La trasformazione della cybersicurezza italiana non riguarda soltanto la distribuzione delle competenze tra amministrazioni pubbliche. Dietro il riassetto che coinvolge l’Agenzia per la cybersicurezza nazionale, il Dipartimento delle informazioni per la sicurezza e il ministero della Difesa si intravede un cambiamento più profondo: il passaggio da un modello civile di resilienza digitale a un’architettura nella quale le capacità operative, la risposta alle crisi e la protezione delle infrastrutture strategiche potrebbero essere progressivamente assorbite dalla catena militare e dagli apparati di intelligence. Il punto non è soltanto stabilire chi debba ricevere una segnalazione di incidente, chi debba analizzare un malware o chi possa certificare la sicurezza di un prodotto destinato alla pubblica amministrazione. La vera domanda riguarda chi avrà il potere di definire un attacco informatico come incidente tecnico, attività criminale, operazione di intelligence, minaccia ibrida o atto ostile contro lo Stato. Da quella classificazione dipendono la catena di comando, il livello di segretezza, la possibilità di informare l’opinione pubblica, il coinvolgimento delle imprese e persino la natura della risposta italiana. È il punto di arrivo di una battaglia che Matrice Digitale ha raccontato da tempo come una guerra sottobanco all’interno della maggioranza di governo, combattuta tra uomini vicini a Giorgia Meloni ma portatori di concezioni differenti dello Stato, dell’intelligence e della sicurezza nazionale. Da una parte c’è la linea che mantiene la cybersicurezza sotto il coordinamento civile della Presidenza del Consiglio, rappresentata politicamente dal sottosegretario Alfredo Mantovano. Dall’altra c’è Guido Crosetto, che considera il dominio cibernetico una componente ormai inseparabile della Difesa, delle operazioni multidominio e della capacità militare italiana. In mezzo resta l’ACN. Un’Agenzia nata per diventare il centro della resilienza cibernetica nazionale, cresciuta rapidamente grazie a risorse, assunzioni e trattamenti economici fuori scala rispetto a molta parte della pubblica amministrazione, ma oggi esposta al rischio di essere trasformata in una grande autorità di regolazione, vigilanza e produzione di carte bollate.
Se le funzioni operative dovessero passare al DIS, alla Difesa o a un futuro comando cyber interforze, l’Agenzia potrebbe conservare il potere di imporre obblighi, ricevere notifiche, effettuare controlli e applicare sanzioni, perdendo però il cuore tecnico e operativo sul quale è stata costruita.
Cosa leggere
Una riforma che cambia il modello di Stato
La discussione sulla riforma cyber viene spesso presentata come una normale esigenza di coordinamento. Le minacce sono aumentate, la guerra ibrida ha reso più sottile il confine tra pace e conflitto, le infrastrutture civili sono diventate obiettivi militari e la NATO considera ormai il cyberspazio un dominio operativo al pari di terra, mare, cielo e spazio. Tutto vero. Ma ridurre il problema a una semplice modernizzazione amministrativa impedisce di cogliere la posta in gioco. La riforma stabilirà quale parte dello Stato potrà intervenire nel dominio digitale anche in tempo di pace. Stabilirà se la protezione di una rete energetica, di un ospedale, di un sistema bancario o di un operatore di telecomunicazioni debba rimanere prevalentemente nell’ambito della resilienza civile oppure possa essere ricondotta a un concetto più ampio di difesa nazionale. Stabilirà inoltre fino a che punto strutture militari e apparati di intelligence potranno accedere ai sistemi, ai log, alle informazioni industriali e alle vulnerabilità delle aziende private coinvolte in un incidente. Nei documenti elaborati intorno alla riforma della Difesa emergono concetti che vanno molto oltre la sicurezza delle reti militari. Si parla di spazio cyber di interesse nazionale, di operazioni condotte anche fuori da un conflitto formalmente dichiarato, di una struttura congiunta incaricata di contrastare minacce cibernetiche e ibride, di una riserva composta da specialisti provenienti dal mondo civile e di un corpo cyber formato da personale militare e civile. Le ipotesi più ambiziose indicano una capacità iniziale compresa tra 1.200 e 1.500 unità, destinata a crescere fino a circa 5.000 operatori, con una quota prevalente impiegata nelle attività operative continuative. Non si tratterebbe, quindi, di un piccolo nucleo di tecnici a protezione delle reti della Difesa, ma della costruzione di una vera infrastruttura nazionale capace di condurre attività difensive, informative e, quando autorizzate, offensive. Matrice Digitale aveva già descritto questo scenario nell’analisi sul progetto che avrebbe potuto mettere hacker, difesa e attacco informatico nelle mani dell’Esercito. Quello che allora appariva come un tentativo politico controverso oggi riemerge all’interno di un riassetto più ampio, accompagnato dall’aumento degli investimenti militari e dalla trasformazione tecnologica delle Forze armate.
L’ACN era nata per togliere la resilienza cyber ai servizi
Per comprendere il significato del possibile ritorno del DIS bisogna ricordare perché l’ACN sia stata istituita. La nascita dell’Agenzia, nel 2021, non rappresentò soltanto la creazione di un nuovo ente pubblico. Fu una scelta precisa per separare la resilienza cibernetica nazionale dalle attività propriamente informative degli apparati di intelligence. Il DIS avrebbe continuato a coordinare l’attività di AISE e AISI, occupandosi delle minacce alla sicurezza nazionale e della raccolta informativa. L’ACN avrebbe invece dovuto costruire un rapporto più aperto con imprese, pubbliche amministrazioni, università, operatori di infrastrutture critiche e fornitori tecnologici. Una struttura civile, collocata sotto la Presidenza del Consiglio ma distinta dai servizi, avrebbe dovuto favorire la condivisione degli incidenti senza trasformare automaticamente ogni compromissione informatica in un dossier classificato. La separazione rispondeva anche a una necessità concreta. Un’impresa colpita da ransomware deve poter comunicare rapidamente con le autorità tecniche, condividere indicatori di compromissione, preservare le prove, riavviare i sistemi e adempiere agli obblighi previsti dalla normativa. Se la relazione viene assorbita in una cornice di intelligence o di difesa militare, cambiano inevitabilmente il regime delle informazioni, la trasparenza e la possibilità di rendere pubbliche le cause dell’incidente. Riportare una parte significativa della resilienza cyber sotto il DIS significherebbe quindi ripercorrere in senso inverso il cammino iniziato nel 2021. Non necessariamente attraverso la soppressione formale dell’ACN, ma mediante uno svuotamento progressivo delle sue funzioni operative. L’Agenzia potrebbe continuare a esistere, mantenendo le competenze normative, ispettive, sanzionatorie e di certificazione, mentre il coordinamento delle crisi più gravi tornerebbe nell’area dell’intelligence. È una distinzione fondamentale. Un’ACN che stabilisce le regole ma non possiede più la piena capacità di intervento non sarebbe la stessa Agenzia progettata all’origine. Diventerebbe un’autorità amministrativa della cybersicurezza, mentre il vero potere operativo si sposterebbe verso strutture meno esposte alla trasparenza pubblica e sottoposte a regimi di segretezza più ampi.
Il ritorno del DIS e l’ascesa della Difesa
Il possibile ritorno del DIS non esclude il rafforzamento della Difesa. Al contrario, i due movimenti possono essere complementari. Il DIS potrebbe recuperare il coordinamento strategico e informativo delle crisi cibernetiche, mentre il ministero della Difesa potrebbe ottenere le capacità operative necessarie a intervenire nel dominio cyber. In questo schema l’ACN resterebbe responsabile della compliance, dell’attuazione della direttiva NIS2, della vigilanza sul Perimetro di sicurezza nazionale cibernetica, della certificazione e dei rapporti amministrativi con gli operatori. Il DIS gestirebbe l’inquadramento delle minacce nella cornice della sicurezza nazionale. La Difesa disporrebbe del personale, delle tecnologie e della catena di comando per le operazioni. Sulla carta, una divisione delle competenze può apparire razionale.
Nella pratica, però, gli incidenti informatici non rispettano i confini organizzativi. Un attacco contro un operatore di telecomunicazioni può iniziare come violazione criminale, trasformarsi in attività di spionaggio e infine rivelarsi parte del preposizionamento di un attore statale. Un ransomware può essere utilizzato per guadagno economico oppure come copertura di un sabotaggio. Una vulnerabilità sfruttata contro un fornitore italiano può interessare contemporaneamente aziende private, amministrazioni pubbliche e sistemi militari.
Chi assume il comando nella fase iniziale? Chi decide quando l’incidente cambia natura? Chi conserva le prove? Chi informa il mercato? Chi stabilisce quali dettagli debbano essere classificati?
Senza una disciplina chiara, il riassetto rischia di moltiplicare i centri decisionali proprio mentre dichiara di volerli semplificare. La questione diventa ancora più delicata quando la Difesa rivendica la possibilità di operare nel cyberspazio nazionale anche in tempo di pace. Il concetto di “spazio cyber di interesse nazionale” può comprendere reti e infrastrutture che appartengono a soggetti privati. Telecomunicazioni, cloud, energia, trasporti, finanza, sanità e filiere industriali non sono apparati militari, ma rappresentano il terreno sul quale si combattono le operazioni ibride contemporanee. La militarizzazione della risposta può quindi avvenire senza che venga militarizzata formalmente la proprietà dell’infrastruttura. È sufficiente che il sistema venga considerato essenziale per la sicurezza nazionale e che la minaccia sia attribuita, anche solo in via probabilistica, a un attore ostile.
Crosetto e Mantovano, due modelli di cybersicurezza
La tensione tra Guido Crosetto e Alfredo Mantovano non deve essere letta come una semplice rivalità personale. I due rappresentano modelli istituzionali differenti. Mantovano presidia il sistema di sicurezza dalla Presidenza del Consiglio, controlla politicamente il comparto intelligence ed è stato il referente dell’ACN durante la direzione di Bruno Frattasi. La sua linea ha mantenuto la cybersicurezza all’interno di una cornice civile, pur con un rapporto stretto con gli apparati informativi e con le esigenze di sicurezza nazionale.
Crosetto parte da una prospettiva diversa. Per la Difesa, il cyberspazio non è soltanto un ambiente da rendere resiliente, ma un dominio nel quale preparare, pianificare e condurre operazioni. Una forza armata che dipende da reti digitali, satelliti, cloud, intelligenza artificiale, comunicazioni cifrate e sistemi autonomi non può limitarsi ad affidare la propria sicurezza a un’autorità civile esterna. Ha bisogno di capacità interne, di autonomia operativa e di personale addestrato secondo una catena di comando militare. Il problema nasce quando questa esigenza, legittima per le reti della Difesa, viene estesa alla protezione dell’intero sistema nazionale. È lì che la cyberdifesa militare entra in collisione con la resilienza civile e con il ruolo dell’ACN. Matrice Digitale ha già ricostruito lo scontro nel dossier “ACN militarizzata? Chi ha aperto porte girevoli nei Servizi? Crosetto o Mantovano?”, mostrando come la partita riguardasse contemporaneamente l’Agenzia, l’intelligence, la Difesa, il controllo del dominio cibernetico e la selezione delle figure chiamate a guidare le strutture strategiche. Con la nuova riforma, quella battaglia sembra aver raggiunto un punto di maturazione. Crosetto ottiene un quadro politico favorevole all’espansione delle capacità militari, mentre l’ACN attraversa una fase di transizione dirigenziale e di debolezza interna. Mantovano può tentare di preservare il coordinamento civile attraverso il DIS e la Presidenza del Consiglio, ma deve fare i conti con una Difesa che dispone di risorse crescenti, relazioni internazionali consolidate e una legittimazione politica costruita sulla guerra ibrida.
L’uscita di Frattasi e la fotografia con Crosetto
La posizione di Bruno Frattasi diventa centrale anche dopo la sua uscita dall’Agenzia. Quella che nel linguaggio dell’inchiesta può essere descritta come una cacciata politica ha segnato la fine di un equilibrio che appariva già da tempo fragile. Frattasi era stato indicato nell’orbita politica di Mantovano, ma durante la sua direzione non aveva rinunciato a costruire un proprio rapporto con la Difesa. La fotografia sul palco insieme a Crosetto, ampiamente commentata negli ambienti istituzionali, aveva assunto un valore che andava oltre il semplice evento pubblico. Mostrava il tentativo di collocare l’Agenzia all’interno della nuova centralità militare del dossier cyber. Quel posizionamento non gli è bastato. Come ricostruito nell’inchiesta sul caso Frattasi, la guerra tra apparati, i concorsi e la sovranità digitale, la direzione dell’ACN si è trovata stretta tra la linea della Presidenza del Consiglio, le ambizioni della Difesa, le resistenze interne e il peso della struttura costruita dalla precedente gestione di Roberto Baldoni. Frattasi, messo lì su indicazione di Mantovano, avrebbe progressivamente messo in difficoltà parte dei propri sponsor politici, adattandosi a una macchina amministrativa nella quale la vecchia guardia continuava a esercitare un’influenza significativa. L’Agenzia formalmente cambiava guida, ma la cultura organizzativa, i meccanismi interni e i rapporti consolidati non scomparivano con la sostituzione del direttore. La sua uscita ha consegnato ad Andrea Quacivi un ente dotato di risorse importanti, ma attraversato da malumori, aspettative e interrogativi sul proprio futuro. Matrice Digitale ha già analizzato il profilo del manager proveniente da Sogei chiamato a guidare l’ACN e la guerra interna che Quacivi ha ereditato dopo Frattasi. Il nuovo direttore deve ora governare un paradosso. Da una parte l’Agenzia continua a ricevere nuove responsabilità normative, soprattutto attraverso NIS2 e il rafforzamento degli obblighi imposti alle organizzazioni essenziali e importanti. Dall’altra rischia di perdere proprio le capacità operative che giustificano la presenza di tanti tecnici, dirigenti e specialisti.
Un’ACN da Win for Life
All’esterno, l’ACN viene spesso percepita come una sorta di Win for Life della pubblica amministrazione: numerose assunzioni, trattamenti economici parametrati a quelli della Banca d’Italia, benefit difficilmente confrontabili con quelli riconosciuti alla maggior parte dei dipendenti pubblici e una posizione istituzionale prestigiosa in uno dei settori più richiesti del mercato. È una rappresentazione volutamente tagliente, ma fotografa una tensione reale.
L’Agenzia ha reclutato personale promettendo di costruire il centro operativo della cybersicurezza italiana. Se quel centro venisse svuotato, molti dipendenti potrebbero ritrovarsi in una struttura con un numero elevato di persone, funzioni prevalentemente amministrative e un perimetro operativo molto più ristretto rispetto a quello previsto al momento dell’assunzione.
Da qui nasce il malumore. Chi è entrato nell’ACN sa che il destino di CSIRT Italia, del Centro di valutazione e certificazione nazionale e delle strutture tecniche non rappresenta un dettaglio organizzativo. Se CSIRT Italia e CVCN dovessero perdere competenze o essere trasferiti, anche parzialmente, verso la Difesa o altre strutture dello Stato, cambierebbe la natura professionale dell’Agenzia. Cambierebbe inoltre il fondamento politico del trattamento economico riconosciuto al personale. Il sistema retributivo era stato giustificato dalla necessità di attrarre specialisti difficilmente reperibili, contrastando le offerte del mercato privato e garantendo la protezione di infrastrutture strategiche. Se l’ACN diventasse prevalentemente un’autorità normativa e sanzionatoria, il rapporto tra missione, organico e trattamento economico tornerebbe inevitabilmente al centro del dibattito pubblico. Non si tratta di invocare una riduzione retroattiva dei diritti dei dipendenti. Chi ha superato un concorso pubblico deve conservare il proprio ruolo e le garanzie previste dall’ordinamento. Bisogna però capire se i benefit parametrati alla Banca d’Italia possano essere mantenuti integralmente qualora una parte del personale venga trasferita in altre amministrazioni o qualora le funzioni per cui quel trattamento era stato concepito vengano ridimensionate. Il problema è giuridico, finanziario e politico. I diritti acquisiti non possono essere cancellati con un tratto di penna, ma nemmeno si può evitare la domanda su quanto costerebbe mantenere una struttura sovradimensionata rispetto alle funzioni residue. Se l’ACN dovesse restare un ente di carte bollate, paradossalmente il personale potrebbe risultare contemporaneamente eccessivo rispetto alle attività operative e insufficiente rispetto alla mole burocratica generata da NIS2, controlli, ispezioni, notifiche e sanzioni.
Il concorso annullato e il nodo della trasparenza
Il futuro del personale non può essere separato dalle modalità con cui l’Agenzia ha reclutato le proprie risorse. Matrice Digitale ha già documentato le tensioni sui concorsi, le procedure contestate, l’annullamento e il rifacimento di una selezione, oltre alle perplessità sulla trasparenza e sulla costruzione delle carriere interne. Le numerose opportunità lavorative, arrivate in alcuni casi a mettere sul tavolo anche un centinaio di posizioni, hanno attirato tecnici, funzionari pubblici e professionisti della sicurezza informatica. Non tutti, però, hanno percepito le condizioni concorsuali come pienamente favorevoli a una competizione trasparente e lineare. Il fatto che una procedura sia stata annullata e ripetuta dimostra che le criticità non possono essere liquidate come semplice malumore degli esclusi. La questione assume un peso ancora maggiore nel momento in cui si discute di trasferire funzioni verso la Difesa. Se una parte del personale dovesse essere riallocata, bisognerebbe stabilire attraverso quali criteri, con quali garanzie, mantenendo quale trattamento e sottoponendo gli operatori a quale regime di sicurezza. Un tecnico assunto per lavorare in un’agenzia civile non può essere automaticamente trasformato in componente di una struttura operativa militare senza considerare il diverso ordinamento, le responsabilità, i vincoli e il livello di segretezza. La riserva cyber immaginata dalla Difesa potrebbe assorbire professionalità provenienti dall’esterno e da altre amministrazioni. Ma una riserva non è la stessa cosa di una struttura permanente. Deve essere chiarito chi possa essere richiamato, per quali attività, con quale status giuridico e con quali responsabilità nel caso in cui un’operazione produca conseguenze su sistemi civili.
CSIRT Italia, CVCN e il cuore operativo dell’Agenzia
Lo svuotamento dell’ACN dipenderebbe soprattutto dal destino di due strutture: CSIRT Italia e il Centro di valutazione e certificazione nazionale. CSIRT Italia rappresenta il punto nazionale di ricezione, analisi e coordinamento degli incidenti. Nell’architettura NIS2, i soggetti interessati devono trasmettere una prima segnalazione entro ventiquattro ore e una notifica più articolata entro settantadue ore. Quei dati possono includere indicatori tecnici, vulnerabilità, informazioni sulle infrastrutture, impatti operativi e ipotesi sull’origine dell’attacco. Se il coordinamento delle crisi più gravi passasse al DIS o alla Difesa, bisognerebbe stabilire quando CSIRT Italia debba cedere il fascicolo operativo, quali informazioni possano essere condivise, come venga preservata la catena di custodia e chi mantenga il rapporto con l’azienda colpita. Un incidente non può essere gestito contemporaneamente da tre autorità senza una gerarchia precisa. Il CVCN svolge invece un ruolo determinante nella valutazione dei prodotti e dei servizi destinati alle infrastrutture strategiche. Anche in questo caso, il rapporto con la Difesa è inevitabile. Hardware, software, apparati di rete, sistemi cloud, piattaforme di comunicazione e soluzioni satellitari possono essere impiegati sia in contesti civili sia in ambiti militari. La strategia digitale della Difesa punta verso cloud europei disconnessi, capacità di calcolo ad alte prestazioni, reti private, comunicazioni satellitari, intelligenza artificiale e sistemi multidominio. È difficile immaginare che una struttura militare con queste ambizioni accetti di dipendere integralmente dalle valutazioni di un’autorità civile esterna. Ma è altrettanto rischioso frammentare la certificazione nazionale tra più centri, creando standard differenti per il settore civile e quello militare. Il problema del Perimetro di sicurezza nazionale collocato su tecnologie e infrastrutture statunitensi dimostra inoltre che la sovranità non dipende soltanto da chi firma il certificato. Dipende dalla proprietà delle piattaforme, dalla localizzazione dei dati, dal controllo del codice, dalla disponibilità delle chiavi e dalla capacità italiana di sostituire un fornitore straniero.
Il confronto con CERT-AGID
La discussione sull’efficienza dell’ACN diventa ancora più sensibile quando viene confrontata con l’attività di CERT-AGID. Il presidio dell’Agenzia per l’Italia digitale era nato prima di CSIRT Italia e continua a svolgere attività di analisi, divulgazione, supporto alle amministrazioni e produzione di indicatori sulle campagne malevole. Agli occhi di molti operatori e di chi, come Matrice Digitale, lavora quotidianamente sulle informazioni relative a vulnerabilità, malware, phishing e incidenti, CERT-AGID appare spesso più vicino alle esigenze concrete degli utenti italiani. Pubblica analisi, relazioni tecniche, avvisi e dati sulle minacce osservate contro le amministrazioni, mentre una parte consistente della comunicazione nazionale continua a dipendere dai flussi provenienti dalla statunitense CISA e da altri organismi stranieri.
Questo non significa che CSIRT Italia non svolga attività riservate o che il suo lavoro possa essere misurato soltanto attraverso le pubblicazioni visibili. Significa però che l’ACN non ha sempre dimostrato all’esterno una capacità informativa proporzionata al numero di specialisti assunti, alle risorse disponibili e alla centralità istituzionale rivendicata.
La dipendenza dallo schema globale di diffusione costruito intorno alla CISA pone un problema di autonomia. Gli Stati Uniti decidono quali vulnerabilità inserire nei propri cataloghi, quali campagne rendere pubbliche e quali indicatori condividere. L’Italia riceve informazioni preziose, ma rischia di osservare le minacce nazionali attraverso la lente strategica di Washington. CERT-AGID, pur con risorse e poteri molto inferiori, ha mantenuto un’attenzione più diretta verso il contesto italiano. Se l’ACN perde le funzioni operative senza aver costruito una capacità autonoma e riconoscibile di intelligence tecnica civile, il Paese rischia di ritrovarsi con un’autorità normativa costosa, una Difesa operativa ma inevitabilmente riservata e un presidio AGID costretto a continuare a colmare il vuoto informativo pubblico.
Roberto Baldoni e l’architettura originaria dell’ACN
Qualunque analisi sul futuro dell’Agenzia deve tornare a Roberto Baldoni. L’ACN resta in larga parte il progetto istituzionale studiato, scritto e costruito durante la sua stagione. Organizzazione, reclutamento, trattamento economico, rapporti internazionali e impostazione strategica portano ancora il segno della prima direzione. Baldoni ha ottenuto un riconoscimento economico e professionale di livello eccezionale. Secondo la ricostruzione più critica sviluppata da Matrice Digitale, stipendio e benefit sarebbero arrivati a superare il trattamento di numerosi dirigenti della pubblica amministrazione, spingendo il confronto polemico fino alla retribuzione del Presidente della Repubblica.
È un confronto che richiede dati omogenei e piena trasparenza, ma fotografa la distanza percepita tra il trattamento dei vertici cyber e quello ordinariamente riconosciuto nel settore pubblico. Dopo l’esperienza italiana, Baldoni si è spostato a Washington, mantenendo una posizione dentro il circuito internazionale della cybersicurezza e delle relazioni transatlantiche. La sua cultura istituzionale, descrivibile in termini politici come democristiana e capace di dialogare con interlocutori diversi, potrebbe renderlo compatibile anche con una futura espansione della sfera di Crosetto.
Qualora la Difesa assumesse un ruolo dominante nella cybersicurezza operativa, non sarebbe difficile immaginare una convergenza con chi ha progettato l’architettura nazionale e conserva rapporti profondi con il mondo statunitense, militare e dell’intelligence. Non perché esista necessariamente un accordo personale, ma perché entrambi i percorsi appartengono alla stessa visione atlantica della sicurezza tecnologica.
Matrice Digitale aveva già evidenziato il rischio delle porte girevoli, della dipendenza dai grandi fornitori e della continuità tra istituzioni italiane e mercato statunitense. Il dossier non riguarda soltanto i singoli protagonisti. Riguarda la capacità dell’Italia di costruire una strategia nazionale che non coincida automaticamente con gli interessi dei partner tecnologici e militari più forti.
Carabinieri, Difesa e rappresentanza negli apparati cyber
Nel nuovo equilibrio deve essere considerato anche il ruolo dell’Arma dei Carabinieri. Crosetto è il ministro di riferimento sul piano ordinamentale e militare, mentre per le attività di ordine e sicurezza pubblica l’Arma dipende funzionalmente dal ministero dell’Interno. Questa doppia natura rende i Carabinieri un soggetto particolarmente rilevante nel punto di incontro tra difesa, intelligence, criminalità informatica e sicurezza delle infrastrutture. Nella costruzione dell’ACN, però, l’Arma non avrebbe ottenuto una rappresentanza proporzionata al peso posseduto in altri settori dello Stato. Polizia Postale, Guardia di Finanza, strutture della Presidenza del Consiglio, apparati informativi e competenze provenienti dal mondo accademico hanno occupato spazi evidenti, mentre la componente riconducibile ai Carabinieri è apparsa meno centrale. Un trasferimento di capacità verso la Difesa potrebbe modificare questo equilibrio. L’Arma dispone di competenze investigative, presenza territoriale, rapporti internazionali e strutture specialistiche che potrebbero essere integrate nella risposta agli attacchi contro infrastrutture critiche, sistemi industriali e filiere strategiche.
Anche qui, però, serve una distinzione. L’indagine su un reato informatico non coincide con un’operazione militare nel cyberspazio. L’attribuzione tecnica non coincide con l’attribuzione politica. La raccolta di prove destinate a un processo non coincide con l’acquisizione classificata di informazioni per la sicurezza nazionale.
Mescolare questi livelli può aumentare la velocità operativa, ma può anche rendere più difficile stabilire chi risponda delle decisioni e in quale sede possano essere contestate.
Dalla compliance NIS2 alla guerra ibrida
Il rischio più evidente è la nascita di due cybersicurezze italiane. La prima sarebbe pubblica, amministrativa e regolatoria, affidata all’ACN. La seconda sarebbe operativa, classificata e militare, affidata alla Difesa e agli apparati di intelligence. Nella prima, imprese e amministrazioni compilerebbero notifiche, nominerebbero responsabili, aggiornerebbero sistemi, effettuerebbero analisi del rischio e risponderebbero alle ispezioni. Nella seconda, lo Stato valuterebbe attribuzioni, minacce ostili, operazioni di contrasto, attività di controintelligence e possibili risposte nel dominio cyber. Il punto di contatto sarebbe rappresentato dagli incidenti più gravi. Proprio lì potrebbero nascere conflitti sulla circolazione delle informazioni. Un’azienda quotata deve informare il mercato di un evento rilevante. Un apparato di intelligence può avere interesse a mantenere segreta la compromissione per osservare l’attaccante. Un comando militare può voler utilizzare l’accesso avversario per condurre un’operazione di contrasto. L’assicurazione può chiedere di conoscere l’origine dell’attacco per stabilire se applicare un’esclusione legata alla guerra. Sono interessi differenti, spesso incompatibili. Se la riforma non stabilirà regole pubbliche e verificabili, il soggetto privato colpito rischierà di trovarsi intrappolato tra obblighi normativi e richieste riservate. La stessa definizione di guerra ibrida rischia di diventare eccessivamente elastica. Disinformazione, attacchi informatici, sabotaggi, interferenze economiche, pressione migratoria, campagne psicologiche e manipolazione sociale possono essere ricondotti a una strategia ostile. Ma più si amplia il concetto di minaccia ibrida, più aumenta lo spazio di intervento degli apparati militari nella vita civile.
L’Enciclopedia della guerra cibernetica di Matrice Digitale ha mostrato come il cyberspazio sia caratterizzato proprio dall’ambiguità tra pace e conflitto, attori statali e gruppi criminali, operazioni offensive e attività di spionaggio. Consegnare questa zona grigia a una sola catena di comando non elimina l’ambiguità. La rende meno visibile.
La strategia digitale della Difesa
Il rafforzamento cyber non può essere separato dalla trasformazione digitale complessiva della Difesa. Cloud disconnessi, capacità HPC, reti private, comunicazioni satellitari, intelligenza artificiale, sistemi autonomi e interoperabilità multidominio costituiscono ormai l’infrastruttura di una forza armata moderna. La richiesta di evitare il lock-in nei servizi satellitari e nelle piattaforme cloud dimostra che il ministero ha compreso la natura industriale della sovranità tecnologica. Una Difesa dipendente da un solo fornitore straniero non è pienamente autonoma, anche quando quel fornitore appartiene a un Paese alleato. Il problema è che la stessa consapevolezza non sempre emerge nelle scelte compiute per il settore civile. L’Italia continua a utilizzare tecnologie statunitensi per funzioni critiche, piattaforme cloud, sicurezza perimetrale, comunicazioni e analisi delle minacce. La sovranità viene rivendicata nei documenti, ma spesso appaltata nella pratica. Un comando cyber militare avrebbe bisogno di infrastrutture proprie, personale stabile, capacità di sviluppo software e accesso a tecnologie avanzate. Non potrebbe limitarsi ad acquistare prodotti commerciali e servizi gestiti. Dovrebbe saper verificare il codice, analizzare firmware, progettare strumenti, condurre operazioni in ambienti ostili e mantenere capacità indipendenti dalle aziende fornitrici. Sono investimenti enormi. E spiegano perché l’aumento della spesa militare non riguardi soltanto carri armati, aerei o munizioni. Una quota crescente sarà destinata a dati, cloud, satelliti, software, intelligenza artificiale, comunicazioni e cybersicurezza.
Crosetto, Washington e la continuità atlantica
La riforma cyber si inserisce in un momento nel quale Crosetto rivendica l’inevitabilità dell’aumento delle spese militari e la solidità del rapporto tra Italia e Stati Uniti. Persino di fronte alle dichiarazioni di Donald Trump contro Giorgia Meloni, il ministro ha separato la polemica politica contingente dalla profondità strutturale del legame tra Roma e Washington. È un passaggio essenziale per comprendere il significato geopolitico della riforma. La relazione tra gli apparati italiani e quelli statunitensi non dipende dal tono adottato da un presidente, né dalla simpatia personale tra i leader. È costruita su interoperabilità militare, intelligence, basi, programmi industriali, addestramento, acquisti, comunicazioni e partecipazione alla NATO. Secondo quanto risulta alla redazione, Crosetto prepara nuovi contatti negli Stati Uniti anche sul terreno della cooperazione militare e degli approvvigionamenti. Il ministro è considerato un interlocutore affidabile dai circuiti industriali e atlantici anche per la sua esperienza precedente alla guida di AIAD, la federazione delle aziende italiane dell’aerospazio, della difesa e della sicurezza.
Questo non significa che ogni decisione sia presa nell’interesse di Washington. Significa però che la filiera nella quale vengono definite le priorità italiane è profondamente integrata con l’ecosistema statunitense della Difesa. Tecnologie, standard, programmi NATO, fornitori cloud, sistemi satellitari e piattaforme di intelligence appartengono spesso allo stesso circuito.
Il ministero della Difesa compare inoltre nei tavoli dedicati all’intelligenza artificiale, alla trasformazione digitale e alle tecnologie strategiche. Attorno a Crosetto operano consiglieri e figure che non possono essere ricondotti soltanto alla fedeltà meloniana o alla destra di partito. Sono uomini dello Stato, funzionari, militari, tecnici e intermediari che mantengono una continuità con le strutture atlantiche indipendentemente dal governo in carica. È qui che la riforma cyber incontra la questione della sovranità. Non basta stabilire che il comando sia italiano. Bisogna capire su quali tecnologie operi, da quali flussi informativi dipenda, chi controlli gli aggiornamenti, dove siano conservati i dati e quali alleati possano accedere alle capacità costruite.
Le stesse cordate con o senza Donald Trump
Il rischio non è soltanto che la cybersicurezza passi dai civili ai militari. Il rischio è che lo spostamento avvenga senza modificare la dipendenza tecnologica e strategica che ha caratterizzato finora il sistema italiano. Un’ACN debole e prevalentemente normativa potrebbe continuare a imporre standard costruiti sulla base di modelli stranieri. Il DIS potrebbe coordinare informazioni provenienti in larga parte dalle alleanze occidentali. La Difesa potrebbe ottenere nuove capacità operative acquistando tecnologie e servizi dai grandi fornitori statunitensi. Il risultato sarebbe una struttura formalmente nazionale ma sostanzialmente inserita in una catena esterna. La battaglia tra Mantovano e Crosetto rischia così di nascondere una continuità più profonda. Cambiano il vertice, il ministero competente e la distribuzione degli incarichi, ma restano gli stessi circuiti di relazione, le stesse industrie, gli stessi consulenti e la stessa dipendenza informativa.
Matrice Digitale aveva raccontato le faide e i malumori interni all’ACN emersi tra gli attacchi di NoName057(16) e il caso Paragon. Aveva poi descritto l’uscita di Frattasi come il sintomo di un problema irrisolto di sovranità cibernetica e analizzato come Quacivi avesse ereditato una guerra interna già aperta.
La riforma della Difesa può chiudere quel ciclo oppure renderlo permanente. Può chiarire finalmente chi protegge il Paese, con quali strumenti e sotto quale controllo democratico. Oppure può distribuire le competenze tra enti differenti, lasciando che ciascuno mantenga una parte del potere e che nessuno risponda pienamente dei risultati.
Un’ACN di carte bollate e una Difesa senza contrappesi
Trasformare l’ACN in un’autorità normativa non sarebbe necessariamente un errore. Molti sistemi europei distinguono tra regolazione, gestione degli incidenti, intelligence e difesa militare. L’errore sarebbe compiere questa trasformazione senza ridisegnare in modo trasparente l’intera architettura. Bisogna sapere quali funzioni resteranno a CSIRT Italia, quali passeranno al DIS, quali saranno attribuite alla Difesa e quali continueranno a spettare alle forze di polizia. Bisogna definire la catena di comando in caso di incidente, i poteri di accesso alle reti private, le condizioni per classificare le informazioni e gli obblighi di comunicazione verso aziende, Parlamento e cittadini. Bisogna inoltre chiarire il destino del personale, i costi, i trattamenti economici, le procedure di trasferimento e la compatibilità tra lo status civile degli operatori e le attività militari. Non è possibile costruire una riserva cyber limitandosi a raccogliere nomi di specialisti. Servono regole sull’impiego, responsabilità chiare e garanzie contro l’utilizzo politico o improprio delle capacità offensive. La Difesa deve poter proteggere i propri sistemi e operare nel dominio cyber. Ma la protezione di ospedali, banche, università, comuni, aziende energetiche e infrastrutture di telecomunicazione non può essere assorbita automaticamente in una logica militare. Una democrazia deve conservare spazi nei quali gli incidenti vengano analizzati, discussi e resi pubblici senza che il segreto di Stato diventi la risposta ordinaria a ogni vulnerabilità. La cybersicurezza nazionale non coincide con la guerra cibernetica. La prima comprende prevenzione, manutenzione, formazione, standard, trasparenza, gestione del rischio, cooperazione con il mercato e protezione dei cittadini. La seconda riguarda conflitto, deterrenza, intelligence e capacità offensive. Confondere i due piani può produrre una macchina potente, ma non necessariamente un Paese più sicuro.
La vera posta in gioco è la sovranità
Il futuro dell’ACN non si misura soltanto dal numero di funzioni che conserverà. Si misura dalla capacità dell’Italia di decidere autonomamente come proteggere le proprie reti, quali tecnologie utilizzare, quali informazioni condividere e quali interessi difendere. Se l’Agenzia verrà svuotata, il governo dovrà spiegare perché il progetto costruito dal 2021 abbia richiesto assunzioni, benefit, concorsi, infrastrutture e investimenti destinati ora a essere redistribuiti. Se invece resterà al centro del sistema, dovrà dimostrare di possedere capacità operative proporzionate alle risorse ricevute e di non essere soltanto un moltiplicatore di obblighi burocratici. Crosetto può ottenere il controllo della dimensione militare della cybersicurezza. Mantovano può conservare il coordinamento del DIS e la supervisione politica della sicurezza nazionale. Quacivi può tentare di ricostruire l’equilibrio interno dell’Agenzia. Baldoni può continuare a rappresentare la continuità internazionale del progetto originario. Ma nessuna distribuzione di incarichi risolve da sola il problema centrale.
Chi difenderà realmente il sistema digitale italiano, con quali tecnologie e nell’interesse di chi?
La risposta non può essere affidata soltanto alle stesse cordate che attraversano ministeri, servizi, aziende della Difesa, grandi fornitori tecnologici e organismi internazionali. Perché il rischio, ormai sempre più concreto e sempre meno calcolato, è che l’interesse nazionale venga definito ancora una volta da chi porta avanti il progetto strategico di Washington, con o senza Donald Trump.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
