Sovranità digitale e cybersecurity: la sfida italiana ed europea verso il 2030
Sovranità digitale è la parola chiave che lega intelligenza artificiale, quantum computing e cybersecurity nel dibattito inaugurale del Forum ICT Security 2025. Non più solo una questione di difesa, ma il terreno su cui si gioca l’autonomia tecnologica dell’Europa e la capacità dell’Italia di affermarsi come protagonista nello scenario globale.
Questo il filo conduttore della tavola rotonda di apertura del 23° Forum ICT Security, che ha riunito esponenti di primo piano del mondo istituzionale e industriale per tracciare una mappa delle opportunità e delle criticità che il Paese dovrà affrontare nei prossimi anni.
A confrontarsi sul tema sono stati Raffaele Boccardo, AD e Presidente di BV Tech; Alessandra Michelini, Presidente e AD di Telsy; Luca Tagliaretti, Executive Director dello European Cybersecurity Competence Center (ECCC); e Antonio Maria Tambato, Direttore della Direzione Innovazione e Transizione Digitale di AgID. A moderare il dibattito Matteo Lucchetti, Direttore Operativo di Cyber 4.0.
La minaccia che evolve: attacchi AI-driven e quantum computing
Il contesto in cui si inserisce la discussione è tutt’altro che rassicurante.
Matteo Lucchetti ha aperto i lavori richiamando una notizia di pochi giorni prima: il primo attacco di cyberspionaggio completamente realizzato da agenti AI, capaci di eseguire scansioni, individuare vulnerabilità e sfruttarle in modo pressoché automatico. In tale scenario, l’operatore umano è necessario esclusivamente per definire il target da colpire.
A questo si aggiunge la minaccia del quantum computing, che promette di rendere obsoleti gli algoritmi crittografici su cui si fonda l’intera infrastruttura digitale mondiale. «Una sorta di Armageddon» – per usare l’espressione del moderatore – che alcuni esperti collocano al 2030, ma che potrebbe concretizzarsi anche in un orizzonte temporale più vicino.
E poi c’è il dato strutturale: oltre il 70% dei servizi e dei prodotti di cybersecurity utilizzati in Italia è erogato da aziende non nazionali. Una dipendenza tecnologica che pone interrogativi profondi sulla reale autonomia del sistema Paese.
BV Tech racconta il gap con gli Stati Uniti: 1 a 50
Nella prima testimonianza dal mondo dell’industria, Raffaele Boccardo ha offerto una fotografia impietosa dello stato dell’arte. «Negli ultimi anni», ha osservato, «l’Italia e l’Europa hanno dormito sonni tranquilli», mentre la stragrande maggioranza dei prodotti di cybersecurity e delle tecnologie più innovative proveniva da imperi tecnologici di altri continenti.
Si parla di un rapporto di 1 a 50 tra Europa e Stati Uniti sulla Generative AI; «e sul calcolo quantistico i numeri testimoniano una distanza ancora superiore».
Una riflessione che parte da lontano: «I calcolatori sono stati pensati per essere sempre più piccoli e sempre più veloci, non intrinsecamente sicuri». Dagli anni ’60, all’incirca ogni biennio se ne dimezzava la dimensione, mentre raddoppiava la potenza. Oggi stanno arrivando architetture nuove; il calcolo quantistico è ormai prossimo e si stanno presentando nuovi scenari in ordine a sicurezza, disponibilità e integrità del dato.
BV Tech investe circa 20 milioni l’anno in tecnologie proprietarie, coprendo l’intera catena del valore della cybersecurity: assessment del rischio, compliance alle normative nazionali ed europee, prodotti e servizi di mitigazione, piattaforme e formazione, per un investimento complessivo di 200 milioni nell’arco di dieci anni. Ma sono ancora ordini di grandezza inferiori rispetto ai competitor d’oltreoceano.
Un miliardo e seicento milioni per la cybersecurity europea
Negli ultimi tempi, il quadro degli investimenti europei ha però assunto dimensioni senza precedenti. Come ha illustrato Luca Tagliaretti, entro il 2027 il bilancio complessivo dell’Unione Europea destinato allo sviluppo di tecnologie cyber affidato all’ECCC supererà il miliardo e seicento milioni di euro. A questi si aggiungono i fondi Horizon per la ricerca pura, che oscillano tra i 60 e i 90 milioni annui; un terzo del totale «è destinato allo sviluppo di nuove tecnologie, in particolare AI e quantum».
L’Italia si posiziona stabilmente tra i primi Paesi beneficiari di questi finanziamenti. Tagliaretti ha citato in particolare il progetto SECURE,«di cui l’Italia è capofila insieme ad altri Stati europei», con il coordinamento di Cyber 4.0: un’iniziativa dedicata alla preparazione per il Cyber Resilience Act (CRA), che testimonia la capacità del Paese di intercettare progetti di grande respiro.
Tuttavia, emerge un paradosso. L’Italia eccelle nei grandi progetti con forte coordinamento nazionale, attraverso ACN e i centri di competenza; altri Paesi – come Grecia, Slovacchia o Romania – risultano invece più forti su progetti di piccola scala, dove startup e PMI riescono a presentare proposte interessanti anche in assenza di una regia centrale. Una riflessione che chiama in causa la capacità del tessuto imprenditoriale italiano di competere nelle dimensioni più agili.
La corsa al post-quantum: un laboratorio europeo entro dicembre
L’ECCC ha destinato circa 110 milioni di euro nel triennio 2025-2027 alle tecnologie quantum e all’intelligenza artificiale. Un dato significativo riguarda l’evoluzione della domanda: se nelle prime iniziative del 2024 le società interessate a partecipare erano poche, oggi la situazione è radicalmente cambiata. L’ultima call Horizon sul quantum ha registrato un numero di domande pari a quindici volte i fondi disponibili.
Tagliaretti ha annunciato che a dicembre verrà pubblicata la gara d’appalto per la creazione di un laboratorio europeo di prova per gli algoritmi quantistici: un’infrastruttura pensata «per mettere insieme mondo accademico e industriale», accessibile a startup, PMI e centri di ricerca a costi contenuti o persino gratuitamente. Il progetto avrà una durata quadriennale e rappresenta un tassello della strategia post-quantum pubblicata dall’UE nell’aprile 2024.
In parallelo, sono previsti altri due progetti: uno da circa 10 milioni per la transizione al post-quantum, un altro da 6-7 milioni (che partirà nel 2027) per l’implementazione di tecnologie resistenti agli attacchi quantistici negli hub nazionali e nei SOC governativi.
Rispetto alle certificazioni, Tagliaretti ha precisato che i tempi sono diversi a seconda delle tecnologie. Sull’intelligenza artificiale il lavoro è più avanzato ed esistono già dei draft elaborati da ENISA, mentre sul post-quantum non si è ancora vicini a un risultato concreto.
Il lavoro attuale – in linea con la roadmap europea sulla transizione quantum, che prevede proprio questa fase preliminare – è principalmente di mappatura: quali tecnologie sono disponibili, quali stakeholder risultano coinvolti, quali profili di rischio sarà necessario contemplare. «Entro il 2026», ha anticipato il relatore, «si chiariranno anche le ambizioni politiche dell’Unione Europea rispetto al creare una certificazione in ambito quantistico».
Telsy e la crittografia made in Italy
Sul fronte industriale, Telsy rappresenta un caso emblematico di come l’Italia possa giocare un ruolo da protagonista. L’azienda ha recentemente acquisito QTI (specializzata in quantum key distribution) e sta sviluppando prodotti di crittografia post-quantum interamente realizzati in Italia, con una filiera completamente nazionale.
«Quando parliamo di quantum, parliamo di tecnologie che si muovono a una velocità fotonica», ha esordito Alessandra Michelini, tracciando un parallelo illuminante con l’intelligenza artificiale: «qualche anno fa ne parlavamo come di qualcosa che sarebbe arrivato, senza riuscire a immaginare una data precisa. Oggi la usiamo in modo pervasivo nella realtà quotidiana. Il quantum seguirà probabilmente lo stesso percorso: forse sarà il 2030, forse anche prima».
La sfida, ha sottolineato Michelini, sarà evitare che i processi di standardizzazione, omologazione e certificazione – indispensabili per i prodotti di sicurezza – diventino un freno anziché un abilitatore.
L’Italia dispone oggi di «un vantaggio temporale e competitivo, fondato su un patrimonio di know-how scientifico e accademico che va preservato e valorizzato». L’auspicio è che i tavoli europei dedicati a questi temi siano il più possibile aperti, permettendo di ragionare insieme su come velocizzare il percorso e mettere a sistema questo vantaggio a livello continentale.
Sovranità digitale: non solo protezione, ma governo del dato
L’intervento di Antonio Maria Tambato (AgID) ha offerto una lettura più ampia del concetto di sovranità digitale, sottraendolo alla dimensione puramente difensiva. «Il significato del termine “sovranità”» ha chiarito «non è solo protezione, o diventerebbe isolamento. La sovranità è il governo, è lo sviluppo, è l’identità. Tutti questi aspetti vanno declinati nel digitale. Questa è la sfida più importante; ed è una sfida propria della Pubblica Amministrazione».
Il relatore ha richiamato l’attenzione sull’infrastruttura pubblica digitale italiana – dal wallet alla PDND, fino alla firma digitale e ai pagamenti elettronici – come esempio concreto di sovranità tecnologica costruita attraverso partnership tra pubblico e privato. Sono i pilastri su cui posa l’identità digitale nazionale. «Un sistema affidabile di riconoscimento dei cittadini è fondamentale per garantire allo Stato di esercitare pienamente la propria sovranità nello spazio digitale.»
La fattura elettronica, in particolare, è stata citata come caso di successo: «un passo di digitalizzazione enorme, che altri Paesi ci invidiano».
Il nodo del procurement pubblico
Sul fronte dell’intelligenza artificiale nella Pubblica Amministrazione, Tambato ha descritto un panorama in rapida evoluzione ma non privo di ostacoli significativi. Le linee guida AgID, di prossima emanazione, puntano a creare una domanda pubblica sfidante che stimoli la competitività nazionale, ma il vero “collo di bottiglia” è nel procurement.
«Se non si cambia paradigma di procurement», ha avvertito Tambato, «non si riesce a far fronte all’intelligenza artificiale».
Il messaggio alle amministrazioni è chiaro: aggregarsi, non affrontare l’intelligenza artificiale da soli, scambiarsi «esperienze e problemi, più che codice sorgente».
Tra le esperienze già avviate Tambato ha citato il progetto Reg4IA, che vede quattro regioni capofila aggregare le altre per sperimentazioni in sanità, trasporti e digitalizzazione della PA; anche INAIL e ISTAT hanno sviluppi importanti nell’ambito dell’intelligenza artificiale.
I rischi: inefficacia e immobilismo
In tale scenario, i rischi che la Pubblica Amministrazione deve fronteggiare sono duplici.
Da un lato, l’inefficacia: investimenti ingenti senza miglioramenti reali, il classico scenario di hype tecnologico che non si traduce in valore concreto. Dall’altro, l’immobilismo: una paralisi generata dalla complessità del quadro regolamentare, con un «puzzle di norme» che si sovrappongono tra loro.
Tambato ha ricordato come stia finalmente vedendo la luce il “Digital Omnibus” dell’Unione Europea, con la speranza che possa offrire un aiuto nell’interpretazione di questo intreccio di norme.
Il caso degli atti notarili e la sfida post-quantum per la PA
Tambato ha poi sollevato una questione concreta che illustra la portata della sfida post-quantum. «Oggi abbiamo la sicurezza che un atto notarile venga conservato per sempre, immutato, presso gli studi notarili o le banche. Domani, con l’avvento del post-quantum, quella certezza potrebbe venire meno».
È un problema che coinvolge l’intera filiera dei conservatori, degli identity provider, delle partnership pubblico-private che sostengono l’infrastruttura digitale nazionale. Da qui la necessità di creare campioni nazionali e lavorare insieme – AgID con ACN e l’intera filiera – altrimenti arriveranno tecnologie e mentalità estere «che ormai attraversano gli oceani molto velocemente».
L’Africa “più digitale di noi”
Una provocazione, ma non troppo: «L’Africa in questo momento è più digitale di noi. Il mondo africano ha fatto il salto totale», con una pubblica amministrazione «digitale di default», anche perché in alcuni casi mancavano infrastrutture tradizionali su cui costruire.
Un competitor inatteso, che ricorda come la partita della trasformazione digitale si giochi sempre più su scala globale.
Il Polo Strategico Nazionale e la protezione dei dati
Alessandra Michelini – che è anche membro del board del Polo Strategico Nazionale – ha approfondito il tema dell’integrazione tra infrastruttura cloud sovrana e tecnologie crittografiche proprietarie.
«Il concetto di sovranità digitale», ha osservato, «non si declina al singolare». Riguarda scelte architetturali, realizzazione dell’infrastruttura, lavoro sul dato. La cifratura di per sé non basta: bisogna garantire il ciclo di vita delle chiavi, sapere chi accede al dato, quando e perché.
Temi «collaterali ma fondamentali» su cui Telsy sta lavorando in modo sempre più serrato, per contribuire alla definizione di livelli di sicurezza differenziati in base alla classificazione dei dati (strategici, critici, ordinari) che le amministrazioni porteranno sul PSN.
Il problema della dimensione: da 1 miliardo a 10 miliardi
Raffaele Boccardo ha portato la testimonianza di BV Tech, passata in vent’anni da 10 a 200 milioni di fatturato, con un piano per raggiungere il miliardo e l’ambizione di federarsi con altri attori europei per posizionarsi intorno ai 10 miliardi nel mercato della cybersecurity continentale.
I numeri, ha spiegato, sono la chiave per comprendere la portata della sfida. «Chi progetta, realizza, gestisce infrastrutture di rete o informatiche e applicazioni domina la sicurezza, la disponibilità e l’integrità del dato». Eppure oltre il 70% delle realizzazioni italiane, in ambito sia civile che militare (con percentuali non molto diverse), «sono opera di soggetti non nazionali né europei».
Nel mercato civile italiano si parla di 10-12 miliardi, in quello della difesa ci si avvicina a 15: complessivamente, circa 25 miliardi. «Moltiplicando per 20 si ottiene il mercato europeo. Sono numeri incredibilmente grandi», che attualmente nessun player nazionale – e nemmeno l’insieme dei Paesi europei – riesce a interpretare con una forte identità e la giusta sovranità tecnologica.
Il progetto ICTalia, lanciato al Senato nel 2023, nasce proprio per «aggregare intenti coerenti in ordine al recupero di una capacità e coscienza tecnologica italiana ed europea».Il vero ostacolo, secondo Boccardo, è infatti di natura culturale. «Quanti di noi», si è chiesto, «pensano che una società con ricavi di un miliardo l’anno sia ancora “troppo piccola” per servire l’Europa?» La speranza è che tra cinque anni tutti siano convinti della necessità di lavorare insieme per costruire player nazionali ed europei più importanti e rispettati a livello globale.
“L’allineamento delle stelle”
Nel giro finale di interventi, tutti i relatori hanno espresso un cauto ottimismo sulla possibilità che l’Italia possa affermarsi come leader europeo entro il 2030.
Alessandra Michelini ha parlato di «una congiuntura particolarmente favorevole»: fondi disponibili, competenze consolidate, tecnologie già sviluppate e una normativa che accelera l’adozione. La chiave è il coordinamento tra tutti gli attori coinvolti, irrobustendo l’ecosistema cyber nazionale «per evitare che tali energie vengano dissipate».
Antonio Maria Tambato ha insistito sulla necessità di selezionare le priorità: «Sostituire completamente i chip che arrivano da oltreoceano oggi è impossibile. Bisogna programmarlo, non per soppiantarli ma per portare un’alternativa». Ricordando quando una mareggiata negli anni 2000 rese introvabili le memorie per mesi in tutto il mondo, ha concluso: «Anche questa è sovranità e libertà».
Raffaele Boccardo ha rilanciato sul tema dell’indirizzamento della spesa pubblica e privata verso gli attori nazionali ed europei. «A livello continentale parliamo di 600 miliardi. Servono collaborazioni con (e tra) le migliori università; e serve un cambio di cultura sulla dimensione».
La nota positiva: l’Europa come campione mondiale
Luca Tagliaretti ha chiuso con quella che ha definito una nota positiva. «Vedo un allineamento delle stelle in tanti campi: supercomputer, più di 70 offerte europee di gigafactory, laboratori di standardizzazione, test sui chip…» e naturalmente la cybersecurity, dove Italia ed Europa stanno emergendo tra i campioni mondiali.
Il prossimo bilancio europeo (2028-2034) prevede non solo stanziamenti significativi per la digitalizzazione e la sovranità tecnologica, ma anche una semplificazione radicale nella loro distribuzione: dagli attuali 70 fondi separati si passerà a 16-17, «per favorire sinergie ed evitare dispersioni».
In questo la Commissione UE è estremamente attiva. «Mentre anni fa il focus era soprattutto su standardizzazione e creazione di normative», ha sintetizzato Tagliaretti, l’obiettivo attuale è «permettere una politica industriale di successo dell’Unione Europea», nonché «aumentare la resilienza e le difese del nostro mercato digitale».
Le parole chiave per il futuro
Il moderatore Matteo Lucchetti ha sintetizzato i temi emersi dal dibattito in cinque direttrici: ecosistema pubblico-privato, con il coinvolgimento dell’accademia; coordinamento nazionale sotto la guida degli enti preposti; scelta strategica nell’indirizzamento della spesa; cambiamento culturale rispetto alla dimensione di mercato aggredibile; guida dell’Unione Europea nell’implementazione di un corpo normativo già pronto e di prim’ordine a livello mondiale.
La sfida per l’Italia, in definitiva, non è dimostrare di avere le competenze: quelle ci sono.
È riuscire a fare sempre più “massa e sistema”, superando la frammentazione – e la cultura del “piccolo è bello” – per costruire realtà nazionali ed europee capaci di competere su scala globale. Il tempo stringe: il 2030 è dietro l’angolo e la sovranità digitale è un’esigenza non ulteriormente rimandabile.
Guarda il vedo completo della tavola rotonda “Cybersecurity, Innovazione, Governance e Scenari Futuri” tenutasi durante il Forum ICT Security 2025.
