Bruno Frattasi lascia ACN, ma il problema resta la sovranità cibernetica italiana

Le dimissioni di Bruno Frattasi dalla guida dell’Agenzia per la cybersicurezza nazionale non sono soltanto un avvicendamento amministrativo. Sono il punto di caduta di una fase in cui la cybersicurezza italiana è stata raccontata come nuova architettura strategica dello Stato, ma è rimasta sospesa tra Palazzo Chigi, apparati di sicurezza, filiere industriali, fornitori globali, obblighi europei e debolezze operative interne. La notizia è arrivata con la formula più classica e più ambigua delle crisi istituzionali: una lettera a Palazzo Chigi, motivi personali, uscita rapida, successore già indicato. Repubblica ha dato conto delle dimissioni improvvise del direttore generale dell’ACN e dell’indicazione di Andrea Quacivi, ex Sogei, come nuovo vertice; Il Fatto Quotidiano ha aggiunto un elemento politico più pesante, parlando di fiducia del governo ormai venuta meno, pur dentro la cornice formale dei “motivi personali”. Il passaggio è delicato perché non riguarda un’agenzia qualsiasi. L’ACN è il nodo istituzionale chiamato a coordinare la difesa informatica del Paese, a presidiare il rapporto con il CSIRT Italia, a gestire il nuovo quadro NIS2, a interagire con imprese strategiche e pubbliche amministrazioni, e a tradurre in capacità reale una strategia nazionale di cybersicurezza che, sulla carta, dovrebbe rendere l’Italia più sicura e resiliente. Il sito ufficiale dell’ACN ricorda che Frattasi era stato nominato direttore generale il 9 marzo 2023, mentre la stessa Agenzia indica la nuova normativa NIS come vigente dal 16 ottobre 2024, con ACN nel ruolo di Autorità competente NIS e punto di contatto unico nazionale. La domanda vera, però, non è perché Frattasi se ne vada. La domanda è che cosa resta dopo Frattasi. Perché se il cambio al vertice viene trattato come una semplice sostituzione di nome, l’Italia perderà ancora una volta l’occasione di discutere il nodo strutturale:

ACN è davvero un’agenzia di sovranità cibernetica o è ancora un dispositivo amministrativo attraversato da troppe dipendenze esterne e interne?

La fine politica di Frattasi non coincide con la fine del problema ACN

La figura di Bruno Frattasi è stata fin dall’inizio un paradosso. Non arrivava dal mondo tecnico della cybersecurity, non era un ricercatore, non era un uomo di prodotto, non era un manager nato nelle filiere industriali del cyber. Era un prefetto, cioè un uomo dell’amministrazione della sicurezza, formato in un’idea ampia di ordine pubblico, coordinamento, emergenza, apparati e governo del territorio. Proprio questa caratteristica ha alimentato le critiche iniziali: per molti, Frattasi era il simbolo di una scelta “non tecnica” in un settore che avrebbe richiesto una guida cyber-native. Quella critica, tuttavia, si è rivelata solo una parte del problema. Frattasi non era un tecnico puro, ma non è detto che il direttore di un’agenzia strategica debba essere soltanto un tecnico. Un’agenzia nazionale di cybersicurezza non gestisce soltanto firewall, vulnerabilità, malware e procedure di incident response. Gestisce relazioni di potere, coordina amministrazioni ostili tra loro, tratta con imprese che controllano pezzi di infrastruttura, dialoga con l’Europa, assorbe pressioni politiche, interagisce con intelligence, ministeri, forze dell’ordine, grandi fornitori e organismi sovranazionali. In questo senso, Frattasi ha portato dentro ACN un’esperienza reale di sicurezza statuale, anche se non specializzata in cybersicurezza.

