La nomina di Andrea Quacivi alla guida dell’Agenzia per la cybersicurezza nazionale non è un semplice cambio di vertice. È il passaggio da una stagione prefettizia, incarnata da Bruno Frattasi, a una fase manageriale e infrastrutturale, legata alla gestione dei grandi sistemi pubblici, alla governance dei dati e alla trasformazione digitale dello Stato. Il Consiglio dei ministri ha deliberato la presa d’atto delle dimissioni di Frattasi e la nomina di Quacivi a direttore generale dell’ACN il 22 maggio 2026, chiudendo una transizione che Matrice Digitale aveva già letto come un nodo politico più profondo nell’analisi su Bruno Frattasi, ACN e sovranità cibernetica italiana. La scelta di Quacivi sposta il baricentro simbolico dell’Agenzia. Dopo il profilo accademico-tecnico di Roberto Baldoni e quello amministrativo-istituzionale di Frattasi, arriva un dirigente cresciuto dentro il cuore dell’informatica pubblica italiana. Sogei, Geoweb, Big Data, processi organizzativi, pianificazione, rischio e servizi digitali diventano così le parole chiave della nuova fase. Non siamo davanti a un tecnico puro della cybersecurity, né a un prefetto chiamato a governare l’emergenza. Siamo davanti a un manager abituato a trattare il digitale come infrastruttura dello Stato, cioè come sistema che deve funzionare, reggere, scalare e restare governabile.
Cosa leggere
Chi è Andrea Quacivi
Andrea Quacivi, 56 anni, è laureato in Economia e commercio all’Università degli studi di Roma “La Sapienza”. La sua carriera nasce nella consulenza, con l’esperienza in Arthur Andersen tra il 1995 e il 1999, e prosegue in Wind Telecomunicazioni, dove dal 1999 al 2007 ricopre ruoli di responsabilità nella Direzione Amministrazione, Finanza e Controllo. È una formazione che non nasce nel perimetro classico della sicurezza informatica, ma nel governo dei processi, nella finanza aziendale, nell’organizzazione e nella trasformazione gestionale. Il salto decisivo arriva nel 2007, quando Quacivi entra in Sogei, la società informatica del Ministero dell’Economia e delle Finanze. Qui matura esperienza in pianificazione aziendale, gestione del rischio, sviluppo organizzativo e miglioramento dei processi. Fino al 2017 guida la Direzione Organizzazione, Personale e Finance, occupandosi anche di risorse umane, relazioni industriali, change management e team leadership. Il 2 agosto 2017 diventa amministratore delegato di Sogei, ruolo che mantiene fino al 2023, attraversando una fase in cui la digitalizzazione pubblica italiana diventa sempre più centrale per fiscalità, servizi ai cittadini, dati e interoperabilità. Dopo Sogei, Quacivi passa a Geoweb, società nata dall’iniziativa congiunta del Consiglio nazionale geometri e geometri laureati e di Sogei. Anche questa tappa è rilevante perché colloca il nuovo direttore ACN nel mondo dei servizi digitali a valore pubblico, dove dati catastali, professioni tecniche, piattaforme e amministrazione dialogano dentro un ecosistema che vive di accesso controllato all’informazione. A questo si aggiunge la presenza nel consiglio di amministrazione della Fondazione ICSC, legata al Centro nazionale di ricerca in HPC, Big Data e Quantum Computing del Tecnopolo di Bologna, ulteriore elemento che lo avvicina ai grandi dossier della capacità computazionale nazionale.
Il punto politico della sua biografia è proprio questo: Quacivi non arriva dalla retorica cyber, ma dalla macchina digitale pubblica. La sua storia professionale parla di infrastrutture, processi, dati, continuità operativa, governance, bilanci, organizzazione e trasformazione. Sono competenze diverse da quelle di un analista malware o di un dirigente prefettizio, ma sono competenze centrali per un’Agenzia che deve smettere di essere percepita solo come struttura di coordinamento e diventare presidio reale della resilienza nazionale.
Perché la nomina arriva dopo una fase fragile dell’ACN
La nomina di Andrea Quacivi arriva dopo le dimissioni di Bruno Frattasi, direttore generale dell’ACN dal marzo 2023. Frattasi aveva portato all’Agenzia una cultura di sicurezza amministrativa, prefettizia e istituzionale. Il suo profilo era stato interpretato come il tentativo di stabilizzare la cybersicurezza nazionale dentro una cornice civile, collegata a Palazzo Chigi e al sistema di governo. Ma la sua uscita ha riaperto il tema più delicato: che cosa deve essere davvero l’ACN. Matrice Digitale aveva già individuato questo nodo nella ricostruzione su ACN, NoName e Paragon, dove le fratture interne, le tensioni legate al caso Paragon, la gestione degli attacchi DDoS e i malumori nella macchina cyber italiana venivano letti come sintomi di un problema più ampio. Non basta avere un’Agenzia. Bisogna capire se quell’Agenzia ha autorità reale, strumenti operativi, competenze trattenute, capacità di incidere sulle amministrazioni e autonomia sufficiente rispetto ai fornitori e alle piattaforme globali.
Il cambio Frattasi-Quacivi si colloca quindi dentro una sequenza che racconta l’incertezza italiana. Baldoni rappresentava la fase della costruzione tecnica e accademica. Frattasi rappresentava la normalizzazione amministrativa e il presidio istituzionale. Quacivi rappresenta il ritorno dell’infrastruttura, cioè dei sistemi pubblici, delle piattaforme, dei dati e dei processi. È una traiettoria coerente, ma anche rischiosa: se la nuova guida dell’ACN verrà ridotta a un problema di efficientamento, la cybersicurezza resterà un campo amministrato ma non governato.
Il peso di Sogei nella lettura della nomina
Per comprendere Quacivi bisogna comprendere Sogei. La società informatica del MEF è uno degli snodi più rilevanti dello Stato digitale italiano. Intorno a Sogei passano sistemi fiscali, piattaforme pubbliche, dati strategici, servizi rivolti a cittadini e imprese, rapporti con l’amministrazione centrale e una parte importante della continuità operativa del Paese. Chi ha guidato Sogei conosce il lato più concreto del digitale pubblico: non il convegno, ma il servizio; non la dichiarazione, ma il sistema che deve restare in piedi.
Questo aspetto può rappresentare un vantaggio per l’ACN. La cybersicurezza nazionale non è solo risposta agli attacchi, ma capacità di tenuta dei sistemi essenziali. Un direttore che conosce processi, rischio, organizzazione e infrastrutture può portare all’Agenzia una cultura più misurabile, meno dipendente dalla comunicazione emergenziale e più vicina alla gestione reale della complessità. In un Paese dove molte pubbliche amministrazioni trattano ancora la sicurezza come adempimento, la capacità di trasformare gli obblighi in processi può fare la differenza.
Ma c’è anche un rischio. La cultura dei grandi sistemi pubblici può produrre efficienza, ma non automaticamente sovranità. Può migliorare il coordinamento, ma non garantire autonomia. Può rendere più ordinati i processi, ma non sciogliere la dipendenza strutturale da cloud, software, piattaforme e fornitori esteri. Il nuovo direttore dell’ACN dovrà quindi evitare che l’Agenzia diventi una grande cabina di regia burocratica. La cybersicurezza non è una pratica amministrativa: è una funzione strategica dello Stato.
Il nodo NIS2 e la differenza tra compliance e sicurezza reale
Uno dei primi banchi di prova per Quacivi sarà la NIS2. La direttiva europea ha allargato il perimetro dei soggetti obbligati e ha imposto a imprese e pubbliche amministrazioni una nuova disciplina su sicurezza, rischio, governance e notifica degli incidenti. Matrice Digitale ha già seguito questo passaggio nell’articolo sulla chiusura del procedimento di registrazione NIS2 e sulla qualità dell’ACN, evidenziando il ruolo della piattaforma dell’Agenzia e la distanza tra procedura e maturità reale del sistema italiano.
Questa è la zona in cui il profilo di Quacivi può risultare più utile. La NIS2 non può trasformarsi in un censimento ordinato di fragilità non risolte. Non può ridursi a registrazioni, referenti, autodichiarazioni, manuali e scadenze. La compliance senza verifica diventa teatro della sicurezza. Serve una struttura capace di capire quali soggetti hanno davvero capacità di prevenzione, quali enti si limitano a compilare moduli, quali aziende esternalizzano tutto senza governare nulla e quali infrastrutture critiche restano esposte nonostante il linguaggio della conformità.
L’esperienza di Quacivi in pianificazione, risk management e processi aziendali può diventare determinante se applicata a questo obiettivo: rendere la sicurezza verificabile. L’ACN dovrà misurare, auditare, accompagnare, ma anche pretendere. Il problema italiano non è solo la mancanza di norme. Spesso è l’eccesso di norme senza conseguenze operative. La NIS2 offre una cornice, ma la cornice non protegge nessuno se dentro non ci sono competenze, investimenti, esercitazioni, incident response, segmentazione, backup, supply chain governance e responsabilità dirigenziale. Il limite che Quacivi dovrà superare è quello già emerso nella stagione precedente: molta compliance, poca sovranità. Se l’ACN diventa il luogo in cui gli obblighi europei vengono tradotti in procedure nazionali, ma non in capacità effettiva, il Paese resterà vulnerabile. Se invece la nuova direzione userà la NIS2 per costruire una mappa reale della resilienza italiana, allora la nomina potrà segnare una svolta.
Sovranità digitale e dipendenza dalle piattaforme globali
Il secondo grande dossier è la sovranità digitale. Qui la nomina di Quacivi diventa ancora più interessante, perché il suo percorso in Sogei lo mette davanti a una contraddizione fondamentale: lo Stato digitale funziona spesso grazie a fornitori, piattaforme, cloud e tecnologie che non sono pienamente controllabili dallo Stato. È il nodo che Matrice Digitale ha affrontato nell’analisi su Microsoft e la sovranità dei dati UE, dove il tema non era solo tecnico, ma politico: se i dati e i servizi critici dipendono da infrastrutture sottoposte a giurisdizioni esterne, la sovranità diventa fragile.
Quacivi dovrà governare proprio questa zona grigia. Da un lato, nessun direttore ACN può fingere che le grandi piattaforme globali non esistano. Dall’altro, nessun direttore ACN può limitarsi ad accettare la dipendenza come destino. La cybersicurezza nazionale deve stabilire requisiti, condizioni, piani di continuità, clausole di reversibilità, trasparenza contrattuale e scenari di crisi. La domanda non è se usare tecnologia estera, ma quanto controllo resta allo Stato quando quella tecnologia diventa essenziale.
Il caso Cloudflare, Piracy Shield, AGCOM, ACN e Milano Cortina rappresenta un esempio concreto di questa tensione. Una piattaforma globale può essere al tempo stesso infrastruttura di sicurezza, protezione DDoS, snodo di traffico, CDN e soggetto regolato. Quando una realtà privata diventa così centrale per siti, servizi, eventi e continuità operativa, la questione non riguarda più solo il mercato. Riguarda la sovranità. Qui la nuova ACN dovrà uscire dall’ambiguità. Non basta firmare protocolli, partecipare a tavoli, pubblicare linee guida o accompagnare grandi eventi. Bisogna capire chi garantisce davvero la sicurezza operativa quando la pressione aumenta. Se nei momenti critici la soluzione più rapida è sempre esterna, la sovranità digitale resta una formula da comunicato stampa. Quacivi eredita questa contraddizione e dovrà dimostrare se la sua cultura infrastrutturale saprà trasformarsi in capacità strategica.
La resilienza pubblica come prova politica
La terza prova riguarda la resilienza della pubblica amministrazione. Matrice Digitale ha affrontato il tema nell’inchiesta su perimetro cibernetico, NIS2, Sapienza, Digos e silenzi istituzionali, dove il punto non era l’esistenza dell’attacco, ma la distanza tra la narrazione della sicurezza e la tenuta reale dei sistemi. Se università, apparati pubblici e strutture sensibili mostrano fragilità operative, allora la cybersicurezza nazionale non può essere valutata solo sulla base dei documenti prodotti.
La nuova guida dell’ACN dovrà misurarsi con questa frattura. L’Italia ha costruito un linguaggio sempre più sofisticato intorno al perimetro cibernetico, alla resilienza, alla NIS2, al cloud, alla sicurezza delle infrastrutture critiche e alla cooperazione pubblico-privato. Ma la prova non è lessicale. La prova è operativa. Un sistema è resiliente se continua a funzionare, se isola l’incidente, se ripristina i servizi, se protegge i dati, se comunica in modo trasparente e se impara dall’attacco.
Quacivi dovrà quindi portare l’ACN fuori dalla zona del coordinamento generico. Il coordinamento è necessario, ma non sufficiente. Serve una macchina capace di entrare nei processi delle amministrazioni, verificare le debolezze, individuare dipendenze, imporre priorità, correggere ritardi e soprattutto distinguere tra chi è in difficoltà ma collabora e chi usa la complessità come alibi. La cultura italiana della proroga permanente è incompatibile con la cybersicurezza. Gli attaccanti non aspettano la fine dei tavoli tecnici.
Perché Quacivi può essere la scelta giusta
La nomina di Andrea Quacivi può essere una scelta logica se il governo intende trasformare l’ACN in una struttura più orientata ai sistemi e meno alla sola rappresentanza istituzionale. Il suo profilo porta dentro l’Agenzia la conoscenza dei grandi processi pubblici, della gestione del rischio, della trasformazione organizzativa e della continuità operativa. È un bagaglio prezioso in un momento in cui la cybersicurezza non è più un settore specialistico separato, ma una condizione di funzionamento dello Stato.
Il valore possibile della nomina sta nella capacità di collegare norme, piattaforme e responsabilità. Un direttore cresciuto nell’informatica pubblica può capire meglio di altri quanto sia difficile mettere in sicurezza sistemi stratificati, fornitori multipli, amministrazioni lente, dati critici e servizi essenziali. Può sapere che la sicurezza non si compra con un contratto, non si dichiara con una policy e non si risolve con una consulenza. La sicurezza diventa reale solo quando entra nei processi quotidiani e modifica il modo in cui una struttura lavora.
In questo senso, Quacivi può rappresentare una discontinuità utile. Dopo una fase in cui l’ACN è stata letta anche attraverso le tensioni interne, le polemiche sulla governance e il rapporto con Palazzo Chigi, il nuovo direttore può riportare il discorso sulla capacità esecutiva. Ma deve farlo senza ridurre la cybersecurity a efficienza amministrativa. La sicurezza nazionale non è solo buona gestione. È anche conflitto, scelta politica, protezione degli asset critici e capacità di dire no quando una soluzione comoda crea dipendenza.
I rischi della fase Quacivi
Il rischio principale è che la nomina venga interpretata come una normalizzazione. Frattasi lascia, arriva un manager esperto di sistemi pubblici, l’Agenzia si stabilizza e il dossier esce dall’attenzione. Sarebbe un errore. Il problema ACN non finisce con il cambio di direttore. La domanda resta: l’Italia vuole un’Agenzia che accompagna la trasformazione digitale o un’Agenzia che difende davvero la sovranità cibernetica nazionale?
Il secondo rischio è la tecnocratizzazione del problema. Parlare di processi, dati, piattaforme e governance è necessario, ma non basta. La cybersicurezza è ormai un terreno di guerra ibrida, pressione geopolitica, criminalità organizzata, spionaggio industriale, campagne APT, ransomware, supply chain compromise e dipendenze cloud. Se l’ACN viene trattata solo come un ufficio di qualità del digitale pubblico, perderà il punto. Deve essere una struttura capace di collegare il piano tecnico al piano politico.
Il terzo rischio riguarda i fornitori. Quacivi conosce il mondo degli affidamenti, delle piattaforme e dei servizi pubblici. Questa competenza può rafforzare l’ACN, ma può anche renderla più incline a mediare con il sistema esistente invece di metterlo sotto pressione. La vera prova sarà il rapporto con le dipendenze tecnologiche. Un’Agenzia forte non deve demonizzare i fornitori, ma deve poterli valutare, vincolare, sostituire e controllare. Dove non esiste alternativa, deve almeno costruirla. Dove esiste solo dipendenza, deve dichiararla.
La sfida vera: trasformare l’ACN in potere pubblico effettivo
Andrea Quacivi non eredita una scrivania. Eredita una domanda di Stato. L’ACN è nata per diventare il perno della cybersicurezza nazionale, ma il suo ruolo resta conteso tra coordinamento, regolazione, supporto, intelligence, industria, cloud, pubblica amministrazione e difesa. La nomina del nuovo direttore può essere l’occasione per chiarire questa funzione. Oppure può diventare l’ennesimo avvicendamento dentro una struttura che continua a oscillare tra ambizione e limite. La differenza la farà il mandato politico. Se Quacivi verrà lasciato a gestire l’ordinario, l’ACN diventerà più ordinata ma non necessariamente più forte. Se invece riceverà spazio, strumenti e copertura per intervenire sulle fragilità reali, allora la sua esperienza potrà diventare utile. Il Paese non ha bisogno di un’Agenzia che produca sicurezza percepita, ma di una struttura che renda più costoso attaccare l’Italia e più difficile paralizzarne i servizi. La nomina di Quacivi segna quindi un passaggio rilevante perché porta al vertice dell’ACN un uomo che conosce il digitale pubblico dall’interno. Ora resta da capire se quella conoscenza verrà usata per amministrare il rischio o per governarlo. La distinzione è decisiva. Amministrare il rischio significa renderlo compatibile con la macchina esistente. Governarlo significa cambiare la macchina quando la macchina produce vulnerabilità.
In questo senso, la nuova direzione ACN sarà giudicata su pochi elementi concreti: attuazione reale della NIS2, capacità di verifica, trasparenza sugli incidenti, rafforzamento della resilienza pubblica, rapporto meno subalterno con le piattaforme globali, protezione dei dati strategici e costruzione di una sovranità digitale meno retorica. Andrea Quacivi arriva nel momento in cui la cybersicurezza italiana non può più permettersi di sembrare forte. Deve esserlo davvero.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
