Cybersecurity e cloud PA: il rischio corre lungo la supply chain digitale
L’attacco informatico che avrebbe colpito Sistemi Informativi, società controllata da IBM attiva nella progettazione e realizzazione di soluzioni IT e nella gestione di infrastrutture tecnologiche per la Pubblica Amministrazione e grandi aziende, riporta al centro un tema ormai decisivo: la sicurezza digitale degli enti pubblici non dipende soltanto dai sistemi interni, ma anche dalla solidità della supply chain tecnologica.
Secondo Adnkronos, IBM ha confermato di aver identificato e contenuto un incidente di sicurezza informatica, attivando i protocolli di risposta, coinvolgendo esperti interni ed esterni e ripristinando i servizi interessati. La stessa fonte riporta che i sistemi di Sistemi Informativi sono stati stabilizzati e che IBM continua a monitorare l’ambiente mentre proseguono le indagini e la collaborazione con le autorità.
La notizia deve essere trattata con prudenza. Le prime ricostruzioni giornalistiche, in particolare quelle di Repubblica/Italian Tech, riferiscono che Sistemi Informativi sarebbe stata violata da diversi giorni e che restano da chiarire l’eventuale sottrazione di dati, l’estensione dell’accesso e l’effettivo impatto sui sistemi coinvolti. L’attribuzione dell’attacco a gruppi riconducibili a scenari di cyber-spionaggio, così come la durata e la profondità dell’intrusione, richiede accertamenti tecnici e istituzionali.
Il punto centrale, però, va oltre il singolo incidente. Quando un fornitore tecnologico opera a supporto di amministrazioni pubbliche, grandi organizzazioni e infrastrutture digitali complesse, un evento cyber non riguarda più soltanto la sicurezza del soggetto colpito. Può incidere sulla continuità dei servizi, sulla protezione dei dati, sui rapporti contrattuali, sulla responsabilità dei committenti pubblici e sulla capacità dell’intero ecosistema di reagire in modo coordinato.
Secondo quanto riportato da Adnkronos, il Ministro per la Pubblica Amministrazione Paolo Zangrillo ha dichiarato che gli attori istituzionali competenti stanno portando avanti le procedure previste dalla normativa per definire i contorni degli attacchi ai sistemi interessati, con l’obiettivo di tutelare i dati e garantire i servizi. La stessa fonte riferisce che l’Agenzia per la Cybersicurezza Nazionale si è attivata per valutare origine, impatto ed eventuali elementi dei sistemi coinvolti che possano essere stati violati.
È proprio questa dimensione a rendere il caso particolarmente rilevante per la PA digitale. La trasformazione digitale degli ultimi anni ha aumentato il ricorso a fornitori esterni per servizi cloud, piattaforme applicative, manutenzione, gestione documentale, interoperabilità, identità digitale, conservazione, cybersecurity e supporto infrastrutturale. Di conseguenza, la postura di sicurezza dell’ente non può più essere valutata guardando solo al perimetro interno, ma deve includere anche fornitori, subfornitori, ambienti condivisi, credenziali privilegiate, flussi informativi e dati trattati per conto dell’amministrazione.
In questo scenario si colloca anche un’altra notizia recente: Fastweb+Vodafone si è aggiudicata la gara Consip per la fornitura di servizi cloud Amazon Web Services destinati alla Pubblica Amministrazione italiana. L’aggiudicazione riguarda il Lotto 1 dell’accordo quadro per servizi cloud Infrastructure as a Service e Platform as a Service in modalità pubblica, per un valore complessivo di 150 milioni di euro, estendibile fino a 216 milioni di euro.
La notizia non deve essere letta in chiave allarmistica. La migrazione al cloud della PA avviene infatti all’interno di un percorso regolato, nel quale i fornitori cloud che intendono erogare servizi IaaS, PaaS e SaaS destinati alle pubbliche amministrazioni devono ottenere la qualificazione rilasciata dall’Agenzia per la Cybersicurezza Nazionale. Dal 19 gennaio 2023, la qualificazione dei servizi cloud per la PA è di competenza dell’ACN, subentrata ad AGID; il Regolamento unico per infrastrutture e servizi cloud per la PA è stato adottato da ACN con Decreto Direttoriale n. 21007/24 del 27 giugno 2024.
Proprio per questo, però, il tema non si esaurisce nella verifica formale della qualificazione. La scelta di servizi cloud, piattaforme e infrastrutture digitali richiede alle amministrazioni una valutazione più ampia, che tenga conto della classificazione dei dati e dei servizi, della localizzazione e gestione delle informazioni, dei rischi di dipendenza tecnologica, della continuità operativa, della reversibilità, della subfornitura e dei poteri di audit.
La Strategia Cloud Italia individua la classificazione di dati e servizi come una delle direttrici del modello nazionale, insieme alla qualificazione dei servizi cloud e al Polo Strategico Nazionale. La classificazione distingue i dati e i servizi pubblici in ordinari, critici e strategici, in funzione del danno che una loro compromissione potrebbe provocare al Paese.
L’aggiudicazione Consip e il caso Sistemi Informativi/IBM mostrano quindi due lati dello stesso fenomeno. Da un lato, la Pubblica Amministrazione ha bisogno di infrastrutture digitali evolute, scalabili e qualificate per accelerare la trasformazione dei servizi pubblici. Dall’altro, l’aumento del ricorso a fornitori esterni, piattaforme cloud e ambienti tecnologici complessi impone una governance più matura della supply chain digitale, nella quale sicurezza, privacy, sovranità del dato, clausole contrattuali e controllo operativo siano presidiati lungo tutto il ciclo di vita del rapporto.
Il caso mostra in modo evidente il legame tra cybersecurity, privacy e contratti pubblici IT. Dal punto di vista privacy, occorre comprendere se siano stati coinvolti dati personali, quali categorie di dati siano eventualmente interessate, quali ruoli privacy assumano i soggetti della filiera e quali obblighi di comunicazione o notifica possano derivare dall’incidente. Dal punto di vista contrattuale, diventano decisive le clausole su sicurezza, audit, livelli di servizio, incident response, obblighi informativi, subfornitura, responsabilità e continuità operativa.
La questione è ancora più rilevante nel quadro della disciplina NIS2, recepita in Italia con il D.Lgs. 4 settembre 2024, n. 138, entrato in vigore il 16 ottobre 2024. Il decreto recepisce la Direttiva (UE) 2022/2555 e rafforza il quadro nazionale delle misure per un livello comune elevato di cybersicurezza, con impatti anche sulla gestione del rischio e sulla sicurezza delle catene di approvvigionamento.
Per le amministrazioni, ciò significa rivedere il modo in cui vengono selezionati e monitorati i fornitori digitali. Non basta accertare che il servizio funzioni o che l’operatore possieda determinati requisiti al momento dell’affidamento. Occorre verificare nel tempo l’effettiva capacità del fornitore di prevenire, rilevare, contenere e comunicare gli incidenti, nonché di garantire continuità operativa, segregazione degli ambienti, protezione degli accessi privilegiati e tracciabilità delle attività svolte sui sistemi dell’ente.
Per le imprese che lavorano con la PA, il messaggio è altrettanto chiaro. La sicurezza informatica non è più un requisito tecnico accessorio, ma un elemento competitivo e reputazionale. Chi fornisce servizi digitali a enti pubblici, banche, assicurazioni, utilities o grandi organizzazioni deve essere in grado di dimostrare una governance cyber matura: procedure di incident response, piani di business continuity, controlli sui subfornitori, gestione delle vulnerabilità, logging, backup, formazione del personale e reporting verso i clienti.
Un incidente che coinvolge un fornitore rilevante impone inoltre una verifica immediata su alcuni profili operativi. È necessario ricostruire la timeline dell’evento, individuare i servizi effettivamente coinvolti, controllare gli accessi privilegiati concessi al fornitore, verificare eventuali connessioni con sistemi interni, classificare i dati trattati, analizzare gli obblighi di comunicazione verso clienti e autorità e aggiornare la valutazione del rischio.
La gestione della supply chain digitale richiede quindi un cambio di approccio. Il procurement ICT non può essere separato dalla cybersecurity. Le clausole contrattuali non possono essere separate dalla gestione operativa degli incidenti. La compliance privacy non può essere separata dai flussi tecnici e dai sistemi effettivamente utilizzati. La sicurezza pubblica digitale nasce dall’integrazione tra competenze giuridiche, tecniche, organizzative e di controllo.
In questa prospettiva, la PA è chiamata a rafforzare i propri presidi non solo nella fase di gara, ma lungo tutto il ciclo di vita del rapporto con il fornitore. La qualificazione iniziale dell’operatore, la due diligence cyber, la verifica delle certificazioni, il controllo dei subfornitori, il monitoraggio dei livelli di servizio, gli audit periodici e la gestione delle notifiche di incidente devono diventare parte ordinaria della governance dei contratti digitali.
L’attacco a Sistemi Informativi/IBM, al netto degli accertamenti ancora in corso, conferma dunque una tendenza ormai evidente: la sicurezza della Pubblica Amministrazione non si gioca solo dentro i data center pubblici o sulle piattaforme istituzionali, ma anche nei rapporti con chi progetta, gestisce, ospita e manutiene quei sistemi. La cybersecurity della PA è, sempre di più, cybersecurity della filiera.
Per questo il tema non riguarda soltanto i responsabili IT. Coinvolge RUP, uffici gare, responsabili della transizione digitale, DPO, responsabili anticorruzione, funzioni legali, compliance, internal audit e vertici amministrativi. La resilienza digitale è una responsabilità organizzativa complessiva e richiede processi documentati, ruoli chiari e controlli effettivi.
Il caso conferma infine un principio essenziale: nella PA digitale, la fiducia verso il fornitore deve essere accompagnata dalla verificabilità. La sicurezza non può essere presunta. Deve essere richiesta, contrattualizzata, monitorata e dimostrata.
Potrebbe interessare anche
Tracking pixel nelle email: il Garante Privacy detta le nuove regole per marketing, newsletter e comunicazioni digitali
4 Maggio 2026
