Il cambio al vertice dell’Agenzia per la Cybersicurezza Nazionale (ACN) arriva in uno dei momenti più delicati per la sicurezza digitale italiana. Le dimissioni di Bruno Frattasi e la nomina di Andrea Quacivi a direttore generale dell’Acn non rappresentano soltanto un normale avvicendamento amministrativo.

Quanto accaduto riflette piuttosto una questione molto più profonda: il rapporto irrisolto tra politica, competenze tecniche e governance della cybersicurezza nazionale.

Per capire cosa sta accadendo bisogna partire da un punto spesso trascurato. L’ACN non è un’agenzia tecnica nel senso tradizionale del termine. È un organismo che si muove all’incrocio tra sicurezza nazionale, pubblica amministrazione, intelligence, infrastrutture critiche e trasformazione digitale. Per questo motivo ogni nomina ai suoi vertici assume inevitabilmente un valore strategico.

ACN cambia direttore tra profili tecnici e figure di sistema

L’Agenzia nacque infatti sotto la guida di Roberto Baldoni, figura con un profilo molto più tecnico e accademico, proveniente dal mondo della cybersecurity operativa e della ricerca universitaria. Successivamente con dinamiche proprie della politica, e prive di fondamenti tecnici, arrivò Frattasi, prefetto con lunga esperienza nell’amministrazione dello Stato e nella gestione della sicurezza pubblica.

Con modalità non dissimile oggi si sceglie Andrea Quacivi, un professionista con un percorso professionale principalmente legato a Sogei, la società tecnologica del Ministero dell’Economia e delle Finanze, dove è stato amministratore delegato per alcuni anni. Laureato in Economia e commercio alla Sapienza, Quacivi ha costruito la propria carriera tra consulenza, management, organizzazione aziendale, processi e governance dei sistemi digitali pubblici.

Ed è proprio questo il punto interessante della sua nomina. Quacivi non è un tecnico cyber “puro”, ma nemmeno un profilo esclusivamente amministrativo come Frattasi. Rappresenta piuttosto una figura manageriale cresciuta dentro le infrastrutture digitali dello Stato. Una differenza non banale in una fase in cui la cybersicurezza non riguarda più soltanto malware e incident response, ma resilienza operativa, supply chain, cloud, gestione dei dati, AI e continuità dei servizi pubblici.

Il direttore ACN nel rapporto irrisolto tra cyber e politica

Il problema, tuttavia, va oltre i singoli nomi.

La principale minaccia alla cybersicurezza nazionale, a mio giudizio, è oggi la politica. Non nel senso partitico più superficiale, ma nel modo in cui la politica ha progressivamente trasformato il cyber da questione strategica nazionale a terreno di conquista istituzionale. Negli ultimi anni, compresa finalmente l’importanza della sicurezza informatica, una parte della classe dirigente ha iniziato a considerare le strutture cyber come nuovi centri di potere da presidiare. Il risultato è stato spesso l’inserimento di figure con forte vicinanza politica o amministrativa, ma senza reale esperienza tecnica o operativa nel settore.

Questo problema non riguarda soltanto l’ACN. Attraversa gran parte dell’ecosistema pubblico italiano: società partecipate, enti strategici, task force, advisory board e organismi collegati alla trasformazione digitale.

Nel frattempo, però, la natura stessa delle minacce è cambiata.

ACN, NIS2 e minacce che ridefiniscono la governance della cyber

L’Italia sta entrando nella piena implementazione della direttiva NIS2, che allargherà enormemente il numero di soggetti sottoposti a obblighi cyber. Parallelamente aumentano:

Le minacce in aumento

• gli attacchi ransomware contro infrastrutture critiche;
• le attività di spionaggio legate ad attori statali;
• le campagne di disinformazione;
• gli attacchi alla supply chain software;
• l’utilizzo offensivo dell’intelligenza artificiale.

In questo scenario serve una leadership capace di comprendere non soltanto la dimensione amministrativa della sicurezza, ma anche quella tecnologica e operativa.

ACN nel confronto con i modelli esteri, i diversi direttori

Ed è qui che il confronto internazionale diventa inevitabile.

Stati Uniti, Francia, Regno Unito e Israele

• Negli Stati Uniti, Cybersecurity and Infrastructure Security Agency è stata guidata da figure come Jen Easterly e Chris Krebs, entrambe con forte esperienza operativa nel cyber e nell’intelligence tecnica.
• In Francia, ANSSI è stata guidata da profili come Guillaume Poupard e Vincent Strubel, entrambi ingegneri con background tecnico avanzato.
• Nel Regno Unito, il National Cyber Security Centre è storicamente legato all’ecosistema tecnico-operativo del GCHQ.
• Israele, ancora più chiaramente, costruisce gran parte della propria leadership cyber partendo dall’esperienza maturata nelle unità di intelligence tecnica come la Unit 8200.

Questo non significa che ogni direttore di un’agenzia cyber debba essere necessariamente un hacker o un ingegnere. Sarebbe una semplificazione ingenua. La cybersicurezza nazionale richiede un approccio olistico che includa capacità di coordinamento, gestione istituzionale e visione strategica.

Ma esiste una differenza enorme tra guidare una struttura comprendendone direttamente i problemi tecnici e guidarla esclusivamente attraverso mediazioni burocratiche.

ACN e sovranità tecnologica nella cybersicurezza nazionale

La questione è ancora più rilevante oggi, perché il cyber non è più soltanto sicurezza informatica, ma sovranità tecnologica.

In Italia è vivo il dibattito sull’autonomia digitale mentre dipendiamo strutturalmente da infrastrutture, cloud provider, piattaforme AI e supply chain straniere. In parallelo, il potere computazionale reale si concentra sempre di più nei grandi hyperscaler internazionali e nelle aziende che controllano data center e modelli di intelligenza artificiale sempre più performanti.

In questo scenario, l’ACN dovrebbe rappresentare il centro di gravità della strategia cyber nazionale. Ma per esserlo davvero serve qualcosa che finora è mancato: una filiera tecnica forte.

Ed è probabilmente questo il vero nodo irrisolto. In Italia i profili tecnici raramente arrivano ai vertici delle strutture pubbliche senza trasformarsi prima in figure esclusivamente amministrative. Il sistema premia il percorso burocratico-generalista molto più dell’esperienza specialistica. Così gli esperti cyber migliori spesso restano relegati in ruoli tecnici intermedi, operano prettamente nel privato o peggio ancora decidono di emigrare.

Di questo passo avremo una sola certezza ossia creare un sistema di cybersicurezza basato soprattutto su norme, procedure e governance formale, ma con scarsa capacità concreta di rafforzare la resilienza tecnica del Paese.

La nuova guida ACN e il rischio di una cybersicurezza politicizzata

Ed è qui che la politica diventa il problema principale della cybersicurezza nazionale. Non perché “si occupa” di cyber, ma perché troppo spesso lo fa replicando logiche di occupazione e gestione del consenso tipiche di altri settori amministrativi. Solo che il cyber non funziona così.

Una vulnerabilità non si chiude con un decreto. Un ransomware non si gestisce con una conferenza stampa. Una supply chain compromessa non si mette in sicurezza con equilibri di corrente.

Che cosa può portare Quacivi all’ACN

La nomina di Quacivi apre ora una nuova fase. La sua esperienza in Sogei potrebbe portare all’ACN una cultura più orientata ai processi, alla continuità operativa e alla gestione infrastrutturale. E questo potrebbe essere utile in una fase dominata dalla NIS2 e dalla necessità di trasformare la compliance in resilienza reale.

Ma la domanda di fondo resta aperta: l’Italia vuole davvero costruire una leadership cyber fondata sulle competenze oppure continuerà a trattare la cybersicurezza come un’estensione delle dinamiche tradizionali della politica e dell’amministrazione?

Perché il rischio più grande, oggi, non è soltanto un attacco informatico.

È avere strutture chiamate a difendere il Paese senza una reale cultura tecnica al loro interno.