L’impatto del PNRR sulla finanza pubblica: il ruolo centrale della cybersicurezza

Abstract
Il Piano Nazionale di Ripresa e Resilienza (PNRR) rappresenta una straordinaria opportunità per rilanciare la finanza pubblica italiana, con particolare attenzione alla digitalizzazione della Pubblica Amministrazione e alla protezione dei sistemi chiave per la sicurezza nazionale. Tuttavia, la crescente digitalizzazione comporta nuove vulnerabilità, rendendo la cybersicurezza una priorità strategica per garantire la sostenibilità degli investimenti pubblici. L’adozione della direttiva NIS2 e il suo recepimento in Italia, insieme alle misure previste dal PNRR, sono elementi chiave per rafforzare la difesa digitale del Paese. Questo contributo esplora il legame tra PNRR e cybersecurity, evidenziando le sfide pratiche nell’attuazione di misure di protezione avanzate. Emerge inoltre l’attualità del tema, supportata da recenti casi di attacchi cibernetici ai sistemi governativi italiani e internazionali, nonché alle infrastrutture vitali.

Norma De Vito 

La questione

La crescente digitalizzazione, accelerata dalla pandemia di COVID-19, ha esposto le infrastrutture pubbliche e private italiane a nuove vulnerabilità. Il Piano Nazionale di Ripresa e Resilienza (PNRR) si pone l’obiettivo di rilanciare l’economia italiana, destinando risorse significative alla trasformazione digitale e alla modernizzazione della Pubblica Amministrazione.
Tuttavia, questa spinta verso la digitalizzazione comporta inevitabilmente un aumento dei rischi legati alla sicurezza informatica. La cybersicurezza, dunque, diventa un elemento imprescindibile per garantire la protezione delle infrastrutture cruciali e la sicurezza dei dati sensibili.
L’adozione della Direttiva NIS2 (Network and Information Systems Directive), recepita in Italia con il Decreto Legislativo n. 105/2023, rappresenta un passo fondamentale per migliorare la protezione delle reti e dei sistemi informativi a livello europeo. La Direttiva amplia il perimetro delle entità obbligate ad adottare misure di sicurezza, includendo sia le organizzazioni pubbliche che quelle private operanti nei settori essenziali. Tra queste figurano aziende e istituzioni attive in ambiti strategici come sanità, energia, trasporti, telecomunicazioni e finanza, oltre ai nuovi settori digitali. Tra questi ultimi rientrano fornitori di servizi cloud, piattaforme digitali e operatori di data center, il cui ruolo è determinante nel garantire la continuità dei servizi in un’economia interconnessa. La Direttiva impone inoltre agli Stati membri l’obbligo di rafforzare la sicurezza delle infrastrutture critiche, ossia risorse fisiche e digitali indispensabili per il funzionamento della società e dell’economia. Tra queste, come già menzionato, sono considerati i settori dell’energia, trasporti, telecomunicazioni, sanità, fornitura idrica e finanza, la cui compromissione potrebbe avere gravi conseguenze sulla sicurezza pubblica e sul benessere collettivo. Tuttavia, la sua implementazione pratica presenta numerose sfide.

Il recente attacco alla Regione Lazio nel 2021, che ha paralizzato il sistema sanitario e compromesso l’accesso ai dati sensibili, rappresenta un esempio emblematico della vulnerabilità delle infrastrutture digitali italiane. Questo episodio, insieme ad altri attacchi globali, come quello al Servizio Sanitario Nazionale del Regno Unito (NHS), evidenzia l’urgenza di rafforzare la difesa informatica. L’intensificarsi degli attacchi, tra cui il crescente fenomeno dei ransomware, oltre a tecniche come il phishing, gli attacchi DDoS e l’uso di malware per sottrarre dati sensibili, ha sottolineato quanto sia essenziale per lo Stato proteggere i propri sistemi informativi, in quanto i danni potenziali possono compromettere gravemente la fiducia dei cittadini nelle istituzioni.

Il contesto normativo

Il PNRR si inserisce all’interno di una risposta nazionale agli stimoli economici promossi dal programma Next Generation EU, dedicando risorse ingenti alla digitalizzazione, ma per garantirne la sostenibilità a lungo termine, è necessario un adeguato sistema di protezione dalle minacce cibernetiche. A livello europeo, la Direttiva NIS2 ha posto l’accento sull’importanza di una sicurezza solida per i settori essenziali di cui sopra.

In Italia, il Decreto Legislativo di recepimento, ha esteso le misure di sicurezza ed ha stabilito obblighi più stringenti per le entità pubbliche e private. Tra le principali misure introdotte, vi è l’obbligo di adottare piani di gestione del rischio cibernetico, progettati per identificare e mitigare le vulnerabilità, garantendo la continuità operativa in caso di attacchi. Inoltre, le entità sono tenute a segnalare tempestivamente gli incidenti significativi all’Agenzia per la Cybersicurezza Nazionale (ACN), istituita con il Decreto-legge n. 82/2021. L’ACN gioca un ruolo cruciale nel monitorare l’attuazione delle misure di sicurezza e nel favorire la cooperazione internazionale attraverso iniziative come l’EU-CyCLONe,(European Cyber Crises Liaison Organization Network), che coordina la risposta agli attacchi cibernetici su larga scala e facilita la collaborazione tra gli Stati Membri.
Tuttavia, la frammentazione delle competenze tra i vari enti pubblici e le difficoltà pratiche nell’implementazione uniforme delle disposizioni della NIS2, sono ancora sfide significative per la piena realizzazione di un sistema di difesa cibernetica efficace.

 

L’Analisi: interventi strategici e criticità

La cybersicurezza viene riconosciuta dal PNRR come una delle priorità per la digitalizzazione del Paese, con investimenti mirati a rafforzare le difese cibernetiche dei sistemi vitali per la sicurezza e il benessere pubblico nonché dei sistemi informativi della Pubblica Amministrazione. Tra le linee di intervento previste dal Piano, sono incluse risorse destinate all’introduzione di sistemi avanzati di protezione, come l’intelligenza artificiale e la blockchain, strumenti essenziali per migliorare la gestione dei dati sensibili e la sicurezza delle transazioni.

Tuttavia, la digitalizzazione della Pubblica Amministrazione e il miglioramento delle infrastrutture vitali sono ostacolati da diversi fattori. In primo luogo, la carenza di competenze in cybersecurity rappresenta una delle principali difficoltà. Sebbene siano previsti investimenti nella formazione di esperti e l’incentivazione di partenariati pubblico-privato, il gapdi competenze in Italia è un problema ancora rilevante, che potrebbe rallentare l’attuazione efficace delle politiche previste dal PNRR. Un altro profilo problematico riguarda la sovrapposizione tra nuove tecnologie e infrastrutture legacy, ossia sistemi tecnologici obsoleti ancora ampiamente utilizzati in settori come la sanità, la pubblica amministrazione e i trasporti. Progettati in epoche in cui le minacce informatiche erano meno sofisticate, questi sistemi risultano particolarmente vulnerabili agli attacchi moderni e costituiscono un ostacolo significativo alla modernizzazione. Integrare soluzioni avanzate in tali sistemi implica costi elevati e complessità tecniche che le amministrazioni, spesso, non riescono a gestire in tempi rapidi.

Inoltre, il ritardo nell’attuazione delle misure di sicurezza nelle realtà locali e nelle PMI, che costituiscono una parte fondamentale del sistema economico italiano, rischia di aumentare la vulnerabilità generale del Paese. Le piccole e medie imprese, spesso target privilegiato di attacchi informatici, dispongono infatti di risorse limitate per proteggere adeguatamente i dati, rendendo ancora più urgente la loro inclusione nel piano di digitalizzazione sicura del PNRR.

Conclusione: opportunità e prospettive

Pur rappresentando una grande opportunità per rafforzare la cybersicurezza dell’Italia, il PNRR è destinato a incontrare sfide considerevoli. La Direttiva NIS2 offre un quadro normativo robusto, ma la sua implementazione richiede uno sforzo significativo per garantire la protezione delle infrastrutture essenziali. La cooperazione tra pubblico e privato, la formazione di competenze specializzate e l’aggiornamento delle infrastrutture esistenti sono passaggi fondamentali per l’efficace realizzazione delle misure previste.

Solo un approccio integrato, che combini investimenti tecnologici, risorse umane qualificate e una governance efficiente, si rivela senz’altro indispensabile per rispondere alle sfide della sicurezza informatica in un contesto sempre più interconnesso e digitalizzato.