deboli.

La soluzione è pragmatica: una sentinella per ogni ente, con mandato e responsabilità; regole di procurement che proteggano la sicurezza, non l’abitudine; una rete nazionale che collabori davvero, invece di competere internamente; pianificazione di lungo periodo, perché la cybersicurezza non si compra a fine anno: si costruisce e si mantiene.

Un principio, infine, non negoziabile: quando un ente locale decide male sulla propria rete, non sta sbagliando solo per sé. Sta aumentando il rischio per tutti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Roberto Villani

Dilettante nel cyberspazio, perenne studente di scienze politiche, sperava di conoscere Stanley Kubrick per farsi aiutare a fotografare dove sorge il sole. Risk analysis, Intelligence e Diritto Penale sono la sua colazione da 30 anni.

Aree di competenza: Geopolitica, cyber warfare, intelligence, Diritto penale, Risk analysis