Il punto, allora, non è liquidarlo come corpo estraneo. Il punto è capire perché un profilo nato fuori dal cyber abbia dovuto imparare il cyber dentro una struttura che, a sua volta, non ha mai chiarito fino in fondo la propria identità. Frattasi è stato scelto come figura civile di sicurezza più che come figura militare o tecnologica, dentro una fase in cui la cybersicurezza italiana veniva progressivamente spostata verso Palazzo Chigi e verso una governance nazionale più ampia. La lettura politica è evidente: la partita non era soltanto tecnica, ma riguardava l’equilibrio tra una visione più civile-istituzionale, associata al perimetro di Palazzo Chigi e al ruolo di Alfredo Mantovano, e una visione più vicina alla sicurezza nazionale tradizionale e alla difesa, dove il peso del ministero guidato da Guido Crosetto non poteva essere irrilevante. Questa tensione non va ridotta a una guerra di nomi. È il conflitto tra due idee di cybersicurezza. Da una parte c’è la cybersicurezza come estensione della sicurezza nazionale, quindi materia da apparati, difesa, intelligence, grandi contractor e continuità dello Stato. Dall’altra c’è la cybersicurezza come infrastruttura civile della Repubblica, quindi materia che riguarda imprese, ospedali, università, comuni, cittadini, identità digitali, piattaforme, cloud, dati, procedure amministrative e diritti. L’ACN avrebbe dovuto tenere insieme queste due dimensioni. Invece, troppo spesso, è apparsa come un luogo in cui queste dimensioni si sovrappongono senza fondersi davvero.

La nomina di Quacivi e il ritorno del modello infrastrutturale

Il nome di Andrea Quacivi, indicato come successore di Frattasi, sposta il baricentro simbolico. Non più il prefetto come garante di sicurezza amministrativa, ma un profilo proveniente da Sogei, quindi da una delle società più rilevanti nell’informatica pubblica italiana. Secondo diverse ricostruzioni giornalistiche, Quacivi è stato indicato come nuovo direttore dell’ACN dopo le dimissioni di Frattasi, con formalizzazione attesa in Consiglio dei ministri. Le informazioni disponibili lo collegano al percorso in Sogei, società generale d’informatica del ministero dell’Economia e delle Finanze, con incarichi di vertice e funzioni manageriali nell’ecosistema IT pubblico.

Questa scelta racconta molto. Se Frattasi rappresentava il tentativo di portare dentro l’ACN una grammatica da sicurezza dello Stato, Quacivi sembra rappresentare il ritorno della grammatica infrastrutturale: sistemi, processi, piattaforme, pubblica amministrazione, organizzazione, governance IT. È una transizione che può avere senso, ma che rischia di non risolvere il nodo politico. Perché l’Italia non ha bisogno soltanto di un direttore più tecnico o più manageriale. Ha bisogno di capire chi comanda davvero la cybersicurezza nazionale quando le infrastrutture decisive non sono nazionali, quando il cloud è estero, quando la PA dipende da fornitori, quando gli eventi globali impongono deroghe operative e quando la normativa europea detta tempi e cornici che il Paese recepisce più che governare. Il rischio è che l’avvicendamento venga letto come una normalizzazione: il prefetto lascia, arriva il manager dell’informatica pubblica, l’agenzia riparte. Ma proprio questa lettura sarebbe insufficiente. La questione non è se Quacivi abbia competenze più adatte di Frattasi. La questione è se ACN sia nelle condizioni di trasformare competenze, fondi, norme e protocolli in capacità sovrana. Senza questo salto, ogni direttore sarà costretto a muoversi dentro lo stesso labirinto.

Matrice Digitale aveva già individuato la frattura interna

Il lavoro di Matrice Digitale su ACN e Frattasi non nasce con le dimissioni. Il sito ha seguito negli anni il rapporto tra l’Agenzia, la guerra cibernetica, le dipendenze infrastrutturali, le pressioni politiche e le contraddizioni operative. Uno dei passaggi più espliciti è l’inchiesta su NoName057(16) e Paragon, dove ACN viene descritta come attraversata da una guerra interna, con malumori e linee di frizione emerse in parallelo agli attacchi DDoS e agli scandali spyware. In quel testo, Matrice Digitale osservava che una parte dell’Agenzia, storicamente presente nei suoi equilibri, sarebbe stata “spodestata” dal nuovo corso deciso da Frattasi, mentre le polemiche sulla sua provenienza esterna alla cybersicurezza venivano considerate ormai superate. Questo passaggio è decisivo perché consente di distinguere due piani. Il primo è la critica originaria: Frattasi non viene dal cyber. Il secondo è la critica più matura: il problema non è più soltanto Frattasi, ma il modo in cui ACN diventa campo di battaglia tra cordate, sensibilità politiche, vecchie appartenenze, nuove nomine, apparati, consulenti e sistemi di relazione. Se la cybersicurezza nazionale viene gestita come una filiera di posizionamenti, la competenza tecnica diventa solo una parte del discorso. Conta chi controlla le leve, chi accredita gli esperti, chi costruisce i tavoli, chi decide le priorità, chi interpreta la minaccia e chi trasforma il rischio in commesse, visibilità o potere. Matrice Digitale aveva già segnalato anche l’ipotesi di figure alternative alla guida dell’Agenzia, compresa quella di Nicola Gratteri, rilanciata da Matteo Renzi, dentro un contesto in cui Frattasi veniva percepito da alcune forze politiche come troppo esposto e meno tecnico. Quella ricostruzione, ripresa nella newsletter sul caso Gratteri, mostrava come il tema del vertice ACN fosse già entrato nella conversazione politica prima delle dimissioni formali.

In altre parole, Frattasi non cade nel vuoto. Cade dentro una storia già scritta a pezzi: dubbi sulla governance, guerre interne, pressioni esterne, percezione di scarsa indipendenza, difficoltà nel trasformare la cybersicurezza in politica pubblica autonoma.

Il limite di ACN: molta compliance, poca sovranità

La critica più profonda elaborata da Matrice Digitale riguarda la distanza tra compliance e sovranità. L’Italia ha recepito NIS2, ACN ha assunto il ruolo di autorità competente, il portale NIS online è diventato il luogo operativo per la registrazione, la categorizzazione e gli obblighi dei soggetti essenziali e importanti. Su questo piano, la macchina amministrativa esiste. Matrice Digitale ha dedicato una guida specifica agli obblighi NIS online, descrivendo il passaggio dalla teoria alla fase concreta di censimento, categorizzazione, aggiornamento, accesso alla piattaforma, adozione delle misure di sicurezza e notifica degli incidenti significativi. Ma una piattaforma non è una strategia. Una notifica non è resilienza. Un obbligo non è capacità operativa. La NIS2 impone una cornice, ma non produce automaticamente sovranità cibernetica nazionale. Anzi, può generare l’effetto opposto: un Paese formalmente più regolato, ma materialmente più dipendente da consulenti, fornitori, cloud esteri, piattaforme globali e procedure che servono a dimostrare conformità più che a costruire autonomia. È qui che la lettura delle dimissioni di Frattasi deve diventare più severa. L’ACN è stata spesso raccontata come la risposta italiana al rischio cyber. Ma se l’Agenzia resta soprattutto il terminale nazionale di un diktat regolatorio europeo, senza una propria dottrina industriale, tecnologica e politica, allora il suo ruolo rimane incompleto. Non basta dire che l’Italia applica NIS2. Bisogna chiedersi quali infrastrutture controlla, quali competenze trattiene, quali piattaforme può sostituire, quali fornitori può governare, quali dati può proteggere senza dover dipendere dal cloud e dalle filiere di altri Paesi. La sovranità cibernetica non nasce dalla modulistica. Nasce dalla capacità di decidere. E l’Italia, oggi, sembra ancora troppo spesso nella posizione di chi deve negoziare la propria sicurezza con soggetti che non controlla.

Cloudflare, Piracy Shield e Milano Cortina: il punto cieco dell’autonomia

Il caso Cloudflare, analizzato da Matrice Digitale nel dossier su Piracy Shield, AGCOM, ACN e Milano Cortina 2026, è uno dei simboli più chiari di questa fragilità. L’inchiesta mostra come il dibattito sulla sovranità digitale italiana si sia scontrato con la realtà operativa: davanti a minacce DDoS, esigenze di protezione, grandi eventi e infrastrutture da tenere online, il Paese finisce spesso per appoggiarsi a piattaforme globali che funzionano, ma che non sono nazionali. Nel testo, Matrice Digitale lega ACN, NIS2 e sovranità come parola svuotata, sostenendo che i protocolli e le intese non bastano se la parte operativa viene delegata a soggetti esterni. Qui la questione è brutale: se uno Stato finanzia una struttura nazionale per la cybersicurezza, ma nei momenti di pressione deve affidarsi a un fornitore estero per proteggere servizi, eventi, traffico e disponibilità, che cosa resta della sovranità? Non si tratta di demonizzare Cloudflare o qualunque altro operatore globale. Il punto è riconoscere che l’efficienza privata estera può diventare supplenza strutturale della debolezza pubblica nazionale.

La vicenda di Milano Cortina rende il tema ancora più evidente. Un grande evento internazionale non è soltanto sport. È identità digitale, biglietteria, pagamenti, accreditamenti, logistica, e-commerce, telecomunicazioni, videosorveglianza, flussi turistici, reti di sicurezza, cooperazione tra forze dell’ordine, sponsor globali, cloud, app e piattaforme. Se la cybersicurezza di un evento del genere si regge su un mosaico di attori esterni, allora il perimetro cibernetico italiano non coincide più con le dichiarazioni ufficiali. Coincide con i contratti, gli accessi, le API, i log, le terze parti e le catene di fornitura. Frattasi, in questo quadro, è stato il direttore di una struttura chiamata a presidiare un confine che non è mai stato davvero un confine. Il suo addio non cancella il problema. Lo rende più visibile.

Alibaba, Qatar e la superficie geopolitica del perimetro cibernetico

Matrice Digitale ha allargato ulteriormente il discorso nel dossier sul perimetro cibernetico italiano tra Olimpiadi, cloud e alleanze, mettendo insieme Cloudflare, Alibaba e Qatar come esempi di un rischio che non passa soltanto dagli attacchi informatici, ma dall’integrazione ordinaria di attori esterni dentro infrastrutture, servizi, piattaforme e relazioni operative. L’inchiesta descrive le Olimpiadi come un moltiplicatore di dati, fornitori, sponsor, accreditamenti, pagamenti e flussi informativi, mostrando come il perimetro cibernetico si sposti dove si spostano le filiere di servizio. Questo punto è centrale per leggere ACN dopo Frattasi. La cybersicurezza nazionale non può più essere pensata solo come difesa da Russia, Cina, Iran o Corea del Nord quando lanciano attacchi, conducono spionaggio o usano proxy. Deve essere pensata anche come governo delle dipendenze legali, commerciali, infrastrutturali e contrattuali. Il rischio non arriva soltanto da chi viola un sistema. Arriva anche da chi lo gestisce, lo intermedia, lo protegge, lo ospita, lo monetizza o lo osserva per ragioni perfettamente legittime ma strategicamente sensibili.

In questo senso, la critica a Frattasi sarebbe persino riduttiva se restasse personale. Il problema non è se il direttore uscente abbia parlato abbastanza, agito abbastanza o compreso abbastanza. Il problema è se ACN abbia gli strumenti per dire no quando un grande evento chiede scorciatoie, quando un fornitore globale offre una soluzione immediata, quando un apparato spinge per una cooperazione opaca, quando il mercato promette efficienza in cambio di controllo, quando l’Europa impone adempimenti ma non fornisce autonomia infrastrutturale.

Una vera agenzia nazionale dovrebbe poter trasformare il rischio in dottrina. Dovrebbe stabilire una linea: quali dipendenze sono tollerabili, quali sono temporanee, quali sono incompatibili con la sicurezza nazionale, quali vanno ridotte con investimenti pubblici, quali vanno rese trasparenti davanti al Parlamento e quali devono essere escluse da eventi, infrastrutture e servizi critici.

Sapienza, Digos e Viminale: la crepa nella resilienza reale

La distanza tra regola e realtà emerge anche nelle inchieste di Matrice Digitale su Sapienza, Digos, Viminale e perimetro cibernetico. Nel dossier su NIS2 e silenzi istituzionali, il sito ha messo in relazione il ransomware alla Sapienza, la presunta esposizione di dati legati alla Digos e il tema più ampio della fragilità informatica italiana, sostenendo che il Paese non può liquidare incidenti e data breach con note generiche quando la posta in gioco riguarda continuità operativa, identità, sedi, personale e infrastrutture pubbliche. Il punto non è solo che gli incidenti accadono. Gli incidenti accadono ovunque. Il punto è come vengono trattati. Se ogni incidente viene isolato, minimizzato, incasellato in una comunicazione amministrativa e dimenticato, la strategia nazionale resta cieca. Se invece gli incidenti vengono letti come sintomi, allora rivelano il quadro vero: università, apparati, ministeri, piattaforme, pubbliche amministrazioni e infrastrutture essenziali vivono dentro una superficie d’attacco ampia, distribuita, spesso mal governata.

Qui ACN avrebbe dovuto rappresentare il luogo della memoria operativa nazionale. Non solo l’ente che riceve notifiche o pubblica linee guida, ma la struttura che trasforma ogni incidente in apprendimento pubblico e sistemico. Questo passaggio è ancora debole. La cultura istituzionale italiana tende a proteggere la reputazione degli enti più che a costruire conoscenza condivisa. Ma nella cybersicurezza, nascondere o attenuare la fragilità non protegge lo Stato. Lo lascia impreparato al ciclo successivo.

Frattasi ha guidato ACN dentro questa fase. Ha probabilmente compreso progressivamente che la cybersicurezza non è un settore tecnico separato, ma una forma di amministrazione della vulnerabilità nazionale. Tuttavia, la struttura non sembra essere riuscita a trasformare questa consapevolezza in un salto politico: da agenzia di coordinamento a soggetto di sovranità operativa.

Il cloud estero come confine invisibile dello Stato

Un altro asse centrale della produzione di Matrice Digitale riguarda il cloud. Nel dossier sul blackout AWS e sulla sovranità, la nostra testata ha sostenuto che finché servizi fondamentali resteranno legati a regioni cloud estere, la sovranità digitale resterà una promessa da brochure. La critica è netta: blackout, dipendenze cloud e debolezze del Polo Strategico Nazionale mostrano che l’Italia rischia di avere una sovranità dichiarata ma non collaudata. Questo è forse il nodo più importante dell’intera vicenda Frattasi. Un’agenzia di cybersicurezza può avere competenze, personale, procedure, piani, tavoli e comunicati. Ma se l’architettura digitale reale del Paese è ospitata, accelerata, protetta, distribuita e gestita da attori esterni, allora la sovranità resta subordinata. Il cloud non è un magazzino neutro. È giurisdizione, accesso, continuità operativa, potere contrattuale, capacità di enforcement, auditabilità, dipendenza economica e asimmetria tecnologica. La politica italiana ha spesso confuso il cloud nazionale con il cloud “localizzato”. Ma localizzare non significa controllare. Avere dati su territorio europeo o italiano non significa automaticamente avere autonomia tecnica, giuridica e industriale. Se gli stack, le console, gli aggiornamenti, l’orchestrazione, il supporto, l’hardware, il software e le catene di dipendenza restano dentro ecosistemi globali, lo Stato resta cliente. E un cliente può essere importante, ma non è sovrano.

Questo non significa immaginare un’autarchia digitale impossibile. Significa fissare un obiettivo realistico: ridurre le dipendenze strategiche, costruire filiere nazionali ed europee dove serve, imporre trasparenza sui contratti, distinguere tra servizi ordinari e funzioni critiche, evitare che ogni emergenza venga risolta con la solita piattaforma globale pronta all’uso.

Frattasi ha imparato il cyber, ma ACN deve imparare la sovranità

Il giudizio su Frattasi deve essere più equilibrato di quanto suggerisca il rumore delle dimissioni. La sua provenienza prefettizia è stata un limite evidente sul piano della percezione tecnica, ma anche una risorsa in termini di sicurezza generale, coordinamento istituzionale e conoscenza dell’amministrazione. Nel tempo, Frattasi ha mostrato di poter apprendere la materia cibernetica e di poterla inserire dentro una cornice più ampia di sicurezza nazionale. Il problema è che questa evoluzione personale non ha sciolto l’ambiguità dell’agenzia.

ACN resta una struttura giovane, potente sulla carta, ma costretta a muoversi tra troppi centri di gravità. Risponde alla presidenza del Consiglio, lavora con ministeri, dialoga con intelligence, deve trattare con imprese private, applica norme europee, osserva minacce globali, coordina notifiche, produce linee guida, interagisce con le forze dell’ordine e si trova al centro di un mercato cyber sempre più ricco. In questo ambiente, l’indipendenza non è un attributo formale. È una condizione politica che va costruita.

L’errore sarebbe pensare che basti nominare un nuovo direttore per rendere ACN più autonoma. Se il nuovo vertice eredita la stessa architettura, le stesse dipendenze e gli stessi vincoli non dichiarati, il cambio diventa cosmetico. Il punto non è sostituire Frattasi con Quacivi. Il punto è decidere se ACN debba diventare davvero il luogo in cui l’Italia definisce una propria dottrina cibernetica nazionale, oppure se debba restare una stazione di smistamento tra obblighi europei, emergenze, fornitori e compromessi politici.

La guerra tra civile e militare non basta più a spiegare il cyber

La contrapposizione tra dimensione civile e militare è importante, ma non basta più. La cybersicurezza contemporanea attraversa entrambe e le supera. Un ransomware su un’università è un fatto civile, ma può diventare questione di sicurezza nazionale. Un data leak su personale investigativo è un incidente informatico, ma può produrre danno intelligence. Un fornitore cloud è un soggetto commerciale, ma può diventare infrastruttura critica. Una piattaforma di e-commerce olimpico è un servizio privato, ma può raccogliere dati strategici. Una CDN è un intermediario tecnico, ma può trasformarsi in leva geopolitica.

È per questo che il conflitto Crosetto-Mantovano, inteso come conflitto tra sicurezza militare e sicurezza civile, descrive solo una parte della partita. La domanda più avanzata è un’altra: chi costruisce la capacità autonoma dello Stato quando la minaccia non arriva soltanto dal nemico, ma dall’ecosistema in cui lo Stato ha scelto di vivere?

Da questo punto di vista, ACN dovrebbe essere meno una cabina di regia e più un organo di verità tecnica e politica. Dovrebbe dire quando una scelta aumenta la dipendenza, anche se conviene nel breve periodo. Dovrebbe dire quando una piattaforma estera è troppo centrale. Dovrebbe dire quando una norma europea non basta. Dovrebbe dire quando un grande evento sta creando una deroga pericolosa. Dovrebbe dire quando il mercato cyber sta trasformando la paura in rendita. Dovrebbe dire quando la PA compra sicurezza come prodotto invece di costruirla come capacità.

Il dopo Frattasi deve partire da una domanda scomoda

Le dimissioni di Frattasi non cambieranno nulla se verranno assorbite dalla liturgia del potere: ringraziamenti, nuovo nome, continuità istituzionale, comunicati sulla resilienza, richiamo alla NIS2, promessa di rafforzamento. Cambieranno qualcosa solo se apriranno una discussione sulla funzione reale dell’ACN.

L’Italia deve chiedersi se vuole una cybersicurezza fondata sulla conformità o sulla sovranità. La conformità serve, ma non basta. Produce documenti, scadenze, piattaforme, registrazioni, notifiche, linee guida, audit. La sovranità produce capacità, alternative, controllo, memoria, filiere, indipendenza negoziale, dottrina, trasparenza e responsabilità. Senza sovranità, la conformità diventa una liturgia amministrativa dentro un’infrastruttura altrui.

Frattasi lascia una struttura che ha imparato a stare nel lessico della cybersicurezza, ma non ha ancora dimostrato di poter governare fino in fondo la sostanza della sovranità cibernetica. Quacivi, se sarà confermato, erediterà un compito che non può essere ridotto alla gestione dell’agenzia. Dovrà dimostrare se ACN può diventare il luogo in cui l’Italia smette di subire le proprie dipendenze digitali e comincia a nominarle, misurarle, ridurle. La vera inchiesta, dunque, non finisce con l’uscita di Frattasi. Inizia adesso. Perché il punto non è il prefetto che si dimette. Il punto è un Paese che continua a chiamare “cybersicurezza nazionale” un sistema in cui la sicurezza è nazionale solo quando viene annunciata, mentre diventa globale, privata, estera e negoziata quando deve funzionare davvero.