Cybersicurezza nella PA locale: il problema non è la norma, è il presidio

C’è un equivoco comodo, in Italia: pensare che la cybersicurezza sia materia “da ministeri” o da grandi operatori strategici. È rassicurante. Ed è sbagliato.

Nel disegno reale della connettività pubblica, gli enti locali non sono periferia: sono nodi. Collegano servizi essenziali, custodiscono dati sensibili, erogano funzioni quotidiane — anagrafe, tributi, polizia locale, SUAP, servizi sociali, scuole, sanità territoriale — e, soprattutto, sono innestati in filiere nazionali di infrastrutture, fornitori, piattaforme e interconnessioni. Quando cade un Comune o un ente locale, non “cade solo lui”: si spezza una catena.

Il punto non è fare allarmismo. È riconoscere un fatto strutturale: l’ente locale è una superficie d’attacco. E, nella pubblica amministrazione, la superficie d’attacco non si amplia solo con la tecnologia. Si amplia anche con la politica.

Il rischio che non diciamo: quando la cybersicurezza perde contro la convenienza

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La cybersicurezza in un ente locale non fallisce soltanto per carenza di budget o competenze. Fallisce, molto spesso, per scelte organizzative e per interessi: affidamenti opachi, forniture “su misura”, consulenze frammentate, turnover senza continuità, l’“uomo solo al comando” o — peggio — nessuno davvero al comando.

Qui emerge la parte scomoda: il conflitto tra interesse pubblico e micro-interesse locale.

Quando la gestione della rete e dei servizi digitali diventa terreno di favoritismi, relazioni personali o parentali, aziende “invitate” a partecipare e vincere, decisioni guidate dal consenso o dalla prossimità, la sicurezza smette di essere un requisito tecnico. Diventa una variabile politica. E quando la sicurezza è una variabile, prima o poi viene sacrificata.

Questo non è moralismo. È gestione del rischio. Una rete progettata per “far contenti” è una rete più facile da violare. Una governance pensata per la carriera è una governance che, alla prima crisi, cerca coperture invece che soluzioni.

Il quadro normativo c’è. Il problema è l’esecuzione (e il presidio)

Negli ultimi anni il perimetro regolatorio si è rafforzato: strumenti per la resilienza, obblighi di gestione del rischio e di notifica, standard minimi e linee guida. Ma senza un presidio interno reale, la norma resta carta.

Da qui una tesi semplice: ogni ente locale deve avere una sentinella vera, con un mandato chiaro. Proteggere. Non “far girare” contratti.

La sentinella dell’ente: cosa deve fare, davvero

Un referente — o una piccola funzione — che:

• mappi asset, dipendenze e fornitori critici;
• imponga baseline minime verificabili (patching, MFA, backup offline o immutabili, segmentazione, logging);
• definisca e testi procedure di risposta agli incidenti;
• tratti gli accessi dei fornitori come un rischio, non come un’abitudine;
• metta per iscritto i rischi e li porti sul tavolo decisionale, anche quando dà fastidio.

Seconda tesi: la rete nazionale di protezione deve parlare la stessa lingua

C’è un’altra illusione da sfatare: che basti centralizzare. La sicurezza nazionale delle infrastrutture critiche non è solo un centro che coordina. È una rete che scambia informazioni in modo rapido ed efficace.

Se quella rete è attraversata da silos, opacità e obiettivi di carriera, diventa lenta, autoreferenziale, inefficiente. Serve invece una rete di sentinelle che condivida indicatori, adotti playbook comuni, svolga esercitazioni reali, conduca post-mortem senza caccia alle streghe e faccia emergere i problemi prima che diventino incidenti.

La differenza non la fa la norma. La fa l’assenza di ambiguità: protezione sopra carriera.

Il costo del fallimento: non è solo downtime, è debito pubblico

Quando un ente locale acquista male — o acquista per relazione — non produce solo inefficienza. Produce debito, diretto e indiretto: contratti correttivi, ripristini costosi, contenziosi, perdita di produttività, emergenze gestite in deroga.

Interrompere il ciclo delle decisioni sbagliate significa liberare risorse e pianificare. La prevenzione è anche finanza pubblica.

Riquadro operativo: “bando cucito” e cybersicurezza

Segnali di rischio (non prove) che un affidamento IT stia nascendo male. Non per accusare, ma come check-list prima di firmare.

Indicatori tipici di rischio

• Requisiti tecnici iper-specifici che coincidono con un unico prodotto o una sola combinazione possibile.
• Tempi di gara compressi e gestione inadeguata dei chiarimenti.
• Capitolati copiati da affidamenti precedenti senza adattamento al contesto reale.
• Valutazioni tecniche fortemente discrezionali e poco misurabili.
• Assenza di exit strategy: lock-in contrattuale, dati non portabili, documentazione insufficiente, dipendenza totale dal fornitore.
• Conflitti di interesse non gestiti: relazioni personali, incarichi pregressi, commissioni non adeguatamente presidiate.
• Affidamenti ripetuti allo stesso perimetro senza motivazioni solide.

Contromisure minime

• Gestione e documentazione dei conflitti di interesse e delle misure di prevenzione.
• Clausole anti lock-in (portabilità, documentazione, consegna delle configurazioni e piani di handover).
• Security baseline verificabile, non solo dichiarata: MFA, logging, backup testati, segregazione dei privilegi, hardening, patching e gestione delle vulnerabilità.
• Controlli e collaudi tecnici reali, con criteri misurabili (SLA e requisiti di sicurezza).

Conclusione: la sicurezza è governance, non solo tecnologia

Il tema non è aggiungere un firewall. È difendere la funzione pubblica.

Se i nodi locali restano fragili perché la cybersicurezza viene trattata come una spesa — o peggio come un’occasione di relazione — la sicurezza nazionale diventa un castello costruito su fondamenta amministrative deboli.

La soluzione è pragmatica: una sentinella per ogni ente, con mandato e responsabilità; regole di procurement che proteggano la sicurezza, non l’abitudine; una rete nazionale che collabori davvero, invece di competere internamente; pianificazione di lungo periodo, perché la cybersicurezza non si compra a fine anno: si costruisce e si mantiene.

Un principio, infine, non negoziabile: quando un ente locale decide male sulla propria rete, non sta sbagliando solo per sé. Sta aumentando il rischio per tutti.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Roberto Villani

Dilettante nel cyberspazio, perenne studente di scienze politiche, sperava di conoscere Stanley Kubrick per farsi aiutare a fotografare dove sorge il sole. Risk analysis, Intelligence e Diritto Penale sono la sua colazione da 30 anni.

Aree di competenza: Geopolitica, cyber warfare, intelligence, Diritto penale, Risk analysis