L’Italia (e l’Europa) è in affitto e ora ha paura dello sfratto

Il 95% della tecnologia che fa girare imprese e PA italiane viene da fornitori extra-europei. NIS2 accende il problema, la risposta non c’è.

C’è un’analogia che restituisce con precisione lo stato del sistema-paese italiano sulla cybersecurity, ed è quella della casa. Viviamo in una casa che non è nostra, sostiene Mirco Gatto, fondatore e CEO di Yarix nel presentare il report 2026 dell’azienda: “Il problema è che la casa non è di nostra proprietà, siamo in affitto. Se domani mattina il proprietario decide di sfrattarci, noi letteralmente siamo senza casa.”

Gatto si riferisce, ovviamente, a una possibilità molto remota, quasi impossibile in effetti; quella cioè che i fornitori USA a un certo punto decidano di “sbattere fuori” i paesi europei. È una cosa praticamente inconcepibile oggi come oggi, ma descrive la dipendenza strutturale che il tessuto economico italiano ed europeo ha accumulato verso fornitori cloud, piattaforme di sicurezza, sistemi di identità, infrastrutture di rete che vivono fuori dall’Unione Europea. Quel modello è funzionante finché i partner commerciali restano partner. Se dovessero cambiare idea, avremmo un problema esistenziale.

Ma non è l’unico tema di cui vale la pena parlare: il report di Yarix infatti cita anche l’uscita italiana dalla top-5 mondiale del ransomware con un ