come sfruttare al meglio le risorse

Soprattutto quando è sempre più urgente essere in grado di difendersi dagli attacchi cyber in incessante aumento.

A tal proposito, il report Cyber Security Report presentato lo scorso 12.06.2025 da Tim e dalla Cyber Security Foundation conferma che gli attacchi DDoS continuano ad aumentare registrando un +36% rispetto al 2024 e stanno particolarmente prendendo di mira, soprattutto, la Pubblica Amministrazione (PA), la cui esposizione è passata dall’1% al 42% in un solo anno.

I fondi europei per la cybersecurity

Il quadro dei finanziamenti europei per la cybersecurity si articola attraverso diversi programmi strategici e, precisamente:

• Horizon Europe Programme – Si tratta di un programma per la ricerca e l’innovazione per il periodo 2021-2027 che include anche il piano per la ripresa Next Generation EU. Il programma finanzia attività di ricerca e di innovazione, principalmente attraverso bandi competitivi, e si concentra su applicazioni civili. La cybersecurity è un’area chiave di interesse, con bandi specifici nel Pilastro 2 (Sfide globali e competitività industriale europea) e nel Cluster 3 (Sicurezza civile).

• Digital Europe Programme (DIGITAL) – La Commissione Europea ha stanziato 762,7 milioni di euro per soluzioni digitali a beneficio di cittadini, amministrazioni pubbliche e imprese nel 2024, attraverso il programma Europa Digitale.

La Commissione EU, a metà giugno 2025, ha stanziato €145,5 milioni per PMI e pubbliche amministrazioni per implementare soluzioni di cybersicurezza considerando il panorama normativo in essere che richiede sempre più la cyber resilience dei nostri ecosistemi pubblici secondo un approccio risk-based e resilience-based.

Primo bando – La Commissione EU stato stanziato un budget complessivo di €55 milioni, di cui €30 milioni destinati migliorare la cybersicurezza di ospedali e fornitori di servizi sanitari. La scadenza è prevista per il 7 ottobre 2025. L’obiettivo è migliorare la capacità di questi enti di individuare, monitorare e rispondere a minacce informatiche, in particolare ransomware, in un contesto di crescente tensione geopolitica. Di seguito elenco dei bandi Digital:

• DIGITAL-ECCC-2025-DEPLOY-CYBER-08-CYBERHEALTH: Azione dedicata al rafforzamento degli ospedali e degli operatori sanitari;
• DIGITAL-ECCC-2025-DEPLOY-CYBER-08-NCC: Potenziamento della rete NCC;
• DIGITAL-ECCC-2025-DEPLOY-CYBER-08-PUBLICPQC: Transizione verso infrastrutture a chiave pubblica post-quantistiche.

Il bando finanzia dei progetti pilota che coinvolgano sistemi sanitari nazionali o regionali, associazioni professionali e fornitori di cybersecurity, con lo scopo di definire i livelli di preparazione attuali, identificare i fabbisogni (tecnologie, strumenti, formazione) e sviluppare piani tecnici su misura. Questi piani saranno testati con dimostrazioni operative in ospedali di diverse dimensioni, in almeno due Stati membri, e includeranno strumenti avanzati come SOC, SIEM, threat intelligence e risposta automatizzata.

I progetti forniranno anche formazione al personale sanitario e promuoveranno la diffusione delle best practice in tutta l’UE, per favorire la replicabilità e l’adozione diffusa delle soluzioni proposte. Inoltre, saranno supportate le istituzioni che devono conformarsi alla Direttiva NIS 2 e saranno rafforzate le attività dei Centri Nazionali di Coordinamento (NCC), anche tramite finanziamenti indiretti (FSTP), per stimolare l’adozione di soluzioni di sicurezza a livello locale.

Secondo Bando – Esso rientra nel programma Horizon Europe e mette a disposizione €90,5 milioni e riguarda i seguenti bandi con scadenza 12 novembre 2025:

• HORIZON-CL3-2025-02-CS-ECCC-01: Intelligenza artificiale generativa per applicazioni di sicurezza informatica con un budget complessivo di €40 milioni per finanziare 3 progetti;
• HORIZON-CL3-2025-02-CS-ECCC-02: Nuovi strumenti e processi avanzati per la sicurezza informatica operativa con un budget complessivo di €23.55 milioni per finanziare 4 progetti;
• HORIZON-CL3-2025-02-CS-ECCC-03: Tecnologie per il miglioramento della privacy con un budget complessivo di €11 milioni per finanziare 3 progetti;
• HORIZON-CL3-2025-02-CS-ECCC-04: Valutazioni di sicurezza delle primitive di crittografia post-quantistica (PQC) con un budget di €4 milioni per finanziare 2 progetti;
• HORIZON-CL3-2025-02-CS-ECCC-05: Sicurezza delle implementazioni degli algoritmi di crittografia post-quantistica con un budget di €6 milioni per finanziare 2 progetti;
• HORIZON-CL3-2025-02-CS-ECCC-06: Integrazione degli algoritmi di crittografia post-quantistica (PQC) nei protocolli di alto livello con un budget di €6 milioni per finanziare 2 progetti.

