Di Emanuele Pascuzzi
La cybersecurity emerge come tema pubblico quasi sempre in ritardo.
Non quando i sistemi funzionano, ma quando un servizio non risponde, un referto non arriva, una prenotazione scompare.
Non quando i sistemi funzionano, ma quando un servizio non risponde, un referto non arriva, una prenotazione scompare.
Ed è allora che diventa chiaro che non si tratta di tecnica, ma di responsabilità istituzionale.
Finché tutto funziona, il digitale resta invisibile. Lo diamo per scontato.
Ma dentro quello spazio passano pezzi fondamentali delle nostre vite: la sanità, l’istruzione, il lavoro, l’energia, i trasporti. Non sono servizi “online”. Sono servizi pubblici a tutti gli effetti. E quando si fermano, il problema non è mai solo tecnico. È sociale, istituzionale, politico.
Proteggere le infrastrutture digitali non significa difendere server o database. Significa difendere persone reali: pazienti, studenti, lavoratori, famiglie. In una società profondamente interconnessa, la sicurezza informatica è diventata una condizione del vivere civile. Continuare a trattarla come una funzione accessoria è una rimozione collettiva.
La trasformazione digitale ha migliorato l’accesso ai servizi, ma ne ha aumentato l’esposizione. La sanità pubblica lo dimostra in modo evidente. Nel Lazio, milioni di cittadini dipendono ogni giorno da sistemi digitali per prenotazioni, referti, cartelle cliniche, emergenze. Quando funzionano, nessuno se ne accorge. Quando si fermano, il danno è immediato e colpisce soprattutto chi non ha alternative.
Un attacco informatico a una ASL non è un incidente tecnologico. È una rottura della continuità delle cure. È un problema di fiducia tra cittadini e istituzioni. È l’esposizione di dati che raccontano la parte più fragile delle nostre vite. Ridurlo a un guasto tecnico significa non voler vedere le conseguenze reali.
La stessa dinamica si è vista recentemente all’Università La Sapienza di Roma. Anche lì, un attacco informatico non ha colpito solo dei sistemi, ma ha interrotto attività di studio, ricerca, lavoro. Ha mostrato quanto anche il mondo accademico – uno dei pilastri del servizio pubblico – sia vulnerabile. Quando università e sanità si fermano, non si ferma “il digitale”: si ferma un pezzo di Paese.
C’è una verità che va detta senza giri di parole: la tecnica non è neutra.
Ogni scelta tecnologica è una scelta politica, anche quando viene presentata come inevitabile o puramente tecnica. Ogni sistema non protetto sposta il rischio su qualcun altro. Quasi sempre sui più fragili.
Per questo la cybersecurity non può essere affrontata solo quando l’emergenza esplode.
L’impreparazione non è una fatalità. È una responsabilità non assunta. Vegliare non significa vivere nell’allarme permanente, ma riconoscere che l’imprevisto fa parte del nostro tempo e che governarlo è un dovere delle istituzioni.
Serve anche il coraggio di guardare all’organizzazione della pubblica amministrazione.
Nel Lazio – come in molte altre regioni – i sistemi sono digitalizzati ma frammentati: piattaforme diverse, fornitori esterni, responsabilità distribuite. Senza una regia chiara, l’innovazione corre più veloce della capacità di proteggerla. E quando questo accade, a pagare non sono mai i sistemi, ma le persone.
A questo punto, però, non basta più richiamare l’attenzione o invocare buone pratiche. Serve una scelta politica esplicita. Istituire un Assessorato regionale alla Cyber Security e un Ministero ad hoc a livello nazionale sarebbe un segnale culturale forte. Vorrebbe dire riconoscere che la sicurezza digitale è una responsabilità pubblica primaria, al pari della sanità, dei trasporti, dell’energia.
Dare alla cybersecurity una collocazione istituzionale autonoma significa assumersi una responsabilità davanti ai cittadini. Significa dire che la protezione dei dati, la continuità dei servizi pubblici e la difesa delle infrastrutture digitali non sono questioni per addetti ai lavori, ma parte del patto di fiducia tra Stato e società.
Se la sicurezza digitale è un bene comune, allora deve essere pensata anche in una dimensione europea. Il cyberspazio è uno dei luoghi in cui oggi si misura la sovranità. Le reti attraversano i confini, rendono interdipendenti territori e sistemi. Una vulnerabilità locale – in una ASL, in un’università, in un ente territoriale – può avere effetti ben oltre il livello amministrativo in cui nasce.
Ma una difesa europea credibile non si costruisce solo dall’alto. Parte dai territori. Dai comuni, dalle aziende sanitarie, dalle scuole, dalle università. È lì che i cittadini incontrano ogni giorno lo Stato digitale. Ed è lì che spesso emergono le fragilità più profonde.
La direttiva NIS2 va letta in questo senso: non come un adempimento formale, ma come una richiesta di maturità istituzionale. Chiede di smettere di rincorrere le emergenze e di integrare la sicurezza digitale nella governance quotidiana.
Continuare a considerare la cybersecurity una questione tecnica è un errore culturale prima ancora che organizzativo. Un attacco informatico interrompe servizi, espone dati sensibili, mina la fiducia collettiva. In sanità, in università, nei servizi pubblici, tutto questo ha volti precisi.
Investire in cybersecurity non è una scelta tecnologica. È una scelta politica ed etica. Significa decidere chi vogliamo proteggere e quanto siamo disposti a prenderci cura di ciò che tiene insieme la comunità. Vegliare oggi non è uno slogan.
È una responsabilità istituzionale verso il domani.
È una responsabilità istituzionale verso il domani.
