“Gravi carenze nell’attuazione degli obiettivi” #finsubito prestito immediato

Nel suo rapporto annuale relativo all’esercizio finanziario 2023, pubblicato ufficialmente il 10 ottobre, la Corte dei conti europea ha evidenziato preoccupanti carenze nell’implementazione delle misure di cybersicurezza in Italia. Nonostante il Piano nazionale di ripresa e resilienza (Pnrr) abbia stanziato 67,25 milioni di euro per il settore, i progressi effettivi risultano limitati. La relazione sottolinea un approccio troppo teorico e poco orientato alla pratica, rendendo l’Italia vulnerabile di fronte a minacce crescenti.

Il finanziamento del Pnrr per la cybersicurezza: una risorsa non sfruttata

Il Pnrr destina risorse significative alla transizione digitale, con particolare attenzione alla cybersicurezza, un ambito strategico che dovrebbe rafforzare le difese informatiche del paese. Tuttavia, il rapporto della Corte dei conti europea evidenzia come, nonostante i 67,25 milioni di euro previsti, l’Italia abbia presentato solo sette relazioni tecniche, principalmente focalizzate su analisi della posizione di cibersicurezza e sui rischi. Questo è stato giudicato insufficiente poiché, secondo la direttiva Nis 2, tali valutazioni rappresentano solo uno dei dieci elementi necessari per una gestione efficace della sicurezza informatica.

Gli elementi chiave della direttiva Nis 2 e le lacune italiane

La direttiva Nis 2 (Network and information security 2), in vigore dal gennaio 2023, ha aggiornato il quadro normativo europeo per la gestione della sicurezza informatica, richiedendo agli Stati membri di adottare una serie di misure concrete. Tra gli elementi chiave della direttiva, oltre all’analisi dei rischi e dell’impatto, sono inclusi:

• implementazione di politiche e procedure di sicurezza adeguate;
• gestione degli incidenti di sicurezza con team di risposta rapida;
• continuità operativa e piani di contenimento dei danni;
• sicurezza della supply chain;
• procedure di test regolari;
• valutazioni dell’efficacia delle misure adottate;
• formazione continua del personale;
• conformità alle normative europee e nazionali.

La Corte dei conti europea ha sottolineato come l’Italia si sia concentrata prevalentemente sulle analisi, trascurando l’implementazione pratica delle misure richieste. Dei sette report presentati, sei non hanno prodotto alcun miglioramento nelle capacità di monitoraggio e controllo del paese, restando semplicemente documenti di analisi.

I progetti in corso: ambizioni elevate, risultati modesti

Il Ministero dell’Interno ha annunciato una serie di progetti legati alla cybersicurezza, che includono la creazione di 28 “Cyber Lab” per l’analisi forense (29 milioni di euro), un Centro di Valutazione presso il Cert del Viminale (9,25 milioni di euro) e un Security Operation Center (altri 29 milioni di euro). Inoltre, l’Agenzia per la cybersicurezza nazionale è impegnata nello sviluppo delle capacità di resilienza del paese e nel potenziamento della sicurezza informatica della pubblica amministrazione. Questi progetti, se completati correttamente, potrebbero rispondere a diversi requisiti della direttiva Nis 2. Ad esempio, i “Cyber Lab” potrebbero potenziare le capacità di analisi degli incidenti informatici, mentre il Security Operation Center rafforzerebbe il monitoraggio e la gestione delle minacce in tempo reale. Tuttavia, secondo la Corte dei conti europea, l’Italia non ha ancora fatto progressi concreti nella realizzazione di queste infrastrutture critiche.

Il ritardo dell’Italia rispetto agli altri paesi europei

In termini di capacità di cybersicurezza, l’Italia è in ritardo rispetto ad altri paesi europei. Secondo i dati dell’International Telecommunication Union (Itu), l’Italia occupa il 18esimo posto in Europa, preceduta da paesi come Estonia, Spagna e Polonia. Questo posizionamento mette in luce una preoccupante vulnerabilità del sistema nazionale, che rischia di avere un impatto negativo non solo sulla competitività economica e sugli investimenti esteri, ma anche sulla protezione delle infrastrutture critiche e dei dati sensibili. Il ritardo italiano si riflette anche nei dati sugli attacchi informatici. Il rapporto Clusit 2023 ha registrato un aumento del 169% degli attacchi cyber alle aziende e amministrazioni pubbliche italiane, con danni stimati per oltre 2,5 miliardi di euro. Questi dati dimostrano come il paese sia esposto a crescenti minacce, a fronte di una preparazione insufficiente.

Irregolarità nella gestione dei fondi europei

Le carenze italiane nell’ambito della cybersicurezza si inseriscono in un quadro più ampio di irregolarità nella gestione dei fondi europei. La Corte dei conti europea ha riscontrato che circa un terzo dei pagamenti a fondo perduto effettuati nel 2023 nell’ambito del dispositivo per la ripresa e la resilienza (Rrf) non rispettava le norme applicabili. Questo si traduce in un tasso di errore del 5,6%, ben oltre il limite del 2% considerato accettabile e superiore al 4,2% registrato nel 2022. Il rapporto sottolinea come queste irregolarità, se non corrette, potrebbero compromettere l’efficacia dell’attuazione del Pnrr e delle altre politiche europee di sostegno economico.