spot_img
HomeDIRITTO
DIRITTODIRITTO ed ECONOMIALast__

I Cyberattacchi e la Sicurezza Nazionale

cyberwar italo red italo 
by Claudio Caldarola
Avvocato specializzato in diritto delle tecnologie.
Dal 2018 Presidente di Global Professionals for Artificial Intelligence

INTRODUZIONE

Immaginiamo un Paese che affida ai sistemi digitali gran parte della propria vita quotidiana, dalla sanità ai pagamenti pubblici, dalle reti energetiche alle comunicazioni istituzionali, tutto scorre attraverso infrastrutture informatiche interconnesse che formano l’ossatura invisibile dello Stato moderno. È in questo spazio immateriale che si combatte una nuova forma di conflitto. Secondo il Rapporto Clusit dell’ottobre 2025, nei primi sei mesi dell’anno si sono registrati 2.755 attacchi informatici di gravità elevata, in crescita del 36% rispetto al semestre precedente. L’Italia figura tra i Paesi più colpiti, con oltre il 10% degli episodi globali e un incremento del 600% nel settore governativo e militare. Di fronte a questi dati allarmanti, la questione non è solo tecnologica ma profondamente giuridica e istituzionale. Quali garanzie offre oggi l’ordinamento per la protezione dei dati, la continuità dei servizi essenziali e la difesa della sovranità digitale? La risposta richiede di osservare congiuntamente il diritto dell’Unione e la disciplina interna, dove si intrecciano principi di tutela dei diritti fondamentali e misure di sicurezza nazionale. Nel 2025, il quadro normativo europeo e italiano ruota attorno a quattro pilastri fondamentali: il Regolamento (UE) 2016/679 GDPR sulla protezione dei dati personali; la Direttiva (UE) 2022/2555 NIS2, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138; il Regolamento (UE) 2022/2554 DORA sulla resilienza digitale del settore finanziario; e infine il Regolamento (UE) 2024/1689 (AI Act), integrato dalla Legge italiana 23 settembre 2025, n. 132, che disciplina l’intelligenza artificiale. Accanto a questi strumenti, l’Agenzia per la Cybersicurezza Nazionale (ACN), istituita con il D.L. 14 giugno 2021, n. 82, rappresenta il fulcro operativo della difesa digitale del Paese.

LE INFRASTRUTTURE PUBBLICHE SOTTO ATTACCO

Il Rapporto Clusit fotografa un contesto di vulnerabilità crescente. Gli attacchi diretti a enti governativi e militari italiani rappresentano il 38% del totale nazionale, seguiti da sanità, trasporti e logistica. Le operazioni di hacktivism, condotte da gruppi filorussi come NoName057(16) o KillNet, utilizzano tecniche di DDoS (Distributed Denial of Service), per rendere inaccessibili portali pubblici e servizi essenziali. Queste azioni, spesso simboliche, mirano a erodere la fiducia dei cittadini nelle istituzioni e a testare le capacità difensive dello Stato. L’ENISA, nella sua strategia Un’Europa di fiducia e sicura dal punto di vista cibernetico dell’ottobre 2024, parla di un “ecosistema comunitario di sicurezza” basato su cooperazione, resilienza e fiducia reciproca. La minaccia cibernetica è dunque strutturale e geopolitica. Si combatte in un terreno ibrido dove i confini tra sabotaggio, spionaggio e propaganda si dissolvono. La risposta deve essere giuridica, coordinata e sovranazionale.

IL QUADRO NORMATIVO DI RIFERIMENTO

L’articolo 32 del GDPR impone al titolare del trattamento di adottare misure tecniche e organizzative adeguate al rischio, mentre l’articolo 33 prevede la notifica di violazioni entro 72 ore.

La Direttiva NIS2 amplia questi principi, imponendo agli Stati membri una gestione unitaria del rischio, la designazione di Autorità competenti e l’obbligo di notifica per incidenti significativi. Il D.Lgs. 138/2024 ha dato attuazione alla NIS2 in Italia, stabilendo obblighi di prevenzione e reporting per soggetti pubblici e privati “essenziali”, poteri ispettivi rafforzati per l’ACN e un regime sanzionatorio fino al 2% del fatturato per inadempienze. Nel settore finanziario, il Regolamento (UE) 2022/2554 DORA introduce test di resilienza digitale, audit obbligatori e una supervisione europea coordinata dall’European Banking Authority (EBA), dall’European Securities and Markets Authority (ESMA) e dall’European Insurance and Occupational Pensions Authority (EIOPA), che insieme costituiscono il Sistema europeo di vigilanza finanziaria. Infine, il Regolamento (UE) 2024/1689 AI Act e la Legge 132/2025 completano l’architettura, stabilendo principi di trasparenza, tracciabilità e supervisione umana per i sistemi di intelligenza artificiale, specie nei settori ad “alto rischio” come la difesa, la sanità e la pubblica amministrazione in generale.

LE COMPATIBILITÀ E CRITICITÀ GIURIDICHE

Il quadro europeo appare coerente, ma la piena efficacia dipende dall’attuazione nazionale. Gli attacchi DDoS e ransomware che continuano a colpire infrastrutture pubbliche rivelano lacune operative, ovvero la mancanza di ridondanza dei sistemi, una scarsa applicazione del principio di security by design ai sensi degli artt. 25 e 32 GDPR e tempi lenti di segnalazione. Sul piano penale, tali condotte rientrano negli artt. 615-ter e 635-bis del Codice penale, relativi all’accesso abusivo e al danneggiamento di sistemi informatici. Tuttavia, la dimensione transnazionale impone strumenti di cooperazione giudiziaria come Eurojust e la Convenzione di Budapest sul cybercrime, oltre al nuovo European Cybersecurity Competence Centre (ECCC) a Bucarest. Sicché l’ordinamento europeo soddisfa formalmente gli obblighi di tutela, ma la traduzione degli standard in prassi effettive rimane in costruzione.

I DATI, LE RESPONSABILITÀ E LA PREVENZIONE

Tra le aree più critiche, quelle della frammentazione istituzionale, che rallenta la risposta agli incidenti; della protezione dei dati sanitari, categoria sensibile ai sensi dell’art. 9 GDPR; e della formazione disomogenea del personale pubblico. Le misure di difesa più efficaci, secondo sia l’ENISA sia l’ACN, includono:

  1. la minimizzazione dei dati e limiti di conservazione;
  2. la cifratura end-to-end dei flussi;
  3. l’autenticazione multifattoriale;
  4. il logging costante e audit indipendenti;
  5. canali sicuri di segnalazione e coordinamento.

La prevenzione è l’unico approccio sostenibile, perché la differenza tra un sistema che subisce un attacco e uno che lo anticipa si gioca proprio nella capacità di valutare il rischio prima che si concretizzi.

LA VIGILANZA, L’INTELLIGENZA ARTIFICIALE E LE PROSPETTIVE

Nel 2025, la cooperazione multilivello tra ACN, Garante Privacy, ENISA e Commissione europea costituisce l’asse portante della sicurezza europea. La strategia ENISA 2024 sottolinea l’importanza della foresight analysis, cioè la capacità di prevedere e mitigare le minacce emergenti attraverso l’intelligence condivisa e la ricerca applicata. L’intelligenza artificiale, regolata dall’AI Act, diventa così un attore sistemico della cybersicurezza perché analizza pattern di attacco, individua vulnerabilità, ma può anche amplificare i rischi se mal progettata, come per esempio nel caso della Dark AI. L’art. 9 dell’AI Act impone un sistema di gestione del rischio continuo, con obbligo di tracciabilità e controllo umano. La Legge italiana 132/2025 recepisce tutti questi principi, promuovendo un uso “antropocentrico e responsabile” dell’IA e delegando al Governo la definizione di un Registro nazionale dei sistemi ad alto rischio, sotto la vigilanza congiunta di ACN e del Garante Privacy.

CONCLUSIONI

L’aumento esponenziale degli attacchi informatici rappresenta oggi una sfida istituzionale e giuridica senza precedenti. La cybersicurezza non è più un requisito tecnico, ma una dimensione essenziale dello Stato costituzionale digitale. L’Unione europea ha costruito un quadro normativo solido, dal GDPR alla NIS2, dal DORA all’AI Act, fondato sulla cooperazione, sulla trasparenza e sulla responsabilità. Tuttavia, la sovranità digitale non si difende solo con le leggi, ma con la capacità di applicarle, di educare i cittadini e di innovare in sicurezza. Perché, per citare l’ENISA, «la fiducia è la prima linea di difesa digitale». Proteggere le reti e i dati oggi significa proteggere la libertà, l’economia e la democrazia stessa.

Riferimenti

Clusit. (2025, ottobre). Rapporto sulla Cybersecurity in Italia e nel mondo;

Direttiva (UE) 2022/2555 (NIS2). (2022). Gazzetta Ufficiale dell’Unione Europea, L 333/80, 27 dicembre;

Regolamento (UE) 2022/2554 (DORA). (2022). Gazzetta Ufficiale dell’Unione Europea, L 333/1, 27 dicembre;

Regolamento (UE) 2024/1689 (AI Act). (2024). Gazzetta Ufficiale dell’Unione Europea, L, 12 luglio;

Legge 23 settembre 2025, n. 132. (2025). Gazzetta Ufficiale della Repubblica Italiana, Serie Generale n. 223, 25 settembre;

ENISA. (2024, ottobre). A Trusted and Cyber Secure Europe. Strategy 2024-2027;

D.Lgs. 4 settembre 2024, n. 138. (2024). Recepimento NIS2;

Regolamento (UE) 2016/679 (GDPR). (2016). Gazzetta Ufficiale dell’Unione Europea.

Previous article
CODEX – La mostra, l’arte e la creatività ai tempi dell’IA
Next article
Pelle Sintetica Intelligente: un idrogel programmabile

suggeriti

- Advertisement -spot_img

Latest Articles

Load more

ItaloRED informazione corretta e puntuale ed IperBlog transgenerazionale
Direttore: Antonio Maria Gallo

Contatto: contact@italored.it

privacy & cookie

© Copyright: italoRED 2023 - Design: anticheofficine.it

INFORMATIVA  cookie policy 
Su questo sito utilizziamo strumenti di 
prime o terze parti che memorizzano
piccoli file (cookie) sul tuo dispositivo. 
I cookie sono normalmente utilizzati
per consentire il corretto funzionamento
del sito (cookie tecnici), 

UTILIZZIAMO SOLO COOKEI TECNICI ESSENZIALI

ATTENZIONE! 
SE DISABILITI i cookie NON POTRAI:
visualizzare filmati di YOUTUBE, ANIMAZIONI 
ed altre FUNZIONI.