Sarà interessante vedere se le nostre pubbliche amministrazioni saranno in grado di accedere a questi bandi fondamentali per il continuo progresso in termini di digitalizzazione e d innovazione dei nostri ecosistemi strategici.

L’implementazione italiana: PNRR e fondi nazionali

In Italia, l’approccio alla cybersecurity pubblica si sviluppa su diversi pilastri di finanziamento, quali:

• Piano Nazionale di Ripresa e Resilienza (PNRR) che mira a modernizzare le infrastrutture digitali e a rafforzare la cybersecurity, quanto mai fondamentale per la tutela di dati sensibili e la continuità operativa di pubbliche amministrazioni, ministeri, università, settore sanitario e infrastrutture critiche, trasporti, ecc. i.e. molti dei settori rientranti della NIS2. Di fatto, il PNRR rappresenta una straordinaria occasione per l’Italia di modernizzare le proprie infrastrutture digitali e rafforzare la cybersecurity della PA, destinando circa 623 milioni di euro specificamente alla cybersecurity, per potenziare personale e strutture, rappresentando uno degli investimenti più significativi mai realizzati nel settore.

• Fondi strategici nazionali – Il Governo italiano – per l’attuazione della “Strategia Nazionale della Cybersicurezza per il triennio 2023-2026” (Gazzetta ufficiale 8.07. 2024) e “La gestione della cybersicurezza” – ha pubblicato in Gazzetta lo scorso 4.10.2024 il decreto che ripartisce il Fondo per l’attuazione della strategia nazionale di cybersicurezza e il Fondo per la gestione della cybersecurity.

L’ammontare totale di 347 milioni di euro è stato ripartito tra le Pubbliche Amministrazioni individuate come attori responsabili nell’ambito del piano di implementazione della Strategia nazionale di cybersicurezza che hanno presentato specifiche proposte di intervento all’Agenzia per la cybersicurezza nazionale (ACN).

In particolare, Il Fondo per l’attuazione della strategia nazionale di cybersicurezza aveva a disposizione una dotazione di:

• 110 milioni di euro per l’anno 2025;
• i 150 milioni di euro annui nel periodo 2026-2037.

Mentre, il Fondo per la gestione della cybersicurezza in termini di progetti afferenti alla “Strategia nazionale di cybersicurezza” ha una dotazione finanziaria pari a:

• 10 milioni di euro per l’anno 2023;
• 50 milioni di euro per l’anno 2024;
• 70 milioni di euro annui a decorrere dall’anno 2025.

Di seguito la ripartizione del primo filone delle risorse (Allegato A – decreto in Gazzetta Uff.le del 4.10.24),

Di seguito il secondo filone (Allegato B – decreto in Gazzetta Uff.le del 4.10.24)

Stato dell’arte dei fondi di coesione in termini di valutazione dei risultati e criticità

Il contesto di minacce in rapida evoluzione pone interrogativi sulla tempestività ed efficacia degli investimenti in cybersecurity anche in fase di realizzazione, soprattutto considerando l’intensificarsi degli attacchi cyber a fronte del particolare contesto di policrisi e perma crisi politiche ed economiche.

Di fatto, il risultato atteso nel breve termine è il rafforzamento della capacità degli operatori di prevedere e di fronteggiare i rischi in materia di cybersecurity. Nel medio-lungo termine, si tiene che la strategia si focalizzerà sulla difesa delle infrastrutture critiche del Paese, quanto mai necessarie nell’attuale scenario politico-economico.

È doveroso ricordare che l’investimento PNRR mira, specificamente, a rafforzare l’ecosistema digitale nazionale, potenziando i servizi di gestione della minaccia cyber, grazie ad una rinnovata capacità di monitoraggio, prevenzione e scrutinio tecnologico a supporto della transizione digitale del Paese.

Tuttavia, permangono le zone d’ombra che devono essere gestite.

Criticità strutturali nell’utilizzo dei fondi per la cybersecurity

I “colli di bottiglia” che preoccupano riguardano la qualità nella gestione dei fondi, la governance e la stabilità circa i progetti da realizzare e che dovrebbero essere stati gestiti nella fase iniziale per usare al meglio le nuove opportunità, considerando che abbiamo a disposizione i fondi Ue propedeutici ad attuare un vero e proprio cambio di paradigma in termini di cybersecurity nella PA.

Di seguito le principali criticità strutturali che potrebbero compromettere l’efficacia degli investimenti e, precisamente:

• Mancata comprensione dei problemi – La mancanza di comprensione dei vertici della PA delle tematiche di cybersecurity e la necessità di proteggersi adeguatamente porta a on considerare i fondi a disposizione.
• Frammentazione delle competenze – La distribuzione dei fondi tra diversi enti e livelli amministrativi rischia di creare duplicazioni e inefficienze, senza un coordinamento centrale sufficientemente robusto.
• Personale con competenze specialistiche scarse – La carenza di personale qualificato nella PA rappresenta ancora un collo di bottiglia significativo per l’utilizzo efficace dei fondi stanziati.
• Tempistica di implementazione – I tempi di realizzazione dei progetti PNRR, vincolati alle scadenze europee, potrebbero non essere compatibili sia con le tempistiche necessarie per implementare soluzioni di cybersecurity efficaci e testate sia con la mancanza di una gestione strutturata dei progetti. Inoltre, in mancato raggiungimento degli obiettivi nei tempi e nei modi previsti, è prevista l’attivazione di clausole di riduzione o revoca dei contributi. Pertanto, è necessario che le tempistiche e gli obiettivi previsti dai progetti approvati siano rispettati.
• Difficoltà burocratiche per l’erogazione dei fondi – Permangono difficoltà burocratiche in termini di erogazione dei fondi a fronte di progetti con investimenti già effettuati oppure che possono rallentare gli investimenti stessi.
• Confronto con le best practice europee – L’analisi comparativa con altri paesi membri evidenzia come alcuni stati abbiano adottato approcci più centralizzati e coordinati, ottenendo risultati più rapidi ed efficaci, permettendo di sfruttare al meglio i fondi a disposizione.

Le raccomandazioni per ottimizzare l’uso dei fondi per la cybersecurity

A fronte di quanto sopra, sarebbe auspicabile sfruttare il tempo che ci rimane per garantire:

• Ottimizzazione dell’allocazione delle risorse – È quanto mai necessario per massimizzare l’impatto degli investimenti –
• Consolidamento della governance – È fondamentale il ruolo di coordinamento dell’Agenzia per la Cybersicurezza Nazionale (ACN) per evitare sovrapposizioni e garantire coerenza strategica.
• Prioritizzazione degli interventi – Concentrare le risorse sui settori e sulle infrastrutture più critiche, seguendo un approccio risk-based nella definizione delle priorità.
• Investimenti in capitale umano – Destinare una quota significativa dei fondi alla formazione e al reclutamento di personale specializzato, prerequisito essenziale per qualsiasi progetto di cybersecurity.
• Miglioramento del monitoraggio e della valutazione – L’implementazione di sistemi di monitoraggio continuo e di metriche di performance standardizzate è essenziale per valutare l’efficacia degli investimenti e permettere correzioni di rotta tempestive.

Mappatura dei progetti e valutazione dei risultati

Non esiste al momento una mappatura ufficiale sullo stato dell’arte dei progetti né una panoramica dei risultati conseguiti.

Di fatto, spetterebbe a ACN fornire una fotografia dei progetti di cybersecurity che usufruiscono dei Fondi PNRR e di quelli EU.

Inoltre, sarebbe interessante avere sia una fotografia dei fondi effettivamente elargiti – a fronte delle scadenze rispettate, dato che risulta che diverse PA non hanno avuto ancora accesso ai fondi – sia una e a svolgere una valutazione in termini di risultati raggiunti vs. obiettivi di progetto comunicati.

Governance e coordinamento nell’allocazione dei fondi

I fondi europei per la cybersecurity delle PA rappresentano un’opportunità storica per rafforzare la resilienza digitale del sistema paese. L’Italia, con i fondi europei, il PNRR ed altre iniziative governative, dispone di risorse significative per affrontare le sfide della sicurezza informatica oltre che la conformità al quadro normativo europeo in termini di cybersecurity.

Tuttavia, l’efficacia di questi investimenti dipenderà, in toto, dalla capacità di superare le criticità strutturali identificate, quali: frammentazione della governance, carenza di competenze specialistiche, e tempi di implementazione compressi. Inoltre, senza un approccio coordinato e strategico, il rischio è quello di disperdere risorse preziose in iniziative frammentarie e poco efficaci.

Pertanto, la risposta alla domanda se si tratti di un’occasione mancata dipenderà dalla capacità del sistema Paese di apprendere dalle prime fasi di implementazione andate a buon fine e, ove necessario, di adottare le correzioni necessarie per massimizzare l’impatto degli investimenti.

Tempus fugit… ma le risorse per il successo sono disponibili. Ciò che serve veramente è una maggiore volontà amministrativa per comprendere appieno la potenzialità di questi fondi e per riuscire a coordinare al meglio gli investimenti, garantendo l’implementazione del progetti entro i termini previsti e fornire adeguata rendicontazione, onde evitare di dover restituire il tutto.