Nel complesso panorama normativo della cyber sicurezza italiana, si cela una contraddizione che merita l’attenzione di chiunque si occupi di sicurezza informatica, compliance normativa e politiche pubbliche.

Si tratta di una tensione apparentemente tecnica, ma dalle implicazioni profonde, che emerge dall’analisi dell’articolo 17 del decreto legislativo 138/2024 di recepimento della direttiva NIS 2 europea.

Il tutto emerge a pochi giorni dallo scadere dei termini di inserimento di tale informazioni nel portale ACN per i soggetti NIS 2.

Il testo che divide: anatomia dell’articolo 17

Al primo sguardo, potrebbe sembrare una sottigliezza burocratica. Tuttavia, come spesso accade nel mondo della cyber sicurezza, i dettagli apparentemente marginali possono rivelare dinamiche sistemiche di grande rilevanza.

In questo caso, ci troviamo di fronte a quello che potremmo definire un “paradosso normativo”: un meccanismo progettato per essere volontario che, attraverso l’interpretazione dell’autorità di controllo, assume caratteristiche
sostanzialmente obbligatorie.

Per comprendere la natura del problema, è necessario partire dal testo normativo. L’articolo 17 del decreto legislativo 138/2024, rubricato “Accordi di condivisione delle informazioni sulla sicurezza informatica”, si presenta con una formulazione che sembra inequivocabile nella sua chiarezza.

Il legislatore stabilisce infatti che i soggetti, rientranti nell’ambito di applicazione del decreto, “possono scambiarsi, su base volontaria, pertinenti informazioni sulla sicurezza informatica”.

La scelta terminologica appare deliberata e precisa. L’uso del verbo potere (“possono“) configura una facoltà, non un obbligo. L’espressione “su base volontaria” rafforza ulteriormente questo carattere discrezionale.

Il testo prosegue specificando le tipologie di informazioni condividibili: minacce informatiche, quasi-incidenti, vulnerabilità, tecniche e procedure, indicatori di compromissione, tattiche avversarie, informazioni specifiche sugli attori delle minacce, allarmi di sicurezza e raccomandazioni concernenti la configurazione degli strumenti di sicurezza informatica.

La finalità dichiarata è chiara e condivisibile: prevenire o rilevare gli incidenti, recuperare dagli stessi o mitigarne l’impatto, aumentando il livello complessivo di sicurezza informatica.

Si tratta, in sostanza, del tentativo di tradurre in norma quello che nel mondo della cybersicurezza è noto come “threat intelligence sharing“, la condivisione collaborativa di informazioni sulle minacce per rafforzare le difese collettive.

L’interpretazione che cambia tutto: la Faq Aci.4

Tuttavia, la comprensione di questo articolo si complica significativamente quando si analizza l’interpretazione fornita dall’Agenzia per la Cybersicurezza Nazionale attraverso le proprie Faq.

La Faq ACI.4, specificamente dedicata agli accordi di condivisione delle informazioni, introduce elementi che sembrano contraddire il carattere volontario stabilito dal legislatore.

La FAQ chiarisce che, “nell’ottica di attuazione progressiva delle prescrizioni del decreto NIS, e nelle more della costituzione di un consenso a livello Unionale”, si configura come condivisione di informazioni sulla sicurezza informatica “lo scambio di informazioni che avviene nel contesto di forniture che hanno oggetto, anche in parte, servizi di sicurezza informatica”.

Questa interpretazione estende automaticamente il perimetro degli accordi soggetti a notifica a una serie di contratti commerciali standard: NOC (Network Operation Centre), MDR (Managed Detection and Response), SOC (Security Operation Centre), CSOC (Cyber Security Operation Centre), CERT (Computer Emergency Response Team), VA/PT (Vulnerability Assessment e Penetration Test), Red Teaming, Cyber Threat Intel.

Il meccanismo che trasforma la volontarietà in obbligo

La trasformazione da volontario a obbligatorio non avviene attraverso un cambio esplicito di terminologia, ma attraverso l’introduzione di un sistema di controlli e sanzioni che ne altera sostanzialmente la natura.

L’Agenzia per la Cybersicurezza Nazionale ha emanato la Determinazione n. 136118/2025 che disciplina specificamente l’articolo 17, introducendo una serie di obblighi procedurali che meritano un’analisi dettagliata.

Il meccanismo funziona secondo questa logica: formalmente, la partecipazione agli accordi di condivisione rimane volontaria.

Tuttavia, una volta che un soggetto decide di partecipare o si trova automaticamente incluso per via dei contratti con fornitori di servizi di cyber sicurezza, scattano una serie di obblighi inderogabili.

Questi includono la notifica tempestiva all’ANC del testo integrale dell’accordo, della denominazione e dell’elenco dei partecipanti, l’aggiornamento entro 14 giorni per qualsiasi modifica, un aggiornamento annuale obbligatorio nel periodo 15 aprile – 31 maggio.

Per gli accordi preesistenti all’entrata in vigore del decreto, è prevista una finestra di notifica che si chiude il 31 maggio 2026.

Il sistema prevede inoltre sanzioni per la mancata notifica, trasformando quello che dovrebbe essere un meccanismo puramente collaborativo in un sistema sorvegliato con conseguenze punitive.

L’attuazione progressiva: giustificazione o espansione
normativa?

L’Agenzia per la Cybersicurezza Nazionale giustifica questa interpretazione rigorosa invocando il principio di “attuazione progressiva” previsto dall’articolo 31 del decreto.

Questo principio conferisce all’Agenzia il potere di definire implementazioni graduate, differenziate per categoria di soggetti e livello di maturità in ambito cyber security.

Tuttavia, emerge qui una questione interpretativa di particolare interesse. Il concetto di attuazione progressiva, nel diritto amministrativo, riguarda tipicamente la gradualità temporale nell’introduzione degli obblighi o delle modalità di implementazione, non la trasformazione sostanziale della natura giuridica degli istituti.

Se il legislatore ha stabilito il carattere volontario della condivisione, fino a che punto l’autorità amministrativa può utilizzare i poteri attuativi per introdurre obblighi sostanziali non esplicitamente contemplati dalla legge delega?

Questa domanda tocca un principio fondamentale del diritto amministrativo: il rapporto tra legge e regolamento, tra volontà del legislatore e discrezionalità dell’amministrazione.

La risposta non è scontata e richiede un’analisi che va oltre la mera interpretazione letterale del testo normativo.

Il contesto europeo: una questione di scelte implementative

Per comprendere meglio la specificità dell’approccio italiano, è utile analizzare come altri Paesi dell’Unione europea stiano implementando l’articolo 29 della direttiva NIS 2 (corrispondente all’articolo 17 del decreto italiano).

La direttiva europea prevede esplicitamente che gli Stati membri garantiscano la condivisione “su base volontaria” con obbligo di notifica della partecipazione, ma lascia ampia discrezionalità nelle modalità implementative.

Le prime analisi comparative suggeriscono che l’Italia ha adottato uno degli approcci più stringenti. Germania, Francia e Paesi Bassi stanno orientandosi verso regimi caratterizzati da minore controllo amministrativo e maggiore enfasi sull’incentivazione della cooperazione spontanea.

Questo non significa necessariamente che l’approccio italiano sia scorretto dal punto di vista giuridico, ma evidenzia che esistevano alternative implementative meno invasive.

La scelta di un approccio più rigoroso potrebbe essere giustificata da considerazioni specifiche del contesto nazionale: il livello di maturità del settore privato in materia di cyber sicurezza, la necessità di accelerare la costruzione di una cultura della condivisione, l’esigenza di garantire un controllo più stretto in settori critici.

Tuttavia, queste giustificazioni devono essere bilanciate con il rispetto del principio di volontarietà stabilito dal legislatore.

Le implicazioni pratiche: costi nascosti della compliance

Dal punto di vista operativo, la contraddizione tra volontarietà formale e obbligatorietà sostanziale genera effetti concreti per i soggetti NIS e i loro fornitori di servizi di cyber sicurezza.

Le organizzazioni si trovano nella paradossale situazione di dover valutare se aderire a meccanismi “volontari” che comportano significativi oneri amministrativi obbligatori.

Questa dinamica è particolarmente evidente nel caso dei contratti con fornitori di servizi di cyber sicurezza.

Molte organizzazioni hanno già in essere contratti per servizi di NOC, SOC, MDR o altre attività che, secondo l’interpretazione dell’ANC, configurano accordi di condivisione soggetti a notifica.

Questo significa che contratti stipulati in precedenza, senza alcuna intenzione di partecipare a meccanismi di condivisione di informazioni, si trovano improvvisamente inclusi nel perimetro degli obblighi di notifica.

Le implicazioni vanno oltre i meri aspetti amministrativi. La necessità di notificare i dettagli degli accordi all’Anc potrebbe richiedere revisioni contrattuali per garantire la conformità alle nuove disposizioni.

Per organizzazioni di dimensioni medie, che potrebbero non avere le risorse per gestire complesse procedure di compliance, questo rappresenta un costo imprevisto e potenzialmente significativo.

Il rischio dell’effetto deterrente

Una delle conseguenze più preoccupanti di questa contraddizione è il potenziale effetto deterrente sulla partecipazione agli accordi di condivisione.

Il paradosso è evidente: un meccanismo progettato per incentivare la cooperazione volontaria tra soggetti pubblici e privati rischia di ottenere l’effetto opposto a causa degli oneri amministrativi associati.

I soggetti potrebbero preferire evitare accordi formali di condivisione, limitandosi a forme informali di scambio di informazioni che sfuggono al perimetro di controllo dell’Anc, ma sono inevitabilmente meno efficaci per la sicurezza nazionale.

Questo comportamento, perfettamente nazionale dal punto di vista dell’organizzazione individuale, potrebbe compromettere l’efficacia complessiva del sistema di cooperazione che la norma intendeva promuovere.

Si crea così quello che in economia comportamentale viene definito un “incentivo perverso“: una regolamentazione che, nel tentativo di raggiungere un obiettivo desiderabile, genera comportamenti che si allontanano da quell’obiettivo.

Nel caso specifico, l’obiettivo della sicurezza nazionale attraverso la condivisione collaborativa di informazioni potrebbe essere compromesso dalla riluttanza dei soggetti privati a formalizzare accordi di cooperazione.

La prospettiva tecnica: sicurezza e burocrazia a confronto

Dal punto di vista puramente tecnico, la condivisione di informazioni di threat intelligence rappresenta una delle pratiche più efficaci per migliorare la postura di sicurezza collettiva.

Gli indicatori di compromissione, le tattiche degli attaccanti, le informazioni su vulnerabilità emergenti hanno valore solo se circolano rapidamente tra i soggetti che possono utilizzarle per rafforzare le proprie difese.

Tuttavia, l’efficacia di questi meccanismi dipende criticamente dalla velocità e dalla spontaneità della condivisione.

Un sistema che introduce significativi friction points burocratici rischia di rallentare processi che, per loro natura, richiedono tempestività.

Questo è particolarmente vero nel contesto delle minacce informatiche, dove la finestra temporale tra la scoperta di una nuova minaccia e la sua neutralizzazione può essere misurata in ore o giorni, non in settimane o mesi.

La questione diventa ancora più complessa quando si considera che molte delle informazioni più preziose per la sicurezza collettiva provengono da contesti informali: conversazioni tra professionisti della sicurezza, condivisioni spontanee durante conferenze o eventi di settore, collaborazioni non strutturate tra team di sicurezza di diverse organizzazioni.

Un sistema troppo rigido rischia di formalizzare eccessivamente processi che traggono la loro efficacia proprio dalla spontaneità e dalla flessibilità.

Domande aperte per il dibattito

L’analisi di questo caso solleva diverse questioni che meritano un approfondimento da parte di esperti di diritto amministrativo, cyber sicurezza e politiche pubbliche.

La prima questione riguarda i limiti dei poteri interpretativi delle autorità amministrative: fino a che punto un’agenzia può utilizzare i propri poteri attuativi per introdurre obblighi sostanziali non esplicitamente previsti dalla legge delega?

La seconda questione concerne l‘equilibrio tra esigenze di controllo pubblico e principi di autonomia privata nel settore della cyber sicurezza. Come si può conciliare la necessità dell’autorità pubblica di monitorare e coordinare le attività di sicurezza con il rispetto dei meccanismi volontari di cooperazione?

Una terza area di indagine riguarda l’efficacia comparativa di diversi modelli di governance della condivisione di informazioni. Esistono evidenze empiriche che dimostrino la superiorità di approcci più o meno dirigistici nella promozione della cooperazione in materia di cyber sicurezza?

Infine, emerge la questione più ampia del rapporto tra sicurezza nazionale e burden amministrativo per le imprese. Come si può garantire che le esigenze di sicurezza collettiva non si traducano in costi sproporzionati per le organizzazioni, particolarmente quelle di dimensioni più contenute?

Verso una risoluzione costruttiva

La contraddizione identificata nell’articolo 17 del decreto NIS non rappresenta necessariamente un difetto fatale della normativa, ma piuttosto un’opportunità per un confronto costruttivo tra diversi stakeholder.

La questione potrebbe essere risolta attraverso diversi percorsi, ciascuno con i propri vantaggi e svantaggi.

Una prima opzione consiste nella revisione delle determinazioni attuative dell’Anc per ridurre il burden amministrativo mantenendo gli obiettivi di sicurezza.

Questo potrebbe includere la semplificazione delle procedure di notifica, l’introduzione di soglie di materialità per gli accordi soggetti a comunicazione, o la creazione di procedure semplificate per tipologie specifiche di contratti.

Una seconda possibilità è rappresentata dall’emanazione di linee guida interpretative più dettagliate che chiariscano definitivamente quali accordi rientrano nel perimetro degli obblighi di notifica e quali no.

Questo aumenterebbe la certezza giuridica per gli operatori e ridurrebbe i costi di compliance associati all’incertezza interpretativa.

Una terza opzione, più radicale, comporterebbe una revisione normativa per chiarire definitivamente l’ambito di applicazione dell’articolo 17 e il rapporto tra volontarietà della partecipazione e obblighi procedurali conseguenti.

Un invito al dialogo

L’obiettivo di questa analisi non è fornire risposte definitive a questioni complesse, ma piuttosto aprire un dialogo informato tra i diversi soggetti interessati: operatori del settore, esperti legali, accademici, funzionari pubblici.

La cyber sicurezza, per sua natura, richiede approcci collaborativi che bilancino efficacia operativa, compliance normativa e sostenibilità organizzativa.

La contraddizione identificata nell’articolo 17 rappresenta un caso di studio particolarmente interessante, perché tocca tutti questi aspetti simultaneamente. La sua risoluzione richiederà probabilmente contributi multidisciplinari che tengano conto tanto degli aspetti giuridici quanto di quelli tecnici e operativi.

In un settore in rapida evoluzione come la cyber sicurezza, la capacità di adattare e perfezionare il quadro normativo sulla base dell’esperienza pratica rappresenta un fattore critico di successo.

La sfida consiste nel mantenere l’agilità necessaria per rispondere efficacemente alle minacce emergenti senza compromettere la stabilità e la prevedibilità che le organizzazioni richiedono per pianificare i propri investimenti in sicurezza.

Il dibattito sull’articolo 17 del decreto NIS potrebbe quindi rappresentare un’occasione preziosa per testare e migliorare i meccanismi di dialogo tra settore pubblico e privato in materia di cyber sicurezza, contribuendo alla costruzione di un sistema normativo più efficace ed equilibrato.