Il primo agosto 2025 è stato pubblicato in Gazzetta Ufficiale il Dpcm n. 111 che aggiorna la normativa sul perimetro di sicurezza nazionale cibernetica, introducendo una nuova categoria di incidenti legata agli accessi non autorizzati o con abuso di privilegi.

Un’evoluzione necessaria che ci offre l’occasione per fare il punto su un sistema di protezione che coinvolge centinaia di soggetti pubblici e privati strategici per il Paese.

Ecco chi rientra in questo perimetro, quali sono i criteri di inclusione e soprattutto, come capire se la propria organizzazione ne faccia parte.

L’evoluzione di una necessità: proteggere l’infrastruttura digitale del Paese

Partiamo da una considerazione che spesso diamo per scontata. La nostra società dipende sempre più da sistemi informativi interconnessi. Non si tratta solo di comodità o efficienza, ma di vera e propria sopravvivenza del sistema Paese.

Quando parliamo di perimetro di sicurezza nazionale cibernetica, stiamo parlando di quella rete di protezione che avvolge le infrastrutture digitali senza le quali l’Italia semplicemente smetterebbe di funzionare.

Il decreto del 4 giugno 2025 rappresenta l’ultimo tassello di un percorso iniziato nel 2019 con il decreto-legge 105, convertito nella legge 133 dello stesso anno. Ma perché proprio ora questa modifica? La risposta sta nell’evoluzione delle minacce.

Le attività di accesso non autorizzato alle reti e ai sistemi informatici, anche quando effettuate da personale interno che abusa dei propri privilegi, costituiscono oggi una delle principali vulnerabilità delle nostre infrastrutture critiche.

Tante volte abbiamo letto di data breach causati non da sofisticati attacchi esterni, ma da dipendenti che hanno utilizzato in modo improprio le proprie credenziali.

Il legislatore ha riconosciuto che questi comportamenti, apparentemente meno eclatanti di un cyberattacco, possono causare danni altrettanto gravi alla riservatezza dei dati e alla sicurezza nazionale.

Da qui nasce la necessità di aggiornare la tassonomia degli incidenti, introducendo la categoria ICP-A-20 specificatamente dedicata a questi eventi.

Ma facciamo un passo indietro e cerchiamo di capire cosa sia realmente questo perimetro di sicurezza nazionale cibernetica.

Un ecosistema complesso: comprendere il perimetro di
sicurezza nazionale

Non stiamo parlando di un muro digitale o di un firewall nazionale, bensì di un sistema di governance condivisa che identifica, protegge e monitora quelle realtà pubbliche e private il cui funzionamento è essenziale per la sicurezza e il benessere del Paese.

Il concetto chiave è la dipendenza tecnologica. Un soggetto rientra nel perimetro quando svolge funzioni essenziali dello Stato o eroga servizi essenziali, e quando l’esercizio di tali funzioni o servizi dipende dall’utilizzo di reti, sistemi informativi e servizi informatici.

È questa dipendenza che crea la vulnerabilità: se questi sistemi vengono compromessi, le conseguenze possono riverberarsi sull’intero sistema Paese.
La normativa stabilisce criteri precisi ma al tempo stesso flessibili. Non si tratta di una lista chiusa e immutabile, ma di un sistema dinamico che si adatta all’evoluzione tecnologica e alle nuove minacce.

Questo approccio garantisce che il perimetro possa includere nuovi soggetti man mano che emergono nuove criticità o che determinati servizi assumono rilevanza strategica.

Veniamo ora al cuore della questione: quali sono i settori considerati strategici e chi decide l’inclusione nel perimetro.

I settori strategici: una mappa dell’Italia che conta

Il DPCM 131/2020 ha definito undici settori, ciascuno con la propria amministrazione competente che svolge il ruolo di “guardiano” per l’identificazione dei soggetti critici.

Il settore governativo rappresenta il nucleo centrale, comprendendo le attività delle amministrazioni del Comitato interministeriale per la sicurezza della Repubblica.

Qui troviamo la Presidenza del Consiglio e i ministeri chiave per la sicurezza nazionale, con la Presidenza del Consiglio che coordina l’identificazione dei soggetti in raccordo con le altre amministrazioni.

Il ministero dell’Interno vigila sul suo settore di competenza, che include tutte quelle attività fondamentali per la tutela dell’ordine e della sicurezza pubblica. Stiamo parlando delle banche dati delle forze dell’ordine, dei sistemi di controllo del territorio, delle infrastrutture per la prevenzione e repressione dei reati. Ogni cittadino beneficia quotidianamente di questi servizi, spesso senza rendersene conto.

Parallelamente, il ministero della Difesa supervisiona il settore della difesa nazionale e della sicurezza militare dello Stato. Non si tratta solo di sistemi d’arma o comunicazioni militari, ma di tutta quella complessa infrastruttura digitale che garantisce la capacità di difesa del Paese in un’epoca in cui i conflitti si combattono sempre più nel cyberspazio.

Il settore spazio e aerospazio, coordinato dalla Presidenza del Consiglio in raccordo con le amministrazioni interessate, riflette l’importanza crescente delle infrastrutture satellitari e aerospaziali.

Dai sistemi di navigazione alle telecomunicazioni satellitari, passando per l’osservazione della Terra, questo settore è diventato cruciale per numerosissime attività civili e militari.

Energia

L’energia è forse il settore che più immediatamente comprendiamo come critico. Sotto la supervisione del Ministero delle Imprese e del Made in Italy (ex MISE), include la produzione, il trasporto e la distribuzione di energia elettrica, gas e prodotti petroliferi.
Immaginate cosa accadrebbe se i sistemi di controllo delle reti elettriche o dei gasdotti venissero compromessi: blackout, interruzioni delle forniture, paralisi di intere regioni.

Tlc

Strettamente connesso è il settore delle telecomunicazioni, anch’esso sotto il MIMIT.

Le reti di comunicazione elettronica non sono più solo telefoni e internet, ma l’infrastruttura nervosa attraverso cui transitano tutti i dati della società digitale. La loro protezione è fondamentale per garantire non solo le comunicazioni, ma l’intero ecosistema digitale nazionale.

Economia e finanza

Il settore economia e finanza, coordinato dal MEF in raccordo con Banca d’Italia, Consob, Ivass e Covip abbraccia il sistema bancario, i mercati finanziari, i sistemi di pagamento e le infrastrutture dei mercati finanziari. In un’epoca di pagamenti digitali e trading algoritmico, la sicurezza di questi sistemi è letteralmente questione di stabilità economica nazionale.

Trasporti

I trasporti, sotto il Ministero delle Infrastrutture e dei Trasporti, comprendono le modalità aeree, ferroviarie, marittime e stradali di rilevanza nazionale. Non parliamo solo di sistemi di prenotazione o logistica, ma dei sistemi di controllo del traffico aereo, di segnalamento ferroviario, di gestione portuale che garantiscono la sicurezza di milioni di viaggiatori ogni giorno.

Servizi digitali

Il settore dei servizi digitali rappresenta la nuova frontiera, coordinato dalla struttura della Presidenza del Consiglio competente per l’innovazione tecnologica. Motori di ricerca, servizi cloud, piattaforme di e-commerce di rilevanza nazionale: servizi che sono diventati essenziali per cittadini e imprese, la cui interruzione potrebbe causare danni economici e sociali significativi.

Tecnologie critiche

Particolarmente interessante è il settore delle tecnologie critiche, gestito sempre dalla Presidenza del Consiglio in raccordo con MIMIT e Ministero dell’Università e della Ricerca.

Qui troviamo l’intelligenza artificiale, la robotica, i semiconduttori, la cibersicurezza stessa, le nanotecnologie e le biotecnologie.

È il settore che guarda al futuro, riconoscendo che il controllo di queste tecnologie emergenti sarà cruciale per l’autonomia strategica del Paese.

Enti previdenziali e del lavoro

Infine, il settore degli enti previdenziali e del lavoro, sotto il Ministero del Lavoro e delle Politiche Sociali, riconosce l’importanza dei sistemi che gestiscono pensioni, sussidi e prestazioni sociali. La loro compromissione non causerebbe solo disagi amministrativi, ma potrebbe minare la coesione sociale stessa.

Le funzioni essenziali: il cuore pulsante dello Stato digitale

Ma cosa significa concretamente svolgere una “funzione essenziale dello Stato”? La normativa identifica sei macro-aree che rappresentano il cuore pulsante dell’apparato statale nell’era digitale.

La continuità dell’azione di Governo e degli Organi costituzionali non è solo una questione di computer che funzionano a Palazzo Chigi o in Parlamento.

È la garanzia che le istituzioni democratiche possano operare anche in caso di attacco cibernetico, che le decisioni possano essere prese e comunicate, che la catena di comando rimanga integra.

Pensate a cosa significherebbe se un attacco paralizzasse le comunicazioni governative durante una crisi internazionale.

La sicurezza interna ed esterna e la difesa dello Stato si concretizzano nella protezione dei sistemi informativi militari e di intelligence.

Ma non solo: anche i sistemi di allerta precoce, le reti di comunicazione sicure, le infrastrutture di comando e controllo. In un mondo dove la guerra ibrida è la norma, proteggere questi sistemi significa proteggere la sovranità nazionale.

Le relazioni internazionali passano sempre più attraverso canali digitali. La tutela delle comunicazioni diplomatiche, dei sistemi informativi del Ministero degli Esteri, delle reti che collegano ambasciate e consolati non è solo questione di riservatezza, ma di capacità del Paese di agire sulla scena internazionale.

Sicurezza e ordine pubblico dipendono ormai indissolubilmente dai sistemi informativi. Le banche dati delle forze dell’ordine contengono informazioni sensibilissime, dai precedenti penali alle indagini in corso. I sistemi di videosorveglianza urbana, le centrali operative, i sistemi di gestione delle emergenze: tutto questo forma un ecosistema digitale la cui compromissione metterebbe a rischio la sicurezza dei cittadini.

L’amministrazione della giustizia si basa sempre più su sistemi digitali. Dal processo telematico alle banche dati giudiziarie, dalla gestione delle carceri ai casellari giudiziali, l’intero sistema giustizia dipende da infrastrutture informatiche la cui integrità è essenziale per garantire il diritto fondamentale a un processo equo.

La funzionalità dei sistemi economico-finanziario e dei trasporti chiude il cerchio, riconoscendo che senza banche funzionanti, borse operative, sistemi di pagamento efficienti e trasporti sicuri, l’intero sistema economico e sociale collasserebbe.

I servizi essenziali: quando il privato diventa strategico

Accanto alle funzioni essenziali dello Stato, il perimetro include anche soggetti privati che erogano servizi essenziali. Questa è forse una delle intuizioni più importanti della normativa: riconoscere che nell’economia moderna la distinzione tra pubblico e privato sfuma quando si parla di servizi critici.

I servizi essenziali sono definiti attraverso quattro categorie che riflettono la complessità della società contemporanea.

Le attività strumentali all’esercizio di funzioni essenziali comprendono tutti quei servizi di supporto tecnologico e infrastrutturale senza i quali le funzioni statali non potrebbero essere svolte. Pensiamo ai fornitori di connettività per le amministrazioni pubbliche, ai gestori di data center che ospitano dati sensibili, alle aziende che forniscono servizi di sicurezza informatica alle istituzioni.

Le attività necessarie per l’esercizio e il godimento dei diritti fondamentali rappresentano un’altra categoria cruciale.

L’accesso ai servizi sanitari digitalizzati, la possibilità di interagire con la pubblica amministrazione online, l’accesso all’istruzione digitale: sono tutti servizi che,
se compromessi, lederebbero diritti costituzionalmente garantiti.

La continuità degli approvvigionamenti e l’efficienza delle infrastrutture e della logistica formano la terza categoria. In un’economia just-in-time, i sistemi di gestione della supply chain, le piattaforme di coordinamento logistico, i sistemi di gestione delle scorte strategiche diventano critici quanto le infrastrutture fisiche che supportano.

Infine, le attività di ricerca e produzione nel campo dell’alta tecnologia riconoscono l’importanza dell’innovazione per l’autonomia strategica nazionale. Chi produce semiconduttori, chi sviluppa tecnologie 5G, chi lavora sull’intelligenza artificiale non sta solo facendo business: sta contribuendo a mantenere il Paese competitivo e indipendente in settori che definiranno il futuro.

Il processo di individuazione: trasparenza e sicurezza in equilibrio

Come avviene concretamente l’inclusione di un soggetto nel perimetro? Il processo è stato disegnato per bilanciare trasparenza e sicurezza, coinvolgimento delle parti interessate e protezione delle informazioni sensibili.

Il percorso inizia con le amministrazioni competenti per settore, che svolgono un’istruttoria approfondita per identificare i soggetti che soddisfano i criteri.

Non si tratta di un processo arbitrario: ogni proposta deve essere motivata, documentata, basata su criteri oggettivi di criticità e impatto potenziale.
Le proposte vengono poi esaminate dal Tavolo interministeriale per l’attuazione del perimetro di sicurezza nazionale cibernetica, presieduto dall’Agenzia per la Cybersicurezza Nazionale.

Questo organismo tecnico valuta la coerenza delle proposte, evita duplicazioni o lacune, garantisce un approccio uniforme tra i diversi settori.

Il Comitato Interministeriale per la Cybersicurezza (CIC) riceve le proposte validate e formula la proposta finale al Presidente del Consiglio dei ministri. È a questo livello che si realizza la sintesi tra valutazioni tecniche e considerazioni strategico-politiche.

L’atto di individuazione firmato dal Presidente del Consiglio non viene pubblicato, per ovvie ragioni di sicurezza. Rendere pubblica la lista completa dei soggetti critici equivarrebbe a fornire una mappa delle vulnerabilità nazionali a potenziali aggressori.

Ogni soggetto riceve invece una comunicazione diretta dall’ACN con l’indicazione specifica della funzione o del servizio essenziale per cui è stato incluso.

Questo processo non è statico. L’elenco viene aggiornato periodicamente per riflettere l’evoluzione del panorama tecnologico e delle minacce. Nuovi soggetti possono essere inclusi, altri possono uscire dal perimetro se la loro criticità diminuisce. È un sistema vivo, che respira con il Paese.

Le 223 funzioni essenziali: la granularità della protezione

Il 15 giugno 2021 ha segnato un momento cruciale nell’evoluzione del perimetro.

Il Presidente del Consiglio Mario Draghi ha approvato l’ampliamento proposto dal CISR, portando all’identificazione di 223 funzioni essenziali dello Stato. Questo numero, apparentemente arido, racconta in realtà la complessità dello Stato moderno.

Ogni funzione rappresenta un tassello specifico del mosaico nazionale. Non si tratta più solo di macro-categorie, ma di una mappatura dettagliata di ogni processo, servizio, attività che mantiene in vita il sistema Paese.

Dalle funzioni più evidenti come la gestione del sistema sanitario nazionale a quelle meno visibili ma altrettanto cruciali come i sistemi di certificazione dell’identità digitale.

Questa granularità permette un approccio chirurgico alla protezione. Invece di imporre misure generiche a intere categorie di soggetti, è possibile calibrare gli obblighi sulla base della specifica funzione svolta. Un approccio che riconosce che non tutte le criticità sono uguali e che le risorse per la cybersicurezza, sempre limitate, devono essere allocate dove il rischio è maggiore.

Le 223 funzioni coprono l’intero spettro delle attività statali e para-statali. Troviamo le funzioni tradizionali di governo e amministrazione, ma anche funzioni emergenti legate alla trasformazione digitale.

La gestione dell’identità digitale nazionale, i servizi di conservazione digitale a norma, le piattaforme di e-procurement pubblico: tutte attività che non esistevano vent’anni fa e che oggi sono essenziali.

Un sistema in evoluzione: preparare il futuro della sicurezza nazionale

Il perimetro di sicurezza nazionale cibernetica non è un punto di arrivo, ma un punto di partenza. Rappresenta il riconoscimento che la sicurezza nazionale nell’era digitale richiede un approccio sistemico, che coinvolga pubblico e privato in uno sforzo comune.

Per i soggetti inclusi nel perimetro, questo significa assumersi responsabilità significative.

Non si tratta solo di adempimenti burocratici, ma di contribuire attivamente alla resilienza nazionale. Le misure di sicurezza da implementare, le notifiche di incidente da effettuare, i controlli da subire sono tutti tasselli di un sistema che funziona solo se ogni componente fa la sua parte.

Per chi ancora non è incluso ma opera in settori potenzialmente critici, è il momento di prepararsi.

L’evoluzione tecnologica e geopolitica porterà inevitabilmente all’ampliamento del perimetro. Meglio arrivare preparati che dover correre ai ripari sotto la pressione degli obblighi normativi.

La creazione dell’Agenzia per la Cybersicurezza Nazionale ha dato al sistema un centro di coordinamento forte.

Non più competenze frammentate tra ministeri e agenzie, ma un punto di riferimento unico per tutti gli aspetti della sicurezza cibernetica nazionale. Questo facilita il dialogo tra pubblico e privato, standardizza le procedure, crea economie di scala nella risposta alle minacce.

Il Dpcm del 4 giugno 2025 con la sua nuova categoria di incidenti ci ricorda che il panorama delle minacce evolve costantemente.

Oggi il focus è sugli abusi di privilegi interni, domani potrebbe essere su minacce che ancora non immaginiamo. Il perimetro deve rimanere flessibile, adattivo, capace di evolvere con le minacce.