La transizione digitale ha trasformato il cyberspazio nel sistema nervoso centrale delle economie avanzate. In questo ecosistema iperconnesso, un attacco a un’infrastruttura critica — una rete energetica, un ospedale, un operatore di telecomunicazioni — non compromette solo l’organizzazione colpita, bensì genera un vulnus profondo nella percezione di sicurezza e affidabilità dell’intera nazione che la ospita. È per questo che la cybersicurezza non è più una questione tecnica. È un asset reputazionale nazionale.
Il quadro della minaccia
I dati raccolti nella Relazione Annuale al Parlamento dell’ACN fotografano per l’Italia uno scenario in rapido deterioramento. Nel 2024 il CSIRT Italia ha gestito 1.979 eventi cyber, con una media di 165 al mese, in netta crescita rispetto ai 118 dell’anno precedente. Gli incidenti confermati sono stati 573, quasi il doppio rispetto ai 303 del 2023. Non si tratta di una fluttuazione statistica: è la manifestazione locale di una tendenza globale agli attacchi, alimentata dalle tensioni geopolitiche e dall’industrializzazione del crimine informatico.
Secondo il Rapporto Clusit 2025, l’87% degli attacchi globali è riconducibile al cybercrime, con una crescita costante degli strumenti offensivi generata dal reinvestimento dei proventi illeciti. L’hacktivism, direttamente correlato ai conflitti geopolitici in corso, ha registrato un’esplosione di sedici punti percentuali rispetto alle rilevazioni precedenti, con bersagli selezionati proprio per il loro valore simbolico-istituzionale.
Dall’incidente tecnico al danno reputazionale: un passaggio inevitabile
Per meglio comprendere il tema e la sua crucialità per le aziende e per la stessa Pubblica Amministrazione degli stati, è necessario distinguere tra business continuity e business resilience.La prima riguarda il ripristino dei sistemi; la seconda riguarda il mantenimento della fiducia, asset fondamentale che incide sui mercati e sulle scelte politiche e sull’economia.
Le ricerche della Banca Mondiale sull’economia della cybersecurity, basate sull’analisi di oltre 10.000 incidenti pubblicamente noti in 190 paesi e 21 settori industriali, hanno dimostrato l’esistenza di una correlazione negativa tra frequenza degli incidenti informatici e andamento del PIL pro capite, particolarmente acuta nelle economie emergenti. Ma il dato più interessante è un altro: a parità di esposizione al rischio, i paesi che hanno adottato impegni nazionali strutturati sulla cybersecurity performano sistematicamente meglio in termini di attrattività degli Investimenti Diretti Esteri (FDI).
Appare chiaro che un investitore che valuta dove localizzare un hub logistico o una sede regionale non guarda solo al costo del lavoro o alla pressione fiscale bensì valuta anche l’affidabilità dell’ecosistema digitale in cui opererà. Un Paese con infrastrutture critiche vulnerabili e con una governance della crisi frammentata, è un territorio con un profilo di rischio più elevato anche da un punto di vista imprenditoriale.
Il ruolo delle relazioni istituzionali nella gestione della crisi
Se l’incidente informatico è oggi considerato dagli esperti non una possibilità, ma una certezza temporale, la variabile che distingue un evento gestito da un disastro sistemico è quasi sempre la qualità della comunicazione di crisi — e chi la coordina.
Il Public Affairs è chiamato, in questo contesto, a svolgere una funzione di mediazione su più livelli simultanei.
Verso l’interno, deve tradurre il linguaggio tecnico dei Chief Information Security Officer (CISO) in metriche di rischio comprensibili ai Consigli di Amministrazione: esponendo i rischi concreti per il proprio business e la reputazione esterna. È la metodologia nota come Cyber Risk Quantification (CRQ), e la sua adozione sistematica nei processi decisionali aziendali è ancora scarsa.
Verso l’esterno, quando l’attacco colpisce un gestore di infrastrutture essenziali — energia, acqua, telecomunicazioni, finanza — la comunicazione non può essere gestita in modo autonomo dal soggetto privato, ma deve essere orchestrata in sinergia con le istituzioni pubbliche competenti. L’obiettivo non è minimizzare la notizia, ma dimostrare che lo Stato è presente e competente nelle scelte da adottare.
A livello europeo, questa architettura comunicativa è codificata nell’EU Cyber Blueprint, che coordina la risposta tra CSIRT nazionali, la rete EU-CyCLONe e l’ENISA, assicurando che il messaging di un operatore energetico in uno Stato membro sia coerente con la comunicazione istituzionale dell’intera Unione.
Le regole europee e l’intervento del lobbying
Il quadro regolatorio europeo ha subito una trasformazione radicale. La Direttiva NIS2 (recepita in Italia con il D.Lgs. 138/2024) estende gli obblighi di cybersecurity a 18 macro-settori, introduce tempistiche rigide per la notifica degli incidenti (24 ore per il pre-allarme, 72 ore per la notifica completa). Il Cyber Resilience Act, entrato in vigore a dicembre 2024, sposta invece il punto di intervento a monte, imponendo la security by design su tutti i prodotti digitali commercializzati nel mercato unico.
In questo contesto, il ruolo del lobbying istituzionale non è — come spesso percepito — quello di indebolire le tutele, bensì è quello di garantirne l’applicabilità.
Il rischio concreto, segnalato dalla stessa Commissione Europea nelle sue proposte di semplificazione della direttiva, è che una frammentazione normativa tra i 27 Stati membri — con standard di notifica, formulari e certificazioni non armonizzati — produca costi di compliance che soffocano le imprese, in particolare le PMI, spingendole fuori dal mercato europeo.
Il lavoro del Public Affairs è dunque duplice: da un lato, intervenire nelle fasi di recepimento nazionale per suggerire interpretazioni che siano chiare, proporzionate e tecnologicamente neutrali; dall’altro, promuovere all’interno delle organizzazioni una riqualificazione culturale della cybersecurity
Conclusioni: la cybersecurity si governa, non si subisce
La vulnerabilità digitale di un Paese non è un dato tecnico irrilevante, è un segnale che i mercati leggono e che gli investitori soppesano. Costruire una postura cibernetica nazionale robusta non è un costo di sistema, bensì è un investimento in attrattività e credibilità internazionale. Proprio in questo scenario il Public Affairs detiene un mandato preciso: far comprendere ai decisori — nei board aziendali come nelle stanze istituzionali — che la sicurezza digitale non si delega ai tecnici e non si gestisce solo in emergenza, bensì è una attività da compiere preventivamente – soprattutto dalla politica.
*Immagine di copertina: [Foto di Guillaume Périgois su Unsplash]
