Cybersicurezza, la PA alla prova della resilienza: a FORUM PA 2025 il focus su come garantire la continuità dei servizi
Non solo adempimento normativo: la cybersecurity è un’opportunità per innovare e migliorare l’offerta dei servizi al cittadino. Ma occorre andare oltre il concetto di protezione per abbracciare quello più ampio di resilienza dei dati e delle infrastrutture digitali e fisiche per garantire la continuità dei servizi. “Serve un salto di qualità: la convergenza normativa e la consapevolezza dei rischi devono portare a un cambiamento di mentalità nella PA”, afferma Alessio Di Benedetto, Technical Sales Director Southern Europe di Veeam. Il tema al centro del convegno in programma a FORUM PA 2025
13 Maggio 2025
Patrizia Licata
Giornalista
Foto di Furkan Elveren su Unsplash - https://unsplash.com/it/foto/un-uomo-seduto-su-un-treno-che-utilizza-un-computer-portatile-yG-AocNbJ4w
La cybersecurity è un elemento imprescindibile per la competitività e la stabilità del Paese, ma la nostra pubblica amministrazione è pronta a vincere la sfida? Superare il cosiddetto il “cyber divide” – il divario tra gli enti che riescono a proteggersi dalle crescenti minacce e quelli che rimangono indietro – per garantire la continuità dei servizi, richiede il passaggio da una logica di puro adempimento a quella di innovazione e di servizio. Se ne parlerà al prossimo FORUM PA 2025, nell’ambito del convegno “La cybersecurity nella PA, tra normativa, evoluzione tecnologica e scenari geopolitici”.
“La PA è chiamata ad adottare un approccio olistico e proattivo alla cybersicurezza, facendo un salto di qualità nella protezione delle proprie infrastrutture critiche, sia fisiche che digitali”, evidenzia Di Benedetto di Veeam, che sarà tra i relatori del convegno in programma il 19 maggio ore 14.30 presso il Palazzo dei Congressi di Roma. Il talk sarà l’occasione per confrontarsi con esperti, referenti degli enti di governance e i Chief Information Security Officer (CISO) di amministrazioni pubbliche sia centrali che locali sulle iniziative intraprese, per comprendere gli impatti e valutare gli scenari di rischio per la PA italiana.
Cybersicurezza nella PA: dalla protezione alla resilienza
L’approccio olistico e proattivo è favorito dalla convergenza delle normative di settore che, se da un lato forzano la PA a un lavoro extra per l’adempimento, dall’altro accelerano l’adozione di una postura consapevole e matura sulla cybersicurezza. NIS2 (Network and Information Security Directive 2), CER (Critical Entities Resilience Directive), DORA (Digital Operational Resilience Act) e la Legge del 28 giugno 2024, n. 90, in materia di rafforzamento della cybersicurezza nazionale e di reati informatici, forniscono agli enti il necessario stimolo per rafforzare la resilienza delle infrastrutture e dei dati.
Per esempio, la direttiva CER sulle infrastrutture critiche mette l’accento sulla capacità delle entità critiche di continuare a funzionare nonostante gli eventi avversi, di recuperare rapidamente e di adattarsi alle circostanze. Di qui gli obblighi prescritti, che devono permettere agli enti critici(diverse PA ricadono nel perimetro) di fronteggiare tempestivamente minacce e incidenti, mantenendo la continuità operativa.
“La pubblica amministrazione gestisce enormi quantità di dati sensibili (identità, sanità, finanze, giustizia e così via): rendere la PA più resiliente, coordinata e preparata contro le minacce cyber significa proteggere le infrastrutture e i dati critici nazionali e garantire la continuità dei servizi pubblici e la fiducia dei cittadini”, afferma Di Benedetto. “Veeam da sempre è specialista della resilienza dei dati, che vanno protetti su tutte le piattaforme per garantire che l’azienda o l’ente funzioni senza problemi”.
PA sotto attacco: lo scenario
Secondo il Rapporto Clusit 2025, nel 2024 il settore governativo è stato uno dei più colpiti dai cyber-attacchi, con un incremento del 19,3% rispetto all’anno precedente. Pubblica amministrazione locale e centrale emergono come i bersagli preferiti dai criminali informatici e degli attivisti politici anche nei più recenti rapporti del CSIRT Italia(Computer Security Incident Response Team), che riportano su base mensile i dati derivanti dalle attività operative dell’Agenzia per la Cybersicurezza Nazionale (ACN).
In particolare, a marzo 2025 si è rilevato un aumento degli incidenti nel settore della PA locale come risultato di una violazione dei sistemi di un fornitore di servizi web. L’incidente ha determinato la compromissione di 26 siti istituzionali di piccoli comuni, con l’obiettivo, da parte degli attori malevoli, di utilizzarli per la creazione di pagine di phishing. Si sono registrati anche 76 attacchi DDoS e la maggior parte si è diretta contro i siti web della PA locale e centrale.
In forte aumento anche le campagne di disinformazione e destabilizzazione contro gli enti pubblici, con uso di tecniche di defacement e manomissione temporanea dei sitiper lanciare messaggi politici o provocatori.
Al tempo stesso, la PA è un attore chiave nella strategia di cybersicurezza nazionale, come sancito anche dal Legge del 28 giugno 2024, n. 90, che ha rafforzato il ruolo dell’ACN. Per questo è così importante che la PA adotti un nuovo approccio di resilienza e innovazione.
Dalla compliance all’innovazione, l’adempimento normativo come opportunità
“La convergenza normativa e la consapevolezza dei rischi devono portare a un cambiamento di mentalità nella PA”, evidenzia Di Benedetto. “Adottare la security by design, rafforzare il ruolo dei CISOeinvestire in capitale umano e cultura della sicurezza sono i tre pilastri per costruire una PA resiliente e affidabile”.
La sicurezza by design significa considerare i rischi informatici fin dalla progettazione nelle architetture, nei processi e nei flussi di dati e ridurre la superficie d’attacco attraverso scelte tecniche consapevoli come autenticazione forte, cifratura e segmentazione della rete. Tuttavia, pesa il citato “cyber divide”: 7 PA locali su 10 non dispongono di una gestione codificata degli eventi di sicurezza ICT, come ha rilevato l’Istat in un report del 2024. In aggiunta, solo il 15,1% delle PA locali ha nominato un Responsabile per la sicurezza o CISO.
Le entità critiche, in particolare, devono effettuare regolarmente una valutazione del rischio che identifichi e analizzi le minacce, le vulnerabilità e le potenziali conseguenze di eventi avversi sulla loro capacità di fornire servizi essenziali. Questa valutazione deve coprire vari tipi di minacce, fisiche e digitali (disastri naturali, cyber-attacchi, incidenti tecnici…). La CER prescrive anche di definire dei piani di resilienza con misure concrete per mitigare i rischi, gestire le crisi e garantire il ripristino e la continuità operativa. Queste misure comprendono la sicurezza delle reti e dei sistemi informatici e l’implementazione di politiche di sicurezza dei dati.
Difendere i dati, garantire i servizi
“Anche le PA, come le imprese private, fanno affidamento sulla disponibilità dei dati. Quando accade il peggio, che sia a causa di un ransomware, di un disastro naturale o di un aggiornamento di sicurezza involontario, la resilienza dei dati è fondamentale”, sottolinea Di Benedetto. “Per questo avere un piano di backup per proteggere i dati è la base della strategia di cybersecurity. Veeam integra i principi zero trust in ogni backup, garantendo che i dati delle aziende e delle PA siano protetti e pronti per il ripristino ovunque si trovino: in cloud, on-premises, virtualizzati, in app. Siamo un partner che affianca le PA nel loro percorso di formazione e consapevolezza verso un approccio sistematico alla cybersecurity”.
Veeam integra anche il machine learning e le analisi predittive, con le quali le organizzazioni sono messe in grado non solo di difendere i propri dati da eventuali attacchi informatici o errori umani, ma anche di prevedere scenari e impatti sulle proprie attività, garantendo la continuità del servizio verso gli utenti, che resta il compito fondamentale dell’amministrazione pubblica.
