La transizione digitale della pubblica amministrazione italiana e la cybersecurity negli enti locali sono quei temi-monstre di cui si potrebbe parlare all’infinito, per la quantità e la densità dei nodi da sciogliere (dal cloud al design, passando per l’intelligenza artificiale). All’interno di Musa, il programma triennale di ricerca e innovazione sostenuto dal Piano nazionale di ripresa e resilienza (Pnrr), una linea di lavoro (lo Spoke 4) lo ha affrontato interpellando direttamente chi nella pubblica amministrazione ci lavora. Il risultato è una dettagliata indagine sulla cybersecurity negli enti locali lombardi, conclusa nel 2024. Leggendo il report si scopre che sì, è una questione tecnica. Ma c’è anche molto altro.

Come si è svolta l’indagine sulla cybersecurity negli enti locali

Non stiamo parlando di un generico sondaggio di opinione, ma di una ricerca accademica strutturata. A coordinarla è stato Danilo Bruschi, direttore del dipartimento di Informatica dell’Università degli Studi di Milano, all’interno del Milan Economic Impact Evaluation Center (Meiec) – creato anch’esso con i fondi del Pnrr – e in collaborazione con la società di servizi AnciLab.

Il lavoro ha preso il via con una serie di focus group preliminari che hanno coinvolto figure manageriali, amministrative e tecniche di una ventina di Comuni lombardi, per intercettare nel vasto mondo della cybersecurity gli aspetti a cui gli enti locali tengono di più. A partire dalle evidenze raccolte, è stato possibile strutturare un questionario che è stato sottoposto a tutti i Comuni della Lombardia: 206 quelli che hanno risposto. La terza fase, decisiva, è stata la validazione sul campo. Con il consenso degli enti, i ricercatori hanno condotto un vulnerability assessment sui siti dei Comuni e hanno simulato una campagna phishing.

Con un approccio simile, che mette insieme ascolto, dati e verifica sul campo, i ricercatori hanno potuto andare oltre le dichiarazioni di principio. Mostrando come la cybersecurity negli enti locali non dipenda solo dalle infrastrutture – che in molti casi sono già solide – ma soprattutto da come le persone lavorano, riconoscono i rischi e reagiscono alle minacce più comuni.

Per la cybersecurity nei Comuni servono tre cose: “formazione, formazione e formazione”

Alla fine dell’indagine, la risposta è tanto chiara quanto impegnativa. “A fronte di questa situazione, quali sono le misure più urgenti che ci sentiamo di suggerire ai decision-maker? Verrebbe da dire sono tre: formazione, formazione e formazione, si legge nelle conclusioni del report. “Anche durante i focus group, i rappresentanti degli enti locali manifestavano la volontà di saperne di più sulla cybersecurity, di essere coinvolti, di avere gli strumenti”, conferma a Wired Italia il professor Danilo Bruschi. “Anche agli eventi che abbiamo organizzato, la partecipazione è stata significativa. Ma erano occasioni di sensibilizzazione: la situazione richiederebbe interventi di formazione più solidi”.

Fonte