Piccoli Comuni, Grandi Rischi: la sfida della cybersicurezza per gli enti locali

Piccoli Comuni, Grandi Rischi: la sfida della cybersicurezza per gli enti locali

16 giugno 2025

di Viviana BELLEZZA

Sistemi pubblici sotto attacco: come affrontare e prevenire i rischi informatici nella PA decentrata

Mai come nell’ultimo periodo, la cybersecurity e la protezione dei dati personali hanno progressivamente cessato di essere tematiche circoscritte ai reparti IT, per assumere una rilevanza di interesse generale. Un settore dove, oggi più che mai, anche gli enti di piccole e medie dimensioni sono chiamati a una presa di coscienza.

In questo contesto la trasformazione digitale dei processi amministrativi (SPID, PagoPA, NOIPA, IT Wallet, ecc.) ha introdotto significativi vantaggi in termini di efficienza e trasparenza. Ma, come spesso accade, a questi benefici si accompagnano nuovi rischi.

Attacchi ransomware, phishing mirato ai dipendenti pubblici, intrusioni nelle reti degli enti locali, blocchi delle ASL e delle università: sono eventi che la cronaca riporta con preoccupante frequenza(1).

In questo scenario, la sicurezza informatica costituisce una sfida che deve essere gestita anche dagli enti pubblici di medie/piccole dimensioni, indipendentemente dall’inclusione o meno nel perimetro di applicazione delle nuove normative sulla cyber resilienza(2).

Contesto Normativo e Strategico

Il primo riferimento è il Codice dell’amministrazione digitale(3) che riunisce e organizza le norme riguardanti l’informatizzazione della PA nei rapporti con i cittadini e le imprese dove il 

Responsabile per la Transizione Digitale è la figura chiave nel coordinamento dei processi informatici e nella gestione della sicurezza.

Sul piano della protezione dei dati personali, il GDPR (Reg. UE 679/2016), insieme al d.lgs. 101/2018 e al Codice Privacy, impone l’adozione di misure tecniche e organizzative adeguate, l’obbligo di notifica in caso di data breach e il principio di accountability. 

La normativa sulla cybersecurity si è evoluta con una forte spinta a partire dal 2013 con una serie di provvedimenti che, nel tempo, hanno contribuito a costruire una vera e propria architettura difensiva e, poi, preventiva. L’istituzione dell’ACN, la legge sulla cybersicurezza (l. 90/2024) e il recepimento della Direttiva NIS2 rappresentano gli sviluppi più recenti(4).

Si precisa che sebbene l’ambito di applicazione (soggettivo) delle normative richiamate(5) escluda – ad oggi – alcune categorie di enti pubblici (come i Comuni con meno di 100.000 abitanti), ciò non esime gli stessi dall’avviare un percorso di miglioramento e implementazione di misure preventive(6).

Parola d’ordine: Prevenire

Ogni strategia di prevenzione richiede:

  • soluzioni concrete,
  • programmi di awareness e formazione continuativa,
  • di valutare l’uso dell’intelligenza artificiale (es. monitoraggio delle minacce e red flag),
  • audit e test di sicurezza periodici.

Per avviare un efficace sistema di gestione del rischio informatico, è utile partire dalle più recenti disposizioni normative, che delineano con chiarezza le azioni da intraprendere.

Tra gli step fondamentali rinvenibili dalla legge sulla cybersicurezza si segnalano:

  1. produzione/aggiornamento di sistemi di gestione del rischio informatico;
  2. sviluppo delle politiche/procedure di sicurezza; 
  3. produzione di un documento che definisca ruoli e organizzazione; 
  4. pianificazione e attuazione dell’adozione delle misure previste dalle linee guida di ACN; 
  5. monitoraggio e valutazione continua delle minacce e delle vulnerabilità(7);
  6. nomina di un referente per la cybersicurezza;
  7. notifica (anche facoltativa) in caso di incidente.

Non si ferma ai soggetti richiamati ma amplia il campo di applicazione l’art. 14 della legge 90/2024 sui contratti pubblici di beni e servizi informatici, dove vengono individuati, per specifiche categorie tecnologiche di beni e servizi informatici, gli elementi essenziali(8) di cybersicurezza che tutte le PA di cui all’articolo 2, comma 2, del CAD(9) tengono in considerazione nelle attività di approvvigionamento di beni e servizi informatici impiegati in un contesto connesso alla tutela degli interessi nazionali strategici nonché i casi in cui, per la tutela della sicurezza nazionale, devono essere previsti criteri di premialità per le proposte o per le offerte specifiche.

Allo stesso modo, il Decreto NIS2 delinea le azioni da intraprendere e i punti focali su cui concentrarsi. Partire da un’attività di self-risk assessment per valutare il grado di conformità della propria security posture: individuare, comprendere e gestire i rischi di cybersecurity, mediante un approccio multirischio e poi pianificare le azioni di miglioramento e/o adeguamento necessarie.

L’ACN peraltro ha declinato, più nel dettaglio, misure e obblighi di sicurezza che dovranno essere proporzionati e adeguati alle realtà interessate(10) e che potranno essere valutate da tutte le realtà pubbliche che vorranno intraprendere la strada della sicurezza(11).

Cosa fare in caso di incidente?

Quando un attacco informatico si verifica, la differenza la fa la prontezza della risposta. 

È indispensabile avere già definito una catena di comando chiara e un piano interno di gestione dell’incidente, che stabilisca chi prende decisioni, chi comunica con l’esterno e con le autorità, chi effettua la notifica e chi si interfaccia con i tecnici.

La corretta adozione della procedura di notifica degli incidenti cibernetici costituisce un elemento cruciale per garantire sicurezza e resilienza delle reti, dei sistemi informativi e dei servizi informatici.

Riferimento notificaIncidenteTempisticheSanzione
Legge 90/2024(12) Obbligatoria allo CSIRTQualunque incidente riconducibile ad una delle tipologie individuate nella tassonomia(13) di cui all’articolo 1, comma 3-bis, del D.L. n. 105/2019 / Tassonomia Cyber ACN.24/72 oreNei casi di reiterata inosservanza, nell’arco di cinque anni, è prevista una sanzione amministrativa pecuniaria da euro 25.000 a euro 125.000. La violazione può costituire causa di responsabilità disciplinare e amministrativo-contabile per i funzionari e i dirigenti responsabili.
Legge 90/2024 Volontaria allo CSIRTLe PA non ricomprese nel perimetro, PMI, privati cittadini che non operano in settori critici possono notificare in forma volontaria gli incidenti di sicurezza, nonché qualsiasi evento cyber con potenziale impatto su almeno un soggetto nazionale.   /  /
Decreto NIS2Obbligatoria CSIRTIncidente significativo(14).24/72 ore con relazione finale(15) entro un meseSanzioni amministrative da 25.000,00 a 125.000 euro ex art. 38. 
Decreto NIS2Volontaria CSIRTSoggetti diversi da quelli obbligati, indipendentemente dal fatto che ricadano o meno nell’ambito di applicazione del Decreto NIS2, possono effettuare una notifica per incidenti aventi impatto significativo sulla fornitura dei loro servizi, minacce informatiche e quasi-incidenti.  /  /
GDPR(16) Garante per la protezione dei dati personali Data breach(17)72 oreSanzioni amministrative pecuniarie fino a 10.000.000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore

La gestione di un incidente informatico non si esaurisce con la sua chiusura

Dopo l’emergenza, è necessario condurre un’analisi approfondita dell’accaduto; l’obiettivo deve essere duplice: limitare i danni e impedire che si ripetano. È quindi indispensabile effettuare un’investigazione e un’analisi (anche forense ove necessario) dell’accaduto, rivedere le vulnerabilità emerse, aggiornare le policy interne, organizzare momenti di debriefing, registrare quanto accaduto.

Programmi di Awareness e Formazione continuativa sono poi fondamentali (simulazioni di phishing e quiz interattivi): il primo rischio è proprio l’uomo.

Nessun sistema è a prova di attacco

Ma ogni ente – anche il più piccolo – può diventare più preparato, più reattivo, più resiliente. Non si tratta solo di proteggere i sistemi, ma di garantire servizi pubblici affidabilicontinuità operativa e rispetto dei diritti fondamentali.

La cybersecurity non è solo una questione di tecnologia, ma un elemento essenziale della buona amministrazione.

Intervento di Viviana BELLEZZA, Avvocato, Partner Studio Legale LP Avvocati

LP Avvocati è uno studio legale multidisciplinare di Roma. 

Il Dipartimento di Compliance offre assistenza in materia di responsabilità da reato degli enti, anticorruzione, privacy, cybersecurity, salute e sicurezza sul lavoro, tutela dell’ambiente, whistleblowing, indagini interne e diritto dello sport. Gli avvocati ricoprono anche il ruolo di docenti presso Università, pubbliche e private; ISPRA; Camera Penale e altri Enti oltre a partecipare periodicamente, quali relatori, a convegni nazionali e internazionali. 

Lo Studio si avvale di tecnologie avanzate e di strumenti di intelligenza artificiale per prestazioni di alto livello.

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) Basti pensare agli attacchi che hanno colpito numerosi comuni italiani nel mese di febbraio 2025 e hanno provocato rallentamenti e disservizi.  

(2) Del resto tra le “sfide da affrontare” nell’ambito della Strategia Nazionale di Cybersicurezza 2022-2026 (ACN) vi è in primis quella di “assicurare una transizione digitale cyber resiliente della Pubblica Amministrazione e del tessuto produttivo”; nell’ambito del Piano Triennale per l’informatica nella Pubblica Amministrazione (recentemente aggiornato) il capitolo 7 è dedicato alla sicurezza informatica. Il Piano rappresenta proprio lo strumento essenziale per promuovere la trasformazione digitale del Paese e, in particolare, quella della Pubblica Amministrazione italiana, attraverso la declinazione della strategia in materia di digitalizzazione in indicazioni operative, quali obiettivi e risultati attesi, riconducibili all’azione amministrativa delle PA.

(3) Il d.lgs. n. 82/2005 da ultimo aggiornato alla legge 29 aprile 2024, n. 56. All’art. 2 si legge: “Lo Stato, le Regioni e le autonomie locali assicurano la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione in modalità digitale e si organizzano ed agiscono a tale fine utilizzando con le modalità più appropriate e nel modo più adeguato al soddisfacimento degli interessi degli utenti le tecnologie dell’informazione e della comunicazione”.

(4) In relazione all’evoluzione della cybersicurezza in Italia, si possono citare:

  1. il Decreto Monti (DPCM 24 gennaio 2013) che rappresenta il primo intervento significativo istituzionale. Definì l’architettura istituzionale deputata alla tutela della sicurezza nazionale con specifico riferimento alle infrastrutture critiche, considerando la minaccia cibernetica come un rischio per la sicurezza nazionale.
  2. Il d.lgs 65/2018, di recepimento della Direttiva NIS1, recante “misure per un livello comune elevato di sicurezza delle reti e dei sistemi informatici nell’Unione “, che rappresenta il primo strumento normativo europeo volto a migliorare la sicurezza delle reti e dei sistemi informativi attraverso l’individuazione di operatori di servizi essenziali e fornitori di servizi digitali.
  3. Il d.l. 82/2021 che ha introdotto misure urgenti per rafforzare la cybersicurezza nazionale e, tra le altre cose, ha istituito l’Agenzia per la Cybersicurezza Nazionale (ACN).
  4. La legge 90/2024 che reca “Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, interessando principalmente proprio le pubbliche amministrazioni (cd. legge sulla cybersicurezza).
  5. Il d.lgs 138/2024, di recepimento della normativa NIS2, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione (cd. Decreto NIS2).

(5) La legge 90/24 si rivolge in particolare alle seguenti pubbliche amministrazioni:

  • incluse nell’elenco annuale ISTAT,
  • le regioni e le province autonome di Trento e di Bolzano,
  • le città metropolitane,
  • i comuni con popolazione superiore a 100.000 abitanti,
  • i comuni capoluoghi di regione,
  • le società di trasporto pubblico urbano con bacino di utenza non inferiore a 100.000 abitanti,
  • le società di trasporto pubblico extraurbano operanti nell’ambito delle città metropolitane,
  • le aziende sanitarie locali,
  • le società in house.

L’ambito di applicazione del c.d. Decreto NIS2 è circoscritto ai soggetti pubblici di cui agli allegati 3 e 4, tra cui:

  • le amministrazioni centrali e regionali,
  • le amministrazioni locali, ovvero: 
  • le città metropolitane; 
  • i comuni con popolazione superiore a 100.000 abitanti; 
  • i comuni capoluoghi di regione; 
  • le aziende sanitarie locali;
  • altri soggetti pubblici, 
  • soggetti che forniscono servizi di trasporto pubblico locale,
  • istituti di istruzione che svolgono attività di ricerca,
  • soggetti che svolgono attività di interesse culturale, 
  • società in house, società partecipate e società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175.

(6) A tal proposito basti richiamare quanto detto in relazione alla Strategia Nazionale di Cybersecurity e al Piano per l’Informatica nella Pubblica Amministrazione; nonché notare la tendenza del legislatore (europeo e italiano) ad aumentare di volta in volta il numero di soggetti “obbligati”.

(7) Di tali obblighi si occuperà, per i soggetti rientranti nel perimetro della norma, un’apposita struttura che sarà individuata, anche tra quelle esistenti, “nell’ambito delle risorse umane, strumentali e finanziarie disponibili a legislazione vigente”.

(8) Il 5 maggio 2025 è stato pubblicato il DPCM del 30 aprile 2025, pubblicato il 5 maggio 2025. L’obiettivo primario è garantire che i beni e i servizi informatici acquisiti dalle pubbliche amministrazioni rispettino elevati standard di sicurezza, minimizzando i rischi connessi a vulnerabilità informatiche e minacce cibernetiche. Nulla vieta di tenere in considerazione gli standard ivi previsti anche in relazione ad approvvigionamenti non rientranti nell’obbligo normativo ma comunque di particolare interesse.

(9) Art.2, comma 2, del CDA, dispone: “Le disposizioni del presente Codice si applicano:

a) alle pubbliche amministrazioni di cui all’articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, nel rispetto del riparto di competenza di cui all’articolo 117 della Costituzione, ivi comprese le autorità di sistema portuale, nonché alle autorità amministrative indipendenti di garanzia, vigilanza e regolazione;

b) ai gestori di servizi pubblici, ivi comprese le società quotate, in relazione ai servizi di pubblico interesse;

c) alle società a controllo pubblico, come definite nel decreto legislativo 19 agosto 2016, n. 175, escluse le società quotate di cui all’articolo 2, comma 1, lettera p), del medesimo decreto che non rientrino nella categoria di cui alla lettera b)”.

(10) Determinazione ACN 164179 del 14 aprile 2025 – Specifiche di base per l’adempimento agli obblighi di cui agli articoli 23, 24, 25, 29 e 32 del decreto NIS.

(11) In merito, si rinvia anche all’articolo “Nis2 per le PMI. Il livello minimo di cybersicurezza”. LinkNis2 per le PMI. Il livello minimo di cybersicurezza

(12) L’ACN ha pubblicato la Guida alla notifica degli incidenti al CSIRT Italia

(13) Determina del 3 gennaio 2023 Tassonomia degli incidenti che debbono essere oggetto di notifica: Gazzetta Ufficiale.

Per la Tassonomia cyber dell’ACN (TC-ACN), ossia il linguaggio comune per lo scambio delle informazioni relative a eventi e minacce di cybersicurezza

(14) Art. 25 del Decreto NIS2 dispone che “Un incidente è considerato significativo se: 

    a) ha causato o è in grado di causare una grave perturbazione operativa dei servizi o perdite finanziarie per il soggetto interessato; 

    b) ha avuto ripercussioni o è idoneo a provocare ripercussioni su altre persone fisiche o giuridiche causando perdite materiali o immateriali considerevoli”.

(15) La relazione finale deve comprendere: 

1) una descrizione dettagliata dell’incidente, ivi inclusi la sua gravità e il suo impatto; 

2) il tipo di minaccia o la causa originale (root cause) che ha probabilmente innescato l’incidente; 

3) le misure di attenuazione adottate e in corso; 

4) ove noto, l’impatto transfrontaliero dell’incidente.

(16) Inoltre, se la violazione comporta un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati, utilizzando i canali più idonei, a meno che abbia già preso misure tali da ridurne l’impatto.

(17) Per “data breach” si intende “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”.

Related Items

NIS 2: senza fretta ma senza sosta. Una breve guida pratica.NIS2: senza fretta ma senza sosta. Una breve guida pratica
Continua a leggere
AI per l'antiriciclaggio e l'antifrode: comprendere e superare le barriere all'adozioneAI per l'antiriciclaggio e l'antifrode: comprendere e superare le barriere all'adozione
Continua a leggere
cyber-compliance-nis2-iso-27001NIS2 e ISO 27001: due normative a confronto per una compliance cyber efficace
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *