Corrado Giustozzi, consulente strategico e docente universitario di cybersecurity, ci offre un’analisi dettagliata sull’evoluzione informatica in Italia e sul modo in cui istitizioni ed imprese affrontano le sfide contemporanee. Con una carriera che parte dagli anni ’80, Corrado Giustozzi osserva con lucidità i cambiamenti culturali, tecnologici e normativi che hanno plasmato il panorama della cybersicurezza nazionale.
Domanda: con quale ruolo preferisce che mi riferisca a lei?
Corrado Giustozzi: Oltre che docente di cybersecurity sono Chief Strategist di Rexilience, azienda di advisory della quale sono uno dei soci fondatori.
Percezione del rischio cyber
Domanda: Negli ultimi anni la cybersicurezza è diventata sempre più una questione di sicurezza nazionale. Dal suo punto di vista, quanto è cambiata la percezione del rischio cyber nelle istituzioni italiane e nelle imprese rispetto a dieci anni fa?
Corrado Giustozzi: La percezione del rischio è cambiata, la voglia di fare qualcosa non tanto… però diciamo che a furia di parlarne o di reagire alle cose che succedono, la percezione comincia ad esserci. Nelle imprese purtroppo c’è sempre questa convinzione che “succederà a qualcun altro…perché dovrebbe succedere proprio a me?”. Nella pubblica amministrazione direi che la consapevolezza della minaccia è cresciuta, ma si fatica a mettere a terra le contromisure.
Sfide per le aziende italiane con la Direttiva NIS2
Domanda: L’entrata in vigore della direttiva europea Direttiva NIS2 sta ridefinendo il modo in cui le organizzazioni pubbliche e private devono affrontare la sicurezza informatica. Quali sono, secondo lei, le sfide più concrete che le aziende italiane dovranno affrontare nei prossimi anni per adeguarsi davvero a questo nuovo quadro normativo?
Corrado Giustozzi: Qui è importante il “davvero” perché quello che vero – sto avendo molto a che fare con la NIS2 – è che la maggior parte delle imprese private considera questa normativa come una ennesima stramberia dei burocrati di Bruxelles che serve a complicare la vita di quelli che invece devono lavorare. Viene vista come una cosa inutile, un mero adempimento burocratico, un onere incomprensibile; e cercano tutti quanti di fare il meno possibile per mettersi a posto solo sul piano formale, per evitare le pesanti sanzioni. Questo un po’ per una certa superficialità tipicamente italiana, ma anche perché questa normativa è stata comunicata molto male. Credo sia stata vista come una ennesima sorta di legge sulla Privacy, ed affrontata con lo spirito del “basta che ti faccio firmare due cose e sto a posto”. Non è vista come un impegno di sostanza.
Invece è una norma estremamente di sostanza, molto importante e che incide tantissimo sui processi delle aziende. Il suo scopo non è solo quello di non far attaccare la singola azienda ma è quello di proteggere l’intero sistema produttivo ed economico dell’Europa. Perché il concetto è che oggi siamo tutti collegati in un mondo ultra connesso, in una rete di servizi estremamente ramificata: se uno viene attaccato, il suo fermo produce a valle danni all’intera società. Purtroppo però l’aziendina con pochi dipendenti che fa bulloni pensa “a me cosa importa degli hacker?” e non si protegge perché non vede l’aspetto sistemico della norma. Si tratta di un atteggiamento miope ed irresponsabile perché, innanzitutto se ti bloccano la fatturazione rischi di fallire, e comunque se ti rubano i dati e li rivendono ai tuoi concorrenti di fanno un fanno enorme; ma soprattutto perché il fermo della tua produzione provocherà un danno ai tuoi clienti e ai clienti dei tuoi clienti, e quindi sistemico. Quindi è necessario capire la reale portata e il reale valore di questa normativa: non è una cosa strampalata e burocratica soltanto per fare carta, ma una cosa di sostanza che deve essere affrontata per davvero e seriamente. Questa non comprensione della situazione è un problema culturale dovuto in parte ad una cattiva divulgazione che è stata fatta della norma, ma anche ad una certa volontaria ignoranza. Le prescrizioni della NIS2 hanno concettualmente lo stesso obiettivo delle norme relative alla sicurezza del lavoro o della guida: non si tratta di semplice burocrazia per fare carta e basta ma riguardano aspetti sostanziali, e se non le si rispetta qualcuno finirà per farsi male.
Ecco perché non è una cosa che si liquida facendo due documenti in fretta solo per evitare una multa. E non è qualcosa di banale, tanto è vero che è uscita in Gazzetta Ufficiale dell’Unione due anni prima della sua entrata in vigore adozione proprio per dare tempo a tutti di familiarizzare con molto male e le aziende non l’hanno compresa correttamente.
Vulnerabilità dell’ecosistema italiano
Domanda: Negli ultimi report internazionale si parla sempre più spesso di attacchi alle supply chain digitali. Quanto è vulnerabile oggi l’ecosistema italiano – fatto in gran parte di PMI – rispetto a questo tipo di minacce?
Corrado Giustozzi: Enormemente vulnerabile. Quello italiano in particolare, soprattutto con riguardo alle aziende più piccole. E chiaramente anche a livello europeo. Purtroppo, l’imprenditore dell’azienda di trenta persone non si rende conto di essere a rischio, pensa agli hacker dei film di Hollywood col cappuccio e la felpa e non si sente minacciato perché ritiene di non essere un bersaglio interessante.
Invece gli avversari non sono ragazzini: sono organizzazioni criminali transnazionali, ben strutturate, dotate di mezzi e capacità, spesso collegate alle mafie o ai governi. E l’attacco è estorsivo: ti bloccano la fatturazione e se non paghi il riscatto fallisci, sia che tu faccia divani o piastrelle o missili. Così tutte le imprese sono a rischio ma soprattutto quelle medie e piccole, perché le banche o le grandi aziende non si fanno trovare impreparate.
Proprio in questi giorni a Milano c’è il Security Summit di Clusit, nell’ambito del quale viene presentato il Rapporto 2026 sullo stato della sicurezza in Italia in relazione agli attacchi. Sono molti anni che il Clusit presenta questo rapporto, aggiornato oramai due volte l’anno, che contiene dati autorevoli: vengono tra l’altro citati nei rapporti della Polizia Postale e di molte istituzioni nazionali. Ebbene, i dati sono sempre più sconfortanti. Nel 2020 l’Italia raccoglieva solo il 4% degli attacchi mondiali, che era già tanto perché l’Italia non fa il 4% del PIL del mondo; ma adesso è il 12%. Il grande incremento che si è avuto, soprattutto fra il 2021 e il 2023, è dovuto al fatto che soprattutto con il Covid i piccoli imprenditori si sono digitalizzati frettolosamente, tardivamente e senza nessuna premura per la sicurezza. Una volto le piccole e micro imprese italiane non erano “connesse”: oggi lo sono, si sono aperte al mondo e i criminali se ne sono accorti. In questo momento l’Italia è drammaticamente sotto attacco da parte della grande criminalità cibernetica internazionale, soprattutto nella fascia delle PMI.
Intelligenza artificiale e cyberwar spiegata da Corrado Giustozzi
Domanda: L’intelligenza artificiale sta diventando uno strumento sia per la difesa sia per l’attacco informatico. Dal suo osservatorio, stiamo entrando in una fase in cui l’AI cambierà radicalmente il modo in cui si conduce la cyberwar e il cybercrime?
Corrado Giustozzi: Questo è un tema non nuovo perché di usi dell’intelligenza artificiale per l’attacco cyber se ne parla da almeno 15 anni in ambiti soprattutto militari. Quello che è cambiato molto in questo ultimi anni, oltre che ovviamente all’introduzione di nuovi paradigmi come gli LLM e al conseguente aumento della capacità dei sistemi di IA, è soprattutto la facilità dell’accesso a questi sistemi: una volta se li potevano permettere solo grandi organizzazioni con tanti fondi, mentre oggi anche un privato cittadino ha accesso gratuitamente o con costi irrisori a sistemi straordinariamente potenti.
Ciò ha potenzialmente reso accessibile il crimine “assistito dall’AI” a chiunque: oggi l’uomo della strada, anche ignorante della tecnologia, ha a disposizione app di facile uso con le quali può imitare la voce o il volo di chiunque per creare truffe, può confezionare mail di phishing perfette, può farsi aiutare a scrivere software malevolo. tutte cose non nuove in sé, ma che una volta potevano fare solo i professionisti: ora invece le possono fare potenzialmente tutti. Per quanto riguarda la difesa il paradigma è sempre asimmetrico: chi si occupa di scienze militari sa bene che chi si difende è sempre in svantaggio rispetto a chi attacca. L’AI per difendersi è utile, ma da sola non basta. E comunque al momento l’AI è più efficace in attacco che in difesa.
In generale però non vedo l’AI come un cambio di paradigma filosofico enlla conduzione del warfare, ma come l’ennesima evoluzione nell’infinita rincorsa fra la spada e la corazza: io ho inventato la spada per colpirti, allora tu hai creato la corazza, quindi io faccio una spada più forte e tu crei una corazza più protettiva, e così via. Non è un salto quantico, però è un’importante evoluzione che fornisce molte capacità a chi attacca… e alcune a chi difende.
Settori più esposti a rischi sistemici
Domanda: Lei ha lavorato a lungo anche sul tema delle infrastrutture critiche e della protezione del sistema Paese. Quali settori in Italia ritiene oggi più esposti a rischi sistemici dal punto di vista cyber?
Corrado Giustozzi: Riprendo quello che dicevo prima quando accennavamo alla NIS2. Prima di questa norma c’era la NIS1, concepita nel lontano 2013 e attuata nel 2016, di cui però quasi nessuno si accorse perché andava a toccare solo le grandi infrastrutture critica; ora con la NIS2 siamo nella seconda fase, che va invece a toccare le aziende “normali”. La gente pensa che i soggetti più critici siano le grandi infrastrutture di servizi vitali quali ospedali, dighe, ferrovie, centrali elettriche. La NIS2 ci spiega invece che anche le imprese ordinarie e le pubbliche amministrazioni sono critiche, anche quelle piccole, perché tutte erogano servizi o prodotti da cui dipende il funzionamento di innumerevoli filiere produttive e quindi, in definitiva, di tante altre aziende e dell’intera società.
Faccio un esempio recente e sicuramente famoso. Qualche settimana prima di Natale ci fu un evento importante: tre grandi aeroporti europei furono bloccati per molte ore da un “attacco hacker”, come lo descrissero i giornali. In realtà non erano stati attaccati gli aeroporti, ma una singola azienda relativamente piccola che fornisce servizi di bigliettazione. L’attacco era, al solito, di natura estorsiva: i criminali informatici hanno bloccato l’attività della vittima chiedendo il pagamento di un riscatto per ripristinarla. Ma il blocco di questa azienda ha provocato a valanga il blocco dell’operatività degli aeroporti, perché coi servizi di bigliettazione indisponibili gli operatori degli scali non potevano far salire i passeggeri a bordo degli aerei. A livello tecnico tutte le infrastrutture aeroportuali funzionavano, così come gli aerei: però a livello amministrativo non si potevano far salire i passeggeri. Ecco dunque che un incidente ad un soggetto relativamente piccolo in questo ecosistema gigantesco ha bloccato per ore l’operatività dei più grandi scali europei. È questo in definitiva il concetto della NIS: siamo tutti dannatamente importanti, perché ognuno dipende dalla disponibilità dei servizi forniti da qualcun altro. Infatti non si parla più di infrastrutture critiche ma di “operatori di servizi”, classificati a loro volta in importanti o essenziali.
Gap italiano: tecnologia, competenze e consapevolezza
Domanda: Spesso si parla di tecnologie strumenti, ma meno della dimensione culturale del problema. Secondo lei qual è oggi il vero gap dell’Italia?
Corrado Giustozzi: Le competenze, a tutto tondo. L’Italia sta da sempre negli ultimi posti dell’Indice DESI, che misura alfabetizzazione informatica e consapevolezza nell’uso della tecnologia nei Paesi UE. Nel mondo di oggi questa cosa è scandalosa. Siamo sempre penultimi o terzultimi, in quanto a cultura della tecnologia. Qui in Italia soffriamo questa snobistica presunta superiorità della cultura classica verso quella scientifica e tecnica, che fa sì che molte persone si vantino ancora oggi di non saper usare il computer o il cellulare. Ecco, vantarsi di una cosa del genere è come vantarsi di non sapere il congiuntivo! In realtà oggigiorno per usare correttamente la tecnologia non è più necessario essere dei meccanici.
Questo rifiuto della tecnologia fa sì che ci sia una pessima cultura del suo utilizzo. In particolare nelle aziende l’informatica non viene quasi mai considerata un motore di business ma più spesso una rottura di scatole, e non è un tema da consiglio d’amministrazione ma finisce per essere relegato (o delegato) a oscuri tecnici.
Dalla prevenzione alla resilienza digitale
Domanda: Negli ultimi anni si è affermato il concetto di resilienza digitale più che di semplice sicurezza. Come dovrebbe cambiare l’approccio delle organizzazioni?
Corrado Giustozzi: Fino a qualche anno fa la sicurezza informatica si concentrava solo sulla prevenzione. Il mantra era: “se ti proteggi abbastanza, non ti succederà niente”. Questo è semplicemente sbagliato: un’azienda verrà attaccata anche se si protegge. La prevenzione diminuisce la probabilità e l’impatto degli attacchi ma non ne azzera la possibilità. Ecco, resilienza significa essere in grado di continuare a funzionare, di non fermarsi, anche quando l’attacco effettivamente avviene.
La resilienza non è solo questione di tecnica, ma si basa su processi, persone, strutture e organizzazione. Naturalmente va pianificata in anticipo, e richiede tenacia e meticolosità nella definizione e nell’attuazione di tutto ciò che serve ad un’organizzazione per poter assorbire un attacco senza fermarsi, e per essere in grado di ripristinare la piena operatività nel minor tempo possibile e coi minori costi possibili.
Trasformazioni storiche e prospettive future
Domanda: Dopo oltre quarant’anni di evoluzione dell’informatica e della rete, quale trasformazione della sicurezza informatica l’ha colpita di più? Quale cambiamento si aspetta per il prossimo decennio?
Corrado Giustozzi: Ho visto arrivare Internet nel 1986, e ho contribuito a farla diffondere in Italia dal 1990. All’epoca pensavo “Questa è la Rivoluzione”. Oggi invece la rete è piena di analfabeti digitali, complottisti e disinformazione. La tecnologia non ha servito il progresso dell’umanità come speravamo, ma ha amplificato conflitti e competitività anti-razionale.
Domanda in più: Qual è l’errore più grande che abbiamo fanno nello sviluppo della sicurezza digitale?
Corrado Giustozzi: Non abbiamo fatto un vero e proprio errore sulla sicurezza, è la tecnologia ad essersi evoluta in modi non previsti. I protocolli di rete che usiamo oggi sono stati creati negli anni ’70 per condividere risorse in un ambiente universitario fatto di corrispondenti fidati, non per blindare risorse e garantire sicurezza contro soggetti ostili. Quando Internet è stata tolta al mondo accademico e della ricerca, ed è stata aperta al pubblico e alle imprese, sono arrivati i rischi perché si è iniziato ad usarla per veicolare servizi a valore ed informazioni riservate: ma i suoi protocolli non prevedevano meccanismi intrinseci di sicurezza, ed era ormai troppo tardi per cambiarli. I protocolli che usiamo oggi sono ancora quelli del 1974, che non prevedevano meccanismi di protezione contro attività malevole: tutta la sicurezza che abbiamo da allora introdotto nelle infrastrutture di rete non è altro che una serie di retrofit applicati “sopra” le tecnologie originarie, ma la base resta insicura. Non è un errore di progettazione: è colpa delle “nuove” esigenze di impiego della Rete, nate in contrasto rispetto a quelle iniziali.
Tra cybersicurezza, resilienza digitale e percezione del rischio in Italia
L’intervista a Corrado Giustozzi evidenzia come la cybersicurezza non sia più solo una questione tecnica, ma culturale, organizzativa e strategica. Tra normativa europea, attacchi sempre più sofisticati e la diffusione di tecnologie come l’AI, la sfida italiana rimane quella di combinare consapevolezza, resilienza operativa e preparazione concreta, soprattutto nelle PMI, per affrontare efficacemente un panorama digitale sempre più complesso e interconnesso.
