Cybersecurity leva di competitività: strategie per l’innovazione Ue

Il lavoro svolto da Draghi, dal titolo “The future of European competitiveness”, noto come “Rapporto Draghi” è stato presentato dall’autore il 17 settembre 2024 al Parlamento europeo.

La relazione consta di due parti: una parte A nella quale è riportata la Strategia di competitività dell’Europa, e una parte B che affronta gli aspetti di politiche settoriali e trasversali e indica obiettivi da porsi e iniziative da adottarsi per raggiungerli.

Lo studio riporta uno studio approfondito sulle cause della mancata crescita dell’Unione Europea in termini di competitività e di capacità di risposta alle sfide che le vengono già oggi presentate e le proposte per affrontarle.

Le sfide identificate dal rapporto Draghi

Le diverse sfide identificate interesseranno, secondo Draghi, l’Unione Europea in misura pesante soprattutto nel prossimo futuro; ci sarebbero conseguenze importanti qualora fossero trascurati i segnali di problematiche già in essere o in fase di avanzata concretizzazione.

Al fine di rilanciare la crescita, il Rapporto Draghi individua tre aree di intervento: la prima riguarda l’ambito dell’innovazione tecnologica e il divario con la Cina e gli Stati Uniti con particolare attenzione al settore delle tecnologie avanzate.

La seconda area è relativa alle questioni della decarbonizzazione e della competitività per le quali suggerisce di predisporre uno specifico piano.

Infine, la terza area prende in considerazione la crescita della sicurezza e la contemporanea diminuzione delle dipendenze, intendendo con ciò la necessità di approvvigionarci di tecnologia digitale tramite importazioni dedicate.

Il Rapporto segnala, per esempio, che la produzione di chip deve fare i conti con la circostanza che “il 75-90% della capacità globale di fabbricazione di wafer si trova in Asia”.

Quindi, le riflessioni che affrontano il tema della crescita sostenibile a livello europeo, si devono basare su diversi capisaldi quali, per esempio, sull’instabilità geopolitica a livello globale, sulle possibili ripercussioni o interruzioni improvvise di scambi commerciali, sulle indispensabili misure da adottarsi per ridurre le vulnerabilità crescenti in misura vertiginosa.

La crescita desiderata dovrà essere supportata da adeguata “politica economica estera”.

Tra le sfide che dovranno essere affrontate, una delle prime imporrà il potenziamento del raccordo fra le iniziative, anche di natura programmatica, che ogni Stato membro ha già avviato.

Lo sviluppo di un vero Mercato Unico rappresenterebbe il volano giusto per favorire l’innovazione, a condizione che possa effettivamente ridurre gli oneri normativi e amministrativi, vere e proprie barriere specialmente per le PMI.

Il rapporto Draghi sottolinea che un processo legislativo dura in media 19 mesi prima di concludersi con una nuova legge.

Si tratta di un tempo davvero troppo lungo; inoltre in alcuni casi, ad esso va aggiunto il periodo che serve per la trasposizione negli ordinamenti nazionali.

Altri profili di grande rilievo vengono trattati nel Rapporto; si tratta di aspetti che presentano diversi elementi di interconnessione l’uno con l’altro se non proprio di elementi comuni.

Comunque, al di là di ogni caratteristica dell’azione regolamentare comunitaria, resta il fatto che il focus è l’innovazione tecnologica con le proprie difficoltà a divenire il motore di crescita e ragione principale dell’aumento della produttività.

La conseguenza è purtroppo rilevante: viene penalizzata la competitività a livello europeo e globale.

Cybersecurity e competitività: interconnessioni nella strategia europea

Ai temi della sicurezza indicata nel rapporto Draghi come questione attualmente legata all’evolversi quanto mai imprevedibile della situazione geopolitica, prima europea e poi a livello globale, viene oggi naturale aggiungere la sicurezza informatica, che rappresenta ormai una componente intimamente legata ad ogni tipo di innovazione tecnologica.

Ogni sviluppo in ambito TLC, ICT oppure aerospaziale o in molti altri ambiti ancora, non può prescindere da interventi progettuali sofisticati, dal monitoraggio delle fasi di produzioni di apparati e sistemi, nonché da verifiche interne che devono tenere aggiornati i processi di produzione e applicativi.

Vanno altresì monitorati gli impatti sui servizi erogati e sui cambiamenti apportati a livello sociale o di ciascun singolo cittadino.

Il Rapporto delinea in effetti una strategia utile al raggiungimento dello scopo, che parte da una valutazione attenta della posizione dell’Europa, dalla identificazione di obiettivi prioritari e analizza sia i rischi da evitare che gli eventuali compromessi da accettare.

Secondo il Rapporto Draghi, l’UE dovrà essere disponibile a riformarsi in misura notevole; quanto più consistente sarà il suo cambiamento, tanto più sarà generata produttività.

Inoltre, per massimizzare la produttività sarà indispensabile effettuare investimenti in “beni pubblici europei chiave, come l’innovazione rivoluzionaria.”

Dal Rapporto Draghi sono arrivate indicazioni puntuali e molto motivate affinché concrete azioni specifiche siano messe in atto, senza ulteriori ritardi.

Il mercato unico digitale e la quinta libertà europea: il Rapporto Letta

Quasi parallelamente alla richiesta rivolta a Mario Draghi, il Consiglio europeo e la Commissione europea avevano dato mandato a Enrico Letta, nel settembre 2023, di predisporre un rapporto “di alto livello” sul futuro del Mercato Unico europeo.

L’incarico faceva seguito alla richiesta dei leader dell’Unione Europea che nel summit del 29-30 giugno 2023 di una Relazione indipendente di alto livello sul tema.

Il rapporto Letta è stato poi presentato in occasione del Consiglio europeo straordinario del 17-18 aprile 2024.

Praticamente le due distinte relazioni hanno avuto iter paralleli; entrambe si andavano ad inserire nel contesto del rinnovamento istituzionale per le elezioni europee, nel processo di definizione dell’Agenda strategica 2024-2029 e dei capisaldi del bilancio pluriennale UE (2028-2034).

Con l’Agenda strategica si fissano le priorità e gli orientamenti strategici dell’UE per il ciclo istituzionale 2024-2029 e si forniscono indicazioni sull’orientamento che i lavori delle istituzioni dell’UE dovranno assicurare.

Il lavoro curato da Enrico Letta, dal titolo “Much more than a market”, riporta osservazioni, approfondimenti e proposte per il rafforzamento del mercato interno dell’Unione europea.

La necessità di disporre anche di valutazioni aggiornate sullo stato del Digital Single Market in Europa, è scaturita dalla urgenza di allineare uno strumento che, comunque, era stato potente ad una situazione europea e globale in continua evoluzione.

L’obiettivo che l’autore del rapporto si è posto, considerata la richiesta della Commissione europea, è stato quello di verificare la resilienza del modello ancora in vigore.

La struttura era ritenuta ancora valida nei suoi principi fondamentali, quali quelli del libero scambio, garantito attraverso misure specifiche per beni, servizi, persone e capitali, ma doveva essere analizzata ulteriormente alla luce dell’esposizione a nuove pressioni e a sconosciute sollecitazioni.

Se ci si riferisce in particolare agli sviluppi europei e globali del digitale, si comprende come anche nel Rapporto Letta si siano dovuti considerare l’informazione e la formazione come motori principali per la crescita economica, l’innovazione e la competitività.

Sulla quantità di informazione e sulle competenze si basa infatti la capacità di creare valore nei processi innovativi.

Per questo va assicurato l’ampio accesso e la massima condivisione dei dati oltre ogni confine e trasversalmente ad ogni settore; su queste premesse le due azioni si trasformano in catalizzatori per l’innovazione, il miglioramento dei servizi pubblici e la crescita economica.

In buona sostanza, secondo il Rapporto Letta, si devono integrare le previsioni originarie del Digital Single Market con l’introduzione di una “quinta libertà” per fronteggiare le sfide del ventunesimo secolo e coglierne le opportunità.

La quinta libertà dovrebbe comprendere vari ambiti tra i quali la ricerca, l’innovazione, i dati, le competenze la conoscenza e la formazione.

Al riguardo, nel report, sono espresse sia motivazioni che proposte per dominare i nuovi profili così identificati.

In particolare si ritiene che con l’adozione di una nuova mentalità e con strategie allineate, sia nel settore pubblico che in quello privato, unitamente alla condivisione di obiettivi comuni, l’Europa potrà stimolare la competitività e conseguire benefici per l’intera società.

Con i progressi scientifici che potrà conseguire in AI e grazie anche al QC, si potranno guidare le trasformazioni di vari settori, fra i quali la salute, la scienza dei materiali e la cybersecurity, aspirando a scoprire nuovi farmaci, sviluppando nuovi materiali con particolari proprietà e infine favorendo l’utilizzo di sistemi di crittografia per contrastare le minacce cyber più sofisticate.

Anche il rapporto Letta tocca quindi il tema della cybersecurity espressamente, in quanto materia trasversale che impatta, non più marginalmente, sulla vita delle infrastrutture più strategiche e sui servizi erogati.

Risale al novembre 2024 un altro passaggio importante per la competitività a livello europeo: il Patto di competitività dell’UE, adottato dai leader dell’Unione europea durante una riunione informale a Budapest.

Dalla Dichiarazione di Budapest relativa al Patto, dell’8 novembre 2024, si può estrarre l’intendimento dei leader europei:

“Accogliamo con favore le relazioni “Much more than a market” di Enrico Letta e “The future of European competitiveness” di Mario Draghi, che individuano sfide critiche e formulano raccomandazioni orientate al futuro. Dette relazioni costituiscono una solida base per portare avanti in modo ambizioso il nostro lavoro. Siamo consci del segnale d’allarme che lanciano. È indispensabile colmare con urgenza il divario in termini di produttività e innovazione, sia con i nostri concorrenti globali che all’interno dell’UE. Lavoreremo all’insegna dell’unità e della solidarietà a vantaggio di tutti i cittadini, di tutte le imprese e di tutti gli Stati membri dell’UE.”

E ancora i leader prendono impegni su due aspetti davvero strategici: la trasformazione digitale e le competenze specialistiche con le rispettive asserzioni facenti parte anch’esse della Dichiarazione di Budapest.

Con la prima si impegnano a “rafforzare le capacità tecnologiche dell’UE, accelerare la trasformazione digitale in tutte le industrie, cogliere le opportunità offerte dall’economia dei dati, garantendo nel contempo riservatezza e sicurezza, e favorire lo sviluppo di tecnologie innovative”.

Con il secondo impegno i leader europei mirano a “sfruttare i talenti dell’Europa e investire nelle competenze al fine di promuovere posti di lavoro di alta qualità in tutta l’Unione”

L’obiettivo è quello di puntare a rafforzare il dialogo sociale, a difendere le pari opportunità e a ridurre le disuguaglianze, in linea con il pilastro europeo dei diritti sociali.

Formazione e competenze digitali per la sicurezza informatica

In particolare il tema delle competenze dovrebbe essere sviluppato sensibilmente con adeguati investimenti sia per creare le nuove conoscenze che serviranno a gestire le nuove tecnologie, sia per innovare drasticamente i percorsi scolastici ad ogni livello.

L’anno europeo delle competenze lanciato dalla Commissione Europea (maggio 2023-maggio 2024) si era legato ad altre iniziative precedenti fra le quali spicca il Piano per l’istruzione digitale 2021-2027.

Si tratta peraltro di iniziative per le quali si attinge a finanziamenti dell’UE.

È ormai opinione consolidata che serva una riqualificazione della forza lavoro per affrontare e gestire i processi di digitalizzazione; più difficile è risultato far maturare la consapevolezza che tale passaggio costituisce l’architrave della competitività.

Investimenti e mercato della cybersecurity in Italia

La Dichiarazione di Budapest riporta anche un impegno sfidante relativo alla R&S ponendo per l’Europa un obiettivo del 3% del PIL entro il 2030.

A seguito della redazione delle due relazioni e dell’adozione delle proposte in esse contenute da parte dei vertici delle Istituzioni europee, per il tramite di diverse iniziative anche regolamentari, ci si chiede come stia procedendo lo sviluppo del mercato digitale e cyber in particolare.

Oggi non persistono più molti dubbi sul principio che l’adozione di misure di protezione cyber e l’acquisizione di altrettanto importanti misure di prevenzione, rappresentino una spinta effettiva ed efficace al potenziamento dei sistemi pubblici e privati, nonostante la presenza di segnali contrari, talvolta anche

Con i passaggi sopra riportati si sono scoperte connessioni molto strette tra produttività, tecnologie emergenti, formazione, competitività, questione cyber, gestione del rischio informatico, ricerca e sviluppo, intelligenza artificiale, quantum computing e forse potremmo continuare.

La digitalizzazione ha aperto la porta agli attacchi informatici, per le ragioni ormai note non più soltanto agli specialisti del settore.

Il percorso della crescita della consapevolezza della portata della trasformazione digitale continua ad essere molto faticoso e, anche se le iniziative di sensibilizzazione sono in forte aumento, spinte anche dalla direttiva NIS e dalla NIS 2, non si sono ancora raggiunti traguardi significativi.

Si deve progredire molto di più sulla prevenzione e sulla capacità di proteggersi soprattutto da parte delle PMI, ovviamente senza trascurare i segmenti delle microimprese e tutta la filiera della supply chain.

Questi adempimenti non si gestiscono con una cultura inadeguata o con piccoli corsi di formazione estemporanei; servono iniziative radicalmente diverse, immediate e forse anche visionarie per riformare interi percorsi scolastici dalla radice.

Probabilmente la meritoria introduzione degli Istituti Tecnici Specialistici non sarà sufficiente; le buone pratiche cyber dovranno entrare di diritto nei programmi del ciclo primario.

Sembra inoltre che al punto in cui siamo arrivati, si possono ragionevolmente attivare anche delle valutazioni numeriche di alcuni aspetti legati alla produttività, agli oneri economico-finanziari e agli investimenti che la trasformazione digitale si sta portando dietro.

Diversi Osservatori raccolgono ormai dati sugli attacchi informatici, sui soggetti colpiti e arrivano le prime stime degli impatti in termini economico-finanziari e indicazioni più chiare sugli investimenti da attuare.

Dall’Osservatorio del Politecnico di Milano su “Cybersecurity e Data Protection” (convegno su Cyber Divide del 27 febbraio 2025) si apprende che il mercato della cybersecurity è cresciuto del 15%, arrivando a 2,48 mld di euro; nel 2025 è previsto un ulteriore aumento, mentre i dati relativi agli anni precedenti segnalavano una crescita del 16% nel 2023 e del 18%nel 2022.

Risulta inoltre che il 73% delle imprese più grandi è stata attaccata almeno una volta nel 2024.

Le aziende cominciano a valutare il rischio cyber come serio rischio d’impresa e nel 57% dei casi, le grandi organizzazioni vedono la sicurezza informatica come priorità di investimento nel digitale.

L’Italia risulterebbe tuttavia ancora all’ultimo posto tra i membri del G7 nel rapporto tra spesa in cybersecurity e PIL.

Quanto a nuove competenze introdotte nelle aziende, uno dei fenomeni più interessanti risulta la nomina dei CISO da parte di sempre più numerose aziende, al pari dell’introduzione di una figura specialistica, con compiti simili a quelli dei CISO, nella Pubblica Amministrazione.

Dalla loro esperienza possono provenire informazioni pregiate, dati condivisibili e soluzioni utilizzabili su più larga scala.

Evoluzione delle minacce e ruolo dell’intelligenza artificiale

Il CISO, si rammenta, ha fra i suoi compiti quello di fronteggiare le minacce cyber, identificare e gestire i rischi, valutare le misure da adottarsi, sia a livello obbligatorio che volontaristico, e quello di tradurre gli investimenti in cybersecurity in vantaggio competitivo, compito peraltro fra i più ardui.

Secondo i CISO, come ormai noto da tempo, molti attacchi informatici vanno a buon fine per obsolescenza delle infrastrutture e per il fattore umano; oggi invece, fra le cause di successo di un attacco, per il 33% dei CISO, va ad aggiungersi anche l’adozione di soluzioni di AI che in effetti aumentano l’esposizione al rischio cyber.

Implementazione della direttiva NIS 2 e impatti economici

Dal Report di Enisa, invece, edizione dell’anno corrente, emergono alcuni risultati interessanti a valle della NIS 2.

Enisa riporta la notizia che al 28 novembre 2024 solo 4 Stati Membri hanno recepito la Direttiva nuova (Italia, Belgio, Croazia, Lituania).

Il livello di consapevolezza sulla NIS 2 e sugli obblighi e compiti previsti registra l’Italia al quinto posto con il 96%.

Il Report di Enisa riporta come di consueto molte altre informazioni aggiornate sulle conseguenze degli investimenti effettuati nei vari Stati Membri dell’Unione; ad esso si aggiunge la pubblicazione di una guida, in data 15 maggio 2025, a beneficio di Autorità nazionali o di settore, relativamente alla cybersecurity e alla resilienza dei settori critici a livello nazionale, regionale o europeo per quanto riguarda la direttiva NIS 2, ma anche i soggetti interessati dalla direttiva DORA o la direttiva CER.

È altresì significativo quanto si desume dalle statistiche riferite al 2024 presenti nell’“IBM security, cost of a data breach report”; l’Italia è quinta tra i Paesi considerati dallo studio, con un costo medio per singolo data breach di circa cinque milioni di dollari.

Sarebbe opportuno che oltre alle caratteristiche tecniche degli attacchi, venissero diffusi presso il top management di qualsiasi azienda privata, anche i costi relativi alle più varie tipologie di violazioni; la consapevolezza degli impegni finanziari eventualmente da sostenersi potrebbero indurre ad adottare forme più intense di protezione e comportamenti virtuosi, nonché adeguati investimenti in termini di prevenzione.

Competitività nazionale e benchmark europei nella cybersecurity

Il Rapporto sulla Competitività rilasciato da I-COM “COMPETITIVITÀ ALLA PROVA DELLA CYBERSECURITY. La sicurezza informatica in Italia e in Europa tra innovazione e regole”, presentato il 18 marzo 2025, analizza la situazione di sviluppo dei vari profili della cybersecurity in relazione alla competitività del Paese.

Tra questi riveste interesse la percezione delle imprese rispetto al quadro regolatorio europeo e nazionale, spesso in sintonia sulle segnalazioni contenute nel Rapporto Draghi.

A tal fine l’Istituto per la Competitività (I-Com) ha svolto un’indagine, che ha interessato in questa edizione 150 imprese appartenenti a vari settori.

Il Rapporto ISTAT, presentato il 25 maggio 2025, segnala che l’Italia registra ancora un ritardo riguardo al capitale umano qualificato che si porta come conseguenza una minor capacità di lavoro nei settori delle tecnologie digitali per le quali sono richieste competenze specializzate. Tra le più grandi economie europee, l’Italia ha la più bassa diffusione di specialisti in ICT (pur crescendo) e si registra una carenza notevole nella diffusione dell’AI.

Il Rapporto Istat indica che le imprese che utilizzano l’AI in Italia sono l’8% mentre in Germania toccano quasi il 20%.

La diffusione degli specialisti in ICT, pure se in crescita, è la più bassa tra le maggiori economie europee, ed emerge un deficit crescente nella diffusione dell’intelligenza artificiale, con solo l’8 per cento delle imprese che la utilizza contro il quasi 20 per cento in Germania.

Prospettive future: semplificazione normativa e resilienza digitale

Quanto alle competenze digitali, in Italia risultano sotto la media europea; gli obiettivi europei, peraltro, contano di arrivare all’80% il 2030. Gli ostacoli che impediscono i miglioramenti si rinvengono nelle forti differenze territoriali, nelle disparità generazionali e in quelle legate al grado di istruzione posseduto.

Auspichiamo che un vero programma di sfoltimento delle norme a livello europeo e di semplificazione amministrativa favorisca l’applicazione puntuale dei diversi adempimenti.

Poter contare su un framework nel quale norme, compiti e responsabilità sono più semplici e chiare possibile è garanzia di sviluppo e resilienza del complesso sistema degli attori coinvolti, siano essi soggetti pubblici, privati, Autorità, singoli cittadini.