La transizione digitale della pubblica amministrazione italiana e la cybersecurity negli enti locali sono quei temi-monstre di cui si potrebbe parlare allโinfinito, per la quantitร e la densitร dei nodi da sciogliere (dal cloud al design, passando per lโintelligenza artificiale). Allโinterno di Musa, il programma triennale di ricerca e innovazione sostenuto dal Piano nazionale di ripresa e resilienza (Pnrr), una linea di lavoro (lo Spoke 4) lo ha affrontato interpellando direttamente chi nella pubblica amministrazione ci lavora. Il risultato รจ una dettagliata indagine sulla cybersecurity negli enti locali lombardi, conclusa nel 2024. Leggendo il report si scopre che sรฌ, รจ una questione tecnica. Ma cโรจ anche molto altro.
Come si รจ svolta lโindagine sulla cybersecurity negli enti locali
Non stiamo parlando di un generico sondaggio di opinione, ma di una ricerca accademica strutturata. A coordinarla รจ stato Danilo Bruschi, direttore del dipartimento di Informatica dellโUniversitร degli Studi di Milano, allโinterno del Milan Economic Impact Evaluation Center (Meiec) โ creato anchโesso con i fondi del Pnrr โ e in collaborazione con la societร di servizi AnciLab.
Il lavoro ha preso il via con una serie di focus group preliminari che hanno coinvolto figure manageriali, amministrative e tecniche di una ventina di Comuni lombardi, per intercettare nel vasto mondo della cybersecurity gli aspetti a cui gli enti locali tengono di piรน. A partire dalle evidenze raccolte, รจ stato possibile strutturare un questionario che รจ stato sottoposto a tutti i Comuni della Lombardia: 206 quelli che hanno risposto. La terza fase, decisiva, รจ stata la validazione sul campo. Con il consenso degli enti, i ricercatori hanno condotto un vulnerability assessment sui siti dei Comuni e hanno simulato una campagna phishing.
Con un approccio simile, che mette insieme ascolto, dati e verifica sul campo, i ricercatori hanno potuto andare oltre le dichiarazioni di principio. Mostrando come la cybersecurity negli enti locali non dipenda solo dalle infrastrutture โ che in molti casi sono giร solide โ ma soprattutto da come le persone lavorano, riconoscono i rischi e reagiscono alle minacce piรน comuni.
Per la cybersecurity nei Comuni servono tre cose: โformazione, formazione e formazioneโ
Alla fine dellโindagine, la risposta รจ tanto chiara quanto impegnativa. โA fronte di questa situazione, quali sono le misure piรน urgenti che ci sentiamo di suggerire ai decision-maker? Verrebbe da dire sono tre: formazione, formazione e formazioneโ, si legge nelle conclusioni del report. โAnche durante i focus group, i rappresentanti degli enti locali manifestavano la volontร di saperne di piรน sulla cybersecurity, di essere coinvolti, di avere gli strumentiโ, conferma a Wired Italia il professor Danilo Bruschi. โAnche agli eventi che abbiamo organizzato, la partecipazione รจ stata significativa. Ma erano occasioni di sensibilizzazione: la situazione richiederebbe interventi di formazione piรน solidiโ.
