L’uscita di Bruno Frattasi dalla guida dell’Agenzia per la cybersicurezza nazionale non chiude una fase amministrativa. La espone. Il prefetto lascia dopo le dimissioni e al suo posto arriva Andrea Quacivi, manager proveniente da Sogei, cioè da una delle strutture più decisive dell’informatica pubblica italiana. Ma il punto politico non è soltanto il cambio del direttore generale. Il punto vero è capire che cosa sia diventata ACN nel momento in cui il Paese continua a parlare di guerra ibrida, sovranità digitale, NIS2, perimetro cibernetico e protezione delle infrastrutture critiche. Per anni l’agenzia è stata raccontata come l’organo destinato a difendere il cyberspazio italiano, a superare la frammentazione della pubblica amministrazione, a costruire una capacità nazionale contro ransomware, DDoS, data breach, attacchi alle infrastrutture e minacce ibride. Ma dietro la retorica della sicurezza nazionale emerge un quadro molto meno nobile: una struttura giovane, ricca, ambita, attraversata da cordate interne, vecchie appartenenze, posizionamenti, stipendi elevati, premi, carriere blindate e interrogativi sugli affidamenti. La vicenda Frattasi, letta alla luce delle inchieste già pubblicate da Matrice Digitale su ACN, NoName057(16), Paragon, NIS2 e sovranità cibernetica, mostra che il problema non è il singolo direttore. Il problema è l’architettura di potere che si è sedimentata dentro una struttura nata per proteggere il Paese e finita al centro della solita grammatica italiana del controllo pubblico.
Cosa leggere
La fine di Frattasi non chiude il problema ACN
Bruno Frattasi è stato spesso attaccato perché non proveniva dal mondo tecnico della cybersecurity. Era un prefetto, un uomo dell’amministrazione della sicurezza, non un analista malware, non un ricercatore cyber, non un manager nato dentro le filiere private della sicurezza informatica. Questa critica, però, ha sempre raccontato solo una parte del problema. Un’agenzia nazionale non gestisce soltanto firewall, malware, vulnerabilità e incident response. Gestisce anche rapporti politici, amministrazioni, fornitori, intelligence, ministeri, norme europee, cloud, infrastrutture critiche e pressione internazionale. Frattasi ha rappresentato il tentativo di inserire dentro ACN una cultura da sicurezza dello Stato, collegata a Palazzo Chigi, alla filiera civile dell’amministrazione e al perimetro politico di Giorgia Meloni e Alfredo Mantovano. Ma proprio la sua uscita dimostra che quel modello non ha risolto il nodo di fondo. ACN non è diventata più trasparente, più misurabile, più autonoma o più sovrana solo perché al vertice c’era un prefetto. Il cambio con Andrea Quacivi sposta il baricentro. Non più il prefetto come figura di garanzia amministrativa, ma il manager proveniente da Sogei, cioè dalla macchina digitale pubblica che gestisce pezzi essenziali dell’infrastruttura informatica dello Stato. È una transizione coerente, ma anche rischiosa. Quacivi può portare cultura di processo, bilancio, gestione, continuità operativa e infrastruttura. Ma può anche limitarsi a normalizzare una struttura che ha bisogno non di semplice efficienza, bensì di una vera bonifica politica e organizzativa.
Quacivi arriva da Sogei, ma eredita una struttura già lottizzata
La provenienza di Andrea Quacivi non è secondaria. Sogei è una delle società più rilevanti dell’informatica pubblica italiana. Intorno a Sogei passano sistemi fiscali, piattaforme dello Stato, dati, processi, servizi essenziali e rapporti con il Ministero dell’Economia e delle Finanze. Chi arriva da lì conosce la dimensione concreta del digitale pubblico: non il convegno, ma il sistema che deve funzionare; non la dichiarazione, ma il processo; non la propaganda, ma la continuità operativa. Questo profilo può servire ad ACN, ma solo a una condizione: che il nuovo direttore non venga usato come foglia di fico manageriale per coprire una macchina già occupata. Se Quacivi arriva solo per amministrare equilibri esistenti, allora la sua nomina non cambia nulla. Se arriva per rimettere mano a spesa, nomine, premi, criteri di carriera e affidamenti, allora il suo ingresso diventa davvero politico. Il nodo è che ACN non nasce nel vuoto. La struttura porta ancora l’impronta della stagione di Roberto Baldoni, primo direttore generale e figura intorno alla quale si è costruita l’ossatura iniziale dell’agenzia. Baldoni rappresentava la fase tecnica e accademica, Frattasi la normalizzazione amministrativa, Quacivi il ritorno alla grammatica infrastrutturale. Ma in tutte e tre le fasi resta una domanda:
chi controlla davvero la cybersicurezza nazionale italiana?
Baldoni, Frattasi e la continuità del potere interno
Il nome di Roberto Baldoni continua a pesare perché ACN è nata anche intorno alla sua visione e al suo gruppo. Matrice Digitale ha già raccontato come la questione ACN non possa essere separata dalle tensioni interne, dalle porte girevoli, dalle faide e dal ruolo delle vecchie appartenenze. La narrazione ufficiale ha spesso presentato Baldoni come il fondatore tecnico e Frattasi come il normalizzatore amministrativo, ma questa distinzione è insufficiente. Baldoni ha certamente avuto il ruolo di costruire la prima architettura dell’agenzia, ma la sua stagione è stata attraversata anche da critiche sulla reale tenuta del perimetro cibernetico, sulla dipendenza da grandi fornitori e sulla gestione degli attacchi che hanno colpito obiettivi istituzionali italiani. Frattasi non ha cancellato quel sistema. Lo ha ereditato. E forse, in parte, ha provato a riequilibrarlo. Ma ogni riequilibrio dentro una struttura giovane produce frizioni, risentimenti, fughe di notizie e contrapposizioni. È qui che la vicenda NoName-Paragon raccontata da Matrice Digitale diventa decisiva. La guerra interna ad ACN non nasce con le dimissioni di Frattasi. Le dimissioni arrivano dentro una guerra già aperta. Da una parte le vecchie reti, dall’altra il nuovo corso; da una parte chi rivendica competenza storica, dall’altra chi tenta di ridefinire ruoli e organigrammi; da una parte gli apparati, dall’altra la politica; da una parte la sicurezza nazionale come recinto chiuso, dall’altra la necessità di rendere l’agenzia responsabile davanti al Paese.
L’agenzia della cybersicurezza o il nuovo ammortizzatore dello Stato
ACN doveva attrarre competenze. Questo era il punto originario. La pubblica amministrazione ordinaria non riesce a competere con il mercato cyber privato, quindi serviva un ente con stipendi più alti, regole più flessibili e capacità di trattenere profili qualificati. In astratto, la logica è corretta. La sicurezza nazionale costa e le competenze vere non si pagano con i buoni pasto della burocrazia tradizionale. Il problema nasce quando questo principio viene piegato a una logica diversa: non più pagare molto chi sa difendere il Paese, ma costruire una struttura remunerativa dove inserire profili protetti, carriere favorite, figure trasversali e personale non sempre riconducibile a competenze cyber consolidate. Avvocati, economisti, amministrativi, pedagogisti e profili non strettamente tecnici possono avere un ruolo in un’agenzia complessa, ma devono poter dimostrare una connessione reale con il cyberspazio, con la regolazione digitale, con la sicurezza, con la gestione del rischio o con la governance delle infrastrutture. Se invece la cybersicurezza diventa solo la parola d’ordine per creare posti, incarichi e progressioni, allora ACN rischia di trasformarsi in un ammortizzatore sociale di lusso dello Stato, un luogo dove collocare debiti politici, amministrativi e relazionali, più che competenze realmente necessarie alla difesa nazionale.
Nomine, carriere e manuale Cencelli in salsa cyber
Il capitolo delle nomine interne è il più esplosivo. Secondo ricostruzioni e indiscrezioni circolate negli ambienti dell’agenzia, prima di lasciare Frattasi avrebbe firmato una delibera destinata a incidere sulle posizioni interne, con sei direttori e ventisei incarichi o posizionamenti organizzativi. La notizia, se confermata nei suoi dettagli documentali, sarebbe politicamente pesantissima perché riguarderebbe una mappa di potere costruita mentre il direttore era già nella fase finale della propria esperienza e c’è chi mormora che la sua porta girevole possa essere proprio il DIS con un incarico. Il punto non è soltanto chi avrebbe ottenuto cosa. Il punto è il metodo. In un ente giovane, ogni posizione assegnata oggi produce effetti per anni. Chi entra prima e viene collocato bene può bloccare la progressione di chi arriva dopo, anche quando quest’ultimo ha competenze migliori.
È il manuale Cencelli della pubblica amministrazione applicato alla cybersicurezza: costruire subito la gerarchia, presidiare le caselle, occupare le traiettorie di carriera e lasciare ai meritevoli l’attesa.
Secondo le stesse ricostruzioni, il provvedimento sarebbe poi stato revocato, rimettendo al nuovo direttore generale la decisione sulle assegnazioni. Ma la revoca non cancella il problema. Al contrario, lo illumina. Se una delibera del genere è stata firmata e poi ritirata, significa che lo scontro interno esiste, che qualcuno ha provato a chiudere la partita prima dell’arrivo di Quacivi e che qualcun altro ha impedito che quel disegno passasse senza resistenza.
Stipendi, premi e modello Banca d’Italia
ACN gode di un trattamento economico costruito per essere competitivo. Il regolamento e la documentazione economica dell’agenzia richiamano una disciplina ispirata al modello della Banca d’Italia, con l’obiettivo dichiarato di creare condizioni capaci di attrarre personale qualificato. Anche qui il principio, in sé, non è scandaloso. La cybersecurity è un settore ad alta competenza e il pubblico deve poter pagare chi sa proteggere infrastrutture, reti, dati, cloud, servizi essenziali e amministrazioni. Ma il privilegio salariale diventa politicamente indifendibile quando non è accompagnato da risultati misurabili. Non basta dire che ACN deve pagare bene. Bisogna dimostrare che quei soldi producono sicurezza reale. Se i premi, gli scatti e le componenti accessorie diventano una forma di rendita interna, la questione non è più tecnica. È morale, politica e istituzionale. Secondo quanto circola negli ambienti dell’agenzia, nel mese di aprile alcuni premi avrebbero inciso in modo molto rilevante sulle retribuzioni, fino alla percezione di stipendi fortemente aumentati per effetto delle componenti accessorie. Se confermato, il punto non sarebbe la cifra in sé, ma la logica:
premiare la presenza o la fedeltà interna dentro una struttura già retribuita su standard elevati rischia di trasformare la sicurezza nazionale in una rendita di posizione.
Il costo del personale e il nervo scoperto del governo Meloni
Il governo Meloni ha lasciato a Frattasi un margine ampio. Lo ha sostenuto, lo ha tenuto al vertice e ha consentito all’agenzia di proseguire nella propria crescita. Ma secondo alcune ricostruzioni interne, la rottura sarebbe maturata anche quando l’esecutivo avrebbe percepito l’aumento della spesa del personale e il rischio di una macchina destinata a crescere non solo per effetto delle assunzioni previste dal quadro normativo, ma anche per effetto di premi, posizionamenti e dinamiche interne difficili da controllare. Qui entra in gioco Alfredo Mantovano, figura centrale nel raccordo tra Palazzo Chigi, sicurezza nazionale e cybersicurezza. Se ACN è finita fuori controllo sul piano della spesa e delle carriere, la responsabilità politica ha scottato così tanto il Governo che si è fidato di Frattasi dandogli pieni poteri, imbarazzando l’Esecutivo per la gestione del Direttore Generale tanto da chiederne le dimissioni.
Appalti, affidamenti e segretezza usata come scudo
Il capitolo degli appalti è il più sensibile perché un’agenzia cyber opera inevitabilmente in un ambiente dove urgenza, competenze rare, fornitori specializzati e riservatezza tecnica possono giustificare procedure particolari. Ma proprio per questo il controllo dovrebbe essere più rigoroso, non più debole. Secondo indiscrezioni raccolte in ambienti vicini all’agenzia, alcune assegnazioni avrebbero sfruttato spazi di deroga e soglie previste dal quadro degli appalti, con affidamenti che, secondo le voci interne, avrebbero potuto superare anche importi significativi sopra la soglia prevista dal regolamento europeo sugli appalti pubblici. Sono elementi che richiedono accesso documentale, verifiche e riscontri, ma pongono una domanda legittima:
la sicurezza nazionale viene usata per proteggere il Paese o per proteggere le procedure dal controllo pubblico?
ACN non è un servizio di intelligence. È un’agenzia pubblica con funzioni delicate, ma non può trasformare ogni informazione amministrativa in materia opaca. La segretezza tecnica serve a proteggere sistemi, vulnerabilità, architetture e incidenti. Non può diventare uno scudo indistinto per incarichi, fornitori, affidamenti, premi e progressioni interne.
NIS2, compliance e sicurezza reale
La grande prova di ACN è la NIS2. L’agenzia è autorità competente NIS e punto di contatto unico nazionale. Questo significa che deve gestire il passaggio dalla norma europea alla realtà italiana, dalle piattaforme alla verifica, dalla registrazione dei soggetti alla resilienza effettiva. Matrice Digitale ha già analizzato il tema della piattaforma NIS online, della categorizzazione dei servizi e degli obblighi per soggetti essenziali e importanti, mettendo in evidenza una frattura decisiva: una piattaforma non è una strategia, una notifica non è resilienza, una registrazione non è sicurezza. La compliance può diventare teatro. Le aziende compilano moduli, nominano referenti, caricano dati, classificano servizi, dichiarano categorie di rischio e producono documenti. Ma se nessuno verifica davvero la capacità di prevenzione, risposta, continuità operativa, gestione dei fornitori e riduzione dell’esposizione, allora la NIS2 produce una grande mappa delle fragilità italiane, non una difesa del Paese. È qui che Quacivi potrebbe essere utile. La sua esperienza in processi, sistemi pubblici e infrastrutture può aiutare ACN a trasformare la compliance in capacità misurabile. Ma deve esserci volontà politica. Se la NIS2 diventa solo un censimento ordinato della debolezza nazionale, ACN avrà fallito anche quando avrà rispettato tutte le scadenze.
Le crepe del perimetro cibernetico nazionale
Matrice Digitale ha raccontato più volte la distanza tra perimetro dichiarato e perimetro reale. Gli attacchi rivendicati da NoName057(16), le ricadute sugli obiettivi istituzionali, la gestione dei DDoS, le polemiche sulla propaganda russa, il caso Paragon e i malumori interni hanno mostrato una cosa semplice: il sistema Italia non può continuare a confondere la comunicazione della sicurezza con la sicurezza stessa. Quando siti istituzionali finiscono offline, quando strutture pubbliche mostrano fragilità, quando incidenti e ransomware colpiscono università, enti, aziende e filiere, il problema non è solo tecnico. È politico. Perché la cybersicurezza nazionale si misura nella capacità di evitare la ripetizione degli stessi incidenti, non nella capacità di minimizzarli a posteriori. Il caso Baldoni resta sullo sfondo proprio per questo. La stagione fondativa di ACN non può essere santificata solo perché veniva presentata come più tecnica. Se sotto la retorica tecnica il Paese è rimasto dipendente da grandi fornitori, cloud esteri, soluzioni non pienamente sovrane e procedure fragili, allora il problema non è stato risolto. È stato semplicemente raccontato meglio.
Crosetto, apparati e partita di potere sulla cybersicurezza
La cybersicurezza italiana non si capisce senza il rapporto tra Palazzo Chigi, Difesa, intelligence, industria e grandi fornitori. È in questo spazio che si colloca anche il ruolo politico di Guido Crosetto, figura centrale del mondo della Difesa e riferimento di una visione della sicurezza più vicina agli apparati, alla dimensione militare, all’atlantismo e alle filiere industriali strategiche. Non si tratta di trasformare ogni tensione in complotto. Si tratta di riconoscere che ACN è un luogo di potere. Chi controlla l’agenzia controlla una parte del rapporto tra Stato e fornitori, tra compliance e sanzioni, tra infrastrutture e cloud, tra norme europee e mercato nazionale, tra sicurezza civile e sicurezza militare. La guerra interna ad ACN è anche la guerra per decidere chi interpreta la minaccia e chi monetizza la risposta. In questo quadro, la vecchia guardia baldoniana, gli ambienti vicini agli apparati, le reti politiche trasversali e le nuove linee di comando del governo Meloni convivono dentro una struttura che dovrebbe essere tecnica, ma che è inevitabilmente politica.
La differenza la fa la trasparenza. Senza trasparenza, la cybersicurezza diventa una nuova lingua con cui giustificare vecchi rapporti di forza.
La domanda sui curriculum e sui casellari
Il tema delle assunzioni e dei profili non può essere ridotto alla polemica. Un’agenzia di sicurezza nazionale deve chiedere competenze, ma anche affidabilità.
chi entra in ACN possiede davvero competenze coerenti con il cyberspazio? E quali controlli vengono svolti su curriculum, esperienze, incompatibilità, conflitti di interesse e requisiti di affidabilità?
In un ente che gestisce informazioni sensibili, rapporti con soggetti strategici e processi di sicurezza, la selezione del personale non può essere trattata come un normale concorso pubblico né come una normale chiamata fiduciaria. Serve un equilibrio difficile: apertura al merito, controlli rigorosi, verifiche proporzionate e criteri pubblici. Se questo equilibrio salta, ACN diventa vulnerabile dall’interno prima ancora che dall’esterno. Il tema dei casellari, delle verifiche e delle attitudini non va agitato come clava, ma affrontato come questione istituzionale. La sicurezza nazionale non può essere affidata a una macchina opaca che chiede fiducia senza offrire garanzie verificabili.
Il rischio Quacivi: normalizzare invece di bonificare
Il grande rischio della fase Quacivi è la normalizzazione. Frattasi esce, Quacivi entra, il governo chiude il caso, l’agenzia riparte, le tensioni interne vengono assorbite e la macchina continua. Sarebbe la soluzione più comoda per tutti, ma anche la più pericolosa per il Paese. Quacivi dovrà scegliere se amministrare l’esistente o aprire i cassetti. Dovrà capire quali nomine sono motivate dal merito e quali dalla cordata. Dovrà verificare i premi, il costo del personale, gli affidamenti, i criteri di avanzamento, le competenze reali e la qualità della produzione operativa. Dovrà decidere se ACN vuole essere una cabina di regia burocratica o un’autorità capace di pretendere sicurezza reale da pubbliche amministrazioni, aziende essenziali, fornitori e infrastrutture critiche. La sua provenienza da Sogei può diventare una forza se porta disciplina, bilancio, processi e misurazione. Può diventare una debolezza se lo induce a trattare la cybersicurezza come un problema di gestione amministrativa. La cyber non è solo organizzazione. È sovranità, conflitto, rischio, industria, intelligence, diritto, tecnologia e responsabilità pubblica.
Il conto finale lo pagano cittadini e imprese
Alla fine, la domanda non riguarda solo Frattasi, Quacivi, Baldoni, Mantovano, Crosetto o Meloni. Riguarda cittadini, imprese, enti locali, ospedali, università, scuole, filiere produttive e amministrazioni che dovrebbero essere protetti da una struttura nazionale credibile.
Se ACN spreca energie in guerre interne, nomine, premi e posizionamenti, il conto lo paga il Paese reale.
Lo pagano le aziende obbligate dalla NIS2 che devono investire in sicurezza ma non sempre ricevono indirizzi chiari. Lo pagano le pubbliche amministrazioni che compilano piattaforme ma restano vulnerabili. Lo pagano i cittadini quando i dati finiscono esposti. Lo paga il contribuente quando la sicurezza nazionale diventa un centro di costo senza risultati misurabili. Il caso Frattasi mostra che la cybersicurezza italiana è entrata nella sua fase più scomoda. Non basta più celebrare l’esistenza di ACN. Bisogna chiedere che cosa produce, chi promuove, quanto costa, chi seleziona, chi controlla, chi guadagna e chi risponde quando il sistema non funziona.
Nel Paese che parla ogni giorno di guerra ibrida, il primo fronte da mettere in sicurezza potrebbe essere proprio l’agenzia chiamata a difendere la sicurezza nazionale. Perché se la cybersicurezza diventa l’ennesimo contenitore pubblico riempito di cordate, stipendi, premi e appartenenze, allora il problema non sono solo gli hacker. Il problema è lo Stato che continua a difendersi con gli stessi metodi che lo hanno reso vulnerabile.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
