In un contesto globale in cui la sicurezza informatica è sempre più intrecciata con la stabilità geopolitica e la continuità operativa delle infrastrutture critiche, il ruolo degli ISAC (Information Sharing and Analysis Center) assume una centralità crescente. Questi centri di condivisione e cooperazione tra pubblico e privato rappresentano oggi uno dei pilastri della resilienza digitale nazionale.
Per comprendere meglio il valore strategico di questi organismi e la loro evoluzione nel panorama europeo, abbiamo intervistato Ivan Monti, Chief Information Security Officer di Ansaldo Energia, una delle realtà industriali più complesse e sensibili del Paese. Con una visione che intreccia esperienza operativa, prospettiva geopolitica ed innovazione tecnologica, Monti ci accompagna in un’analisi lucida del ruolo degli ISAC nello scambio informativo e nella sicurezza nazionale ed europea.
Gli ISAC rappresentano uno strumento sempre più importante nella cooperazione tra attori pubblici e privati. Dal suo punto di vista, quale valore portano al sistema-Paese in termini di scambio informativo e rafforzamento della sicurezza?
Lavorando in un’azienda che opera nel settore dell’energia e fornisce soluzioni per infrastrutture critiche, ritengo che gli ISAC rappresentino un moltiplicatore di valore strategico per l’intero sistema-Paese.
Dal punto di vista dello scambio informativo, gli ISAC operano secondo un principio fondamentale: “l’unione fa la forza”. Quando una singola organizzazione rileva un’anomalia o un tentativo di attacco, invece di affrontare la situazione in isolamento, condivide immediatamente le informazioni con l’ISAC. Questo meccanismo trasforma un incidente singolo in intelligence collettiva.
L’Italia ha dimostrato una visione strategica all’avanguardia in questo ambito con ISAC Italia, promosso dall’Agenzia per la Cybersicurezza Nazionale (ACN). Questa iniziativa rappresenta un modello di eccellenza che coniuga perfettamente l’approccio collaborativo pubblico-privato con l’obiettivo di rafforzare la resilienza cyber delle nostre infrastrutture critiche. Lo spirito innovativo di ACN nel promuovere la condivisione strutturata di intelligence tra operatori nazionali sta creando un ecosistema di sicurezza che altri Paesi europei guardano come riferimento.
La nostra esperienza diretta attraverso la partecipazione all’ISAC di CDP ha confermato concretamente l’efficacia di questo modello. Grazie a CDP, Ansaldo Energia beneficia di una rete di condivisione informativa che abbraccia settori strategici diversi ma interconnessi: dall’energia alle telecomunicazioni, dai trasporti ai servizi pubblici essenziali. Questa dimensione multi-settoriale può permette di identificare pattern di attacco che talvolta potrebbero non essere facilmente individuabili operando esclusivamente nel perimetro energetico.
Il valore concreto per il sistema-Paese, si manifesta in:
- Riduzione dei tempi di reazione: Attraverso la condivisione tutte le organizzazioni del settore possono implementare contromisure preventive, riducendo drasticamente l’impatto potenziale degli attacchi
- Prevenzione della propagazione delle minacce: Un attacco identificato su un’infrastruttura energetica può essere immediatamente comunicato agli altri operatori, evitando effetti domino tra settori interconnessi
- Ottimizzazione degli investimenti in sicurezza: Condividendo intelligence su minacce specifiche, le organizzazioni evitano di “reinventare la ruota” e possono concentrare le risorse sulle minacce più rilevanti per il contesto nazionale
2. Spesso si parla di ISAC solo in ottica di difesa digitale. In realtà, il loro potenziale va ben oltre. In che modo possono diventare uno strumento strategico per la protezione complessiva delle infrastrutture critiche, considerando anche i rischi fisici, geopolitici e operativi?
La visione tradizionale degli ISAC limitata alla sola difesa digitale è ormai superata.
Nel settore delle infrastrutture critiche, i rischi sono intrinsecamente interconnessi: un attacco cyber può causare danni fisici, un evento geopolitico può generare vulnerabilità operative, un rischio fisico può aprire falle informatiche.
Gli ISAC devono diventare centri di intelligence multidimensionale che integrano:
- Rischi fisici: Monitoraggio di minacce terroristiche, sabotaggi, disastri naturali che possono compromettere la sicurezza degli impianti
- Rischi geopolitici: Analisi delle tensioni internazionali che possono tradursi in attacchi sponsorizzati da stati o gruppi organizzati
- Rischi operativi: Valutazione di vulnerabilità nella supply chain, dipendenze tecnologiche, obsolescenza di sistemi critici
- Convergenza IT/OT: Protezione integrata dei sistemi informativi e dei sistemi di controllo industriale
Per una realtà come Ansaldo Energia, che progetta soluzioni e impianti per centrali elettriche e nucleari in contesti internazionali spesso complessi, questa visione olistica è essenziale. Un ISAC strategico deve essere in grado di correlare un tentativo di cyberattacco con tensioni geopolitiche regionali e vulnerabilità fisiche specifiche degli impianti.
3. Gli ISAC vivono di collaborazione tra soggetti diversi, spesso con priorità e linguaggi lontani (industrie, istituzioni, agenzie di sicurezza). Dal suo punto di vista, quali sono gli ostacoli reali a questa cooperazione e quali leve possono renderla davvero efficace?
Sicuramente ci sono ancora degli ostacoli concreti ma assolutamente superabili con il giusto approccio strategico
Gli ostacoli principali sono:
- Linguaggi tecnici differenti: Industrie, istituzioni e agenzie di sicurezza utilizzano terminologie e framework diversi
- Diversità delle priorità: Un’azienda manifatturiera ha tempi e obiettivi diversi da un’agenzia governativa
- Timori sulla condivisione: Preoccupazioni sulla riservatezza delle informazioni strategiche
- Complessità burocratiche: Processi decisionali lenti che mal si conciliano con la velocità delle minacce
Ritengo siano ostacoli facilmente superabili nel tempo grazie a:
- Standardizzazione dei formati: Adozione di standard internazionali come STIX/TAXII per la condivisione di intelligence
- Governance ibrida: Strutture che coinvolgono sia il settore privato che quello pubblico con ruoli chiari e complementari
- Incentivi tangibili: Benefici concreti per la partecipazione, come accesso prioritario a intelligence governativa o eventuali vantaggi normativi
In generale credo che la fiducia si costruisce gradualmente attraverso la dimostrazione concreta dei benefici reciproci.
4. Oggi la minaccia si muove in tempo reale, mentre la burocrazia ed i processi decisionali sono spesso lenti. Gli ISAC possono ridurre questo gap temporale? Come?
Questa è forse la sfida più critica. Le minacce informatiche operano in millisecondi, mentre i processi decisionali tradizionali richiedono ore o giorni.
Gli ISAC possono ridurre drasticamente questo gap attraverso:
Automazione intelligente:
- Implementazione di sistemi automatizzati che rilevano, analizzano e condividono IOC (indicatori di compromissione) in tempo reale
- Sistemi che eseguono automaticamente protocolli di risposta predefiniti quando si verificano determinate condizioni
Preautorizzazioni operative:
- Protocolli pre-approvati che consentono azioni immediate in caso di minacce specifiche
- Delegation authority per permettere a team tecnici di implementare contromisure senza attendere approvazioni burocratiche
Intelligence predittiva:
- Utilizzo di AI e machine learning per anticipare pattern di attacco e preparare risposte preventive
- Analisi delle vulnerabilità zero-day e distribuzione automatica di patch critiche
Devono avvalersi di sistemi che, rilevando un tentativo di intrusione, attivano automaticamente protocolli di isolamento e notifica simultanea all’ISAC settoriale, riducendo i tempi di reazione da ore a minuti.
5. Quali sono secondo lei i requisiti per evitare che un ISAC diventi solo un “contenitore di dati” e invece diventi un vero acceleratore di intelligence collettiva?
Per evitare la trasformazione in un “contenitore di dati” sterile, un ISAC deve soddisfare requisiti specifici:
Capacità analitica avanzata:
- Team di analisti dedicati che trasformano i dati grezzi in intelligence actionable
- Algoritmi di correlazione che identificano pattern e connessioni non evidenti
- Capacità predittiva per anticipare evoluzione delle minacce
Interattività e feedback:
- Meccanismi di feedback continuo tra membri per validare e arricchire l’intelligence
- Piattaforme collaborative che facilitano la discussione e l’analisi congiunta
- Simulazioni e wargaming per testare scenari di risposta
Cultura della condivisione:
- Programmi di formazione che sviluppano competenze di threat intelligence
- Incentivi per la partecipazione attiva e la condivisione di esperienze
- Eventi di networking e workshop tecnici per rafforzare la community
Personalizzazione dell’intelligence:
- Capacità di adattare le informazioni alle specificità settoriali e aziendali
- Dashboard personalizzati che evidenziano le minacce più rilevanti per ciascun membro
- Integrazione con i sistemi di sicurezza esistenti delle organizzazioni
A questo proposito, è significativo che l’innovazione italiana stia contribuendo concretamente a questa evoluzione.
Sono nate varie iniziative virtuose con soluzioni tecnologiche avanzate come, ad esempio ISACCHAIN, una piattaforma sviluppata in Italia che rappresenta un esempio tangibile di come si possano trasformare gli ISAC da semplici repository a veri acceleratori di intelligence collettiva.
Penso che iniziative come ISACCHAIN rappresentino un approccio più che promettente per affrontare due criticità strutturali: l’integrità dei dati nel tempo e la verificabilità delle informazioni condivise.
Il modello proposto da questa soluzione Made in Italy prevede che ogni informazione inserita nella piattaforma generi automaticamente un’impronta digitale crittografica (hash SHA-256) registrata immutabilmente su blockchain. In teoria, questo dovrebbe garantire che quando un’organizzazione condivide intelligence su un attacco subito mesi prima, l’intera community possa essere matematicamente certa che quei dati non siano stati successivamente modificati o compromessi.
L’aspetto che trovo più interessante dal punto di vista operativo è come questo tipo di approccio potrebbe eliminare i colli di bottiglia temporali che spesso paralizzano la collaborazione negli ISAC tradizionali. ISACCHAIN utilizza ad esempio smart contract su blockchain per automatizzare protocolli di condivisione: in linea teorica, quando un’organizzazione rileva specifici indicatori di compromissione, il sistema dovrebbe automaticamente condividere l’intelligence con gli altri membri dell’ISAC, garantendo al contempo l’immutabilità e la tracciabilità delle informazioni. Un elemento che considero particolarmente rilevante è l’attenzione dedicata alla protezione della reputation di chi condivide informazioni. Stando alle specifiche tecniche della piattaforma, sono state implementate soluzioni di intelligenza artificiale progettate per anonimizzare le informazioni garantendone al contempo l’efficacia operativa nella condivisione. Questa è una sfida tecnica complessa che, se risolta adeguatamente, potrebbe rimuovere uno dei principali freni alla partecipazione attiva negli ISAC.
Il valore aggiunto di soluzioni europee come ISACCHAIN, sviluppate con massima attenzione con le direttive ACN, non è solo tecnologico ma anche strategico: mantenere il controllo sui nostri dati di sicurezza all’interno dell’ecosistema nazionale ed europeo, riducendo la dipendenza da soluzioni extra-UE che potrebbero presentare conflitti di interesse.
6. Per una realtà industriale complessa come Ansaldo Energia, qual è stato il contributo più sorprendente che l’esperienza in un ISAC ha portato alla sicurezza aziendale, al di là delle aspettative iniziali?
Il valore più significativo che gli ISAC apportano a realtà industriali complesse come Ansaldo Energia va ben oltre l’alerting tradizionale e si manifesta in quello che definirei l’effetto moltiplicatore della consapevolezza situazionale. Molte organizzazioni si avvicinano agli ISAC con aspettative limitate al ricevimento di notifiche su minacce cyber dirette, ma i benefici reali possono trasformare completamente l’approccio strategico al risk management.
I benefici strategici che vediamo sono:
- Intelligence geopolitica applicata: Un ISAC maturo può sviluppare la capacità di correlare eventi geopolitici apparentemente distanti con rischi concreti per progetti industriali specifici. La possibilità di identificare pattern predittivi – dove tensioni in determinate regioni precedono sistematicamente campagne di cyberattacco mirate a infrastrutture energetiche in quelle zone – rappresenta un valore strategico inestimabile per aziende che operano in mercati internazionali volatili.
- Supply chain security enhancement: La condivisione di intelligence cross-settoriale può rivelare vulnerabilità nella catena di fornitura che singole organizzazioni difficilmente identificherebbero autonomamente. Fornitori che appaiono affidabili in valutazioni isolate potrebbero mostrare pattern sospetti quando le loro interazioni vengono analizzate attraverso le esperienze aggregate di multiple aziende dell’ISAC.
- Accelerazione dell’innovazione in sicurezza: Il confronto continuo con altri settori può stimolare soluzioni innovative attraverso la contaminazione di approcci diversi. Tecniche di protezione sviluppate nel settore finanziario, ad esempio, potrebbero rivelarsi sorprendentemente applicabili ai sistemi di controllo industriale, generando sinergie impreviste.
- Credibilità istituzionale: La partecipazione attiva negli ISAC può rafforzare significativamente la reputazione aziendale presso clienti e partner internazionali, che sempre più spesso considerano questa adesione come un indicatore tangibile di maturità nella cybersecurity e commitment verso standard collaborativi elevati.
Per un’azienda come Ansaldo Energia, che progetta e gestisce infrastrutture critiche in contesti geopoliticamente sensibili, questi benefici indiretti possono rivelarsi più strategici degli alert diretti, trasformando la partecipazione agli ISAC da costo operativo a vantaggio competitivo sostenibile.
7. In un contesto di tensioni geopolitiche e dipendenza tecnologica dall’estero, crede che gli ISAC possano contribuire a rafforzare la sovranità digitale europea?
Considero gli ISAC strumenti fondamentali per rafforzare l’autonomia strategica europea. La sovranità digitale non può essere costruita in isolamento, ma richiede una collaborazione coordinata tra attori europei che condividano valori e interessi strategici comuni.
Gli ISAC europei rappresentano un’opportunità unica per ridurre la nostra dipendenza da intelligence estera. Attualmente, molte organizzazioni europee si affidano a fonti di threat intelligence provenienti da ecosistemi extra-europei, che inevitabilmente potrebbero presentare conflitti di interesse o priorità geopolitiche non sempre allineate con quelle europee. Sviluppando capacità autonome di raccolta, analisi e condivisione di intelligence attraverso ISAC genuinamente europei, possiamo costruire una base informativa più affidabile e strategicamente coerente.
La standardizzazione rappresenta un altro pilastro fondamentale di questa strategia. Attraverso gli ISAC possiamo promuovere l’adozione coordinata di standard europei per la cybersecurity, creando gradualmente un ecosistema digitale più coeso e resiliente. Questo processo non solo migliora l’interoperabilità tra organizzazioni europee, ma stabilisce anche una base normativa e tecnica che può diventare riferimento globale, invertendo la tradizionale dipendenza da standard sviluppati altrove.
Un aspetto particolarmente strategico riguarda la protezione del know-how industriale europeo. La condivisione di intelligence all’interno di ISAC controllati da attori europei ci permette di proteggere tecnologie critiche e processi innovativi senza doverli esporre a soggetti extra-UE. Per un’azienda come Ansaldo Energia, che sviluppa tecnologie avanzate per infrastrutture energetiche, questa dimensione di protezione della proprietà intellettuale è cruciale per mantenere il vantaggio competitivo.
Gli ISAC facilitano inoltre un processo di capacity building collettivo che mantiene le competenze specialistiche all’interno dell’ecosistema europeo. Invece di vedere talenti e expertise migrare verso centri di eccellenza extra-europei, possiamo creare poli di competenza distribuiti ma interconnessi che rafforzano complessivamente l’indipendenza tecnologica europea.
La mia visione è che gli ISAC europei debbano evolversi verso una confederazione di intelligence che mantenga il vantaggio competitivo dell’industria europea preservando al contempo la cooperazione internazionale necessaria per affrontare minacce globali. Non si tratta di creare un isolamento digitale, ma di costruire una posizione di forza che ci permetta di collaborare da pari con altri attori globali, mantenendo il controllo sui nostri asset strategici e sui nostri dati critici.
8. Immaginando gli ISAC tra dieci anni: resteranno “centri di scambio informativo” o potranno diventare vere community di innovazione, capaci di proporre standard, modelli operativi e persino influenza policy a livello internazionale?
Immaginando gli ISAC del 2035, non vedo semplicemente un’evoluzione possibile, ma una trasformazione che deve necessariamente avvenire per rispondere alle sfide che ci attendono. La complessità crescente delle minacce cyber, la loro interconnessione con rischi geopolitici e fisici, e la velocità di evoluzione tecnologica rendono inevitabile l’evoluzione verso ecosistemi di innovazione cooperativa che vanno ben oltre la semplice condivisione informativa.
Gli ISAC dovranno diventare organismi di standardizzazione de facto, sviluppando e promuovendo best practice che influenzano direttamente normative nazionali e internazionali. Non è più sufficiente reagire agli standard imposti dall’esterno: la nostra esperienza operativa collettiva deve trasformarsi in guidelines operative che abbiano forza vincolante. Questo non è un lusso ma una necessità strategica per mantenere il controllo sui nostri ecosistemi digitali.
Gli ISAC non potranno più rimanere ai margini dei processi normativi – dovranno acquisire influenza diretta sui legislatori, fornendo expertise tecnico basato su evidenze operative concrete. La velocità di evoluzione delle minacce rende impossibile attendere che i policy maker comprendano autonomamente le implicazioni tecniche: gli ISAC dovranno diventare il ponte tra realtà operativa e governance pubblica.
Nascerà necessariamente un ecosistema dove i membri condividono non solo intelligence ma anche soluzioni tecnologiche, servizi specialistici e competenze, creando economie di scala nella sicurezza che singole organizzazioni non potrebbero mai raggiungere. Questo non è idealismo collaborativo, ma pragmatismo economico: i costi della sicurezza stanno crescendo esponenzialmente, e solo approcci cooperativi strutturati potranno renderli sostenibili.
Gli ISAC evolveranno verso modelli di governance ibrida pubblico-privato che bilanciano efficacemente interessi pubblici e privati, non per scelta ma per necessità. Dovranno diventare attori riconosciuti e influenti nel panorama della sicurezza nazionale, perché la distinzione tradizionale tra sicurezza privata e pubblica sta diventando obsoleta di fronte a minacce che colpiscono indifferentemente entrambe le sfere.
La mia convinzione è che questa evoluzione sia non solo possibile ma assolutamente necessaria. Le minacce del futuro – dall’AI weaponization agli attacchi quantistici, dalle guerre ibride agli attacchi alle supply chain globali – richiederanno livelli di cooperazione e innovazione che solo community mature e strutturate potranno garantire. Non è una questione di “se” ma di “quando” e “come” questa trasformazione avverrà.
Gli ISAC che sapranno evolvere in questa direzione diventeranno pilastri dell’architettura di sicurezza globale, mentre quelli che rimarranno ancorati al modello tradizionale di “contenitori di informazioni” non solo perderanno rilevanza strategica, ma diventeranno inadeguati alle sfide che ci attendono.
Vedo negli ISAC non solo uno strumento di protezione attuale, ma il futuro modello obbligato di cooperazione industriale per affrontare sfide che nessuna organizzazione, per quanto grande e sofisticata, potrà gestire autonomamente. Questa non è una visione futuristica, ma una necessità strategica che dobbiamo iniziare a costruire oggi.
Gli ISAC come leva per una sicurezza condivisa e sostenibile
Dalle parole di Ivan Monti emerge con chiarezza come gli ISAC siano veri e propri acceleratori di intelligence collettiva e laboratori di innovazione strategica. La loro forza risiede nella capacità di mettere in rete esperienze, competenze e dati, trasformando la cooperazione in una leva concreta di sicurezza e sviluppo.
In un momento storico caratterizzato da tensioni geopolitiche, transizione energetica e rivoluzione digitale, la sfida sarà far evolvere gli ISAC da semplici centri di scambio a community europee di governance ed innovazione, capaci di influenzare policy, standard e modelli operativi a livello globale. Un obiettivo ambizioso, ma imprescindibile, se l’Europa vuole davvero costruire una sovranità digitale solida, condivisa e sostenibile nel tempo.
