Bruxelles – L’amministrazione pubblica è un bersaglio tanto ghiotto quanto facile per gli attacchi informatici. Nonostante figuri tra le aree prioritarie d’intervento nella strategia di cybersicurezza dell’UE, la difesa delle infrastrutture digitali pubbliche è rimasta indietro, esponendo a rischi crescenti una serie di servizi fondamentali per la vita dei cittadini. A lanciare l’allarme è l’ENISA, l’Agenzia dell’Unione per la sicurezza informatica, nel suo ultimo rapporto di novembre 2025.
Il settore della pubblica amministrazione (PA), ricorda l’ente con sede ad Atene, è considerato “altamente critico” ai sensi della cosiddetta direttiva NIS2, con cui nel 2022 i co-legislatori a dodici stelle (Eurocamera e Consiglio) hanno aggiornato la normativa in materia. Quelle regole hanno istituito un quadro giuridico unificato per garantire dei livelli minimi di sicurezza in 18 settori critici, esortando gli Stati membri a definire delle strategie nazionali di cybersicurezza.
Eppure, avverte la relazione di ENISA, le infrastrutture digitali della PA rimangono ancora oggi troppo vulnerabili alle azioni malevole, nonostante la loro centralità nella fornitura di servizi indispensabili alla cittadinanza, dall’istruzione all’assistenza sanitaria, dai trasporti alla raccolta dei rifiuti. Il settore “sta ancora sviluppando la propria resilienza in materia di sicurezza informatica”, si legge in un comunicato dell’Agenzia. Tradotto: basta poco per comprometterlo, anche gravemente.
Il rapporto ha analizzato 596 incidenti informatici avvenuti nel 2024, con bersaglio le amministrazioni pubbliche dei Ventisette. Col 38 per cento delle segnalazioni, il settore della PA viene definito come “a rischio” ed è il più colpito nell’UE. Nello specifico, i più colpiti stati i governi centrali (69 per cento del totale), principalmente per mezzo di attacchi ai siti web di Parlamenti, ministeri e autorità o agenzie nazionali.
Tra le tipologie di incidenti più frequenti si annoverano al primo posto i Distributed denial of service (DDoS), consistenti in un sovraccarico di richieste diretto al server preso di mira, che smette di funzionare: rappresentano il 60 per cento del totale, ma solitamente hanno breve durata e producono impatti limitati. Più pericolosi, seppur meno frequenti, le violazioni dei dati e i cosiddetti ransomware, vale a dire dei programmi malevoli (malware) che “infettano” i dispositivi in vario modo, chiedendo ai proprietari di pagare un “riscatto” (ransom) per sbloccare i terminali o i file al loro interno, nel caso venissero cifrati per impedirne l’utilizzo.
Le minacce relative ai dati, spiega l’ENISA, includono sia violazioni in senso stretto (17,4 per cento dei casi) sia esposizioni di dati (1 per cento), e rappresentano il secondo tipo di incidenti più frequenti registrati dalle PA nel 2024. Nel mirino sono finiti sopratutto i servizi per l’impiego, le piattaforme delle amministrazioni locali, nonché i siti di forze dell’ordine e sistemi educativi.
A livello di attori malevoli, il 2,5 per cento degli incidenti totali è costituito da entità legate in qualche modo a poteri statali, responsabili di quelle che l’Agenzia definisce campagne di cyberspionaggio. Una quota esigua ma il cui impatto sulla sicurezza nazionale può rivelarsi “significativo”. La parte del leone – poco meno del 63 per cento – la fanno i cosiddetti hacktivisti, cioè individui o collettivi motivati ideologicamente per la difesa di una causa politica. Gli “operatori di criminalità informatica“, infine, rappresentano circa il 16 per cento del totale.
“Le amministrazioni pubbliche dell’UE rimarranno probabilmente il settore più colpito nel breve-medio termine“, prevede l’ENISA, soprattutto in considerazione delle nuove possibilità offerte dagli sviluppi dell’intelligenza artificiale (IA). Tra i servizi maggiormente sottoposti a rischio, secondo il rapporto, ci sono quelli dei portali fiscali, dei sistemi di identificazione elettronica e della gestione dei lavori dei tribunali.
Cosa fare, quindi? Per contrastare i DDoS, l’Agenzia UE suggerisce di rafforzare i controlli, per migliorare “la resilienza architettonica e la prontezza operativa” anche mediante operazioni come l’iscrizione dei siti critici in una “reti di distribuzione dei contenuti” o la loro protezione con un “firewall per applicazioni web“.
Quanto agli incidenti che coinvolgono i dati, le raccomandazioni includono l’autenticazione a più fattori con accesso condizionato e gestione degli accessi privilegiati. Rispetto ai ransomware, si parla di implementazione di protocolli specifici come l’Endpoint detection and response (EDR). In generale, l’ENISA consiglia poi il miglioramento della preparazione e della risposta e una maggiore collaborazione tra le autorità degli Stati membri, sia a livello domestico sia tra un Paese e l’altro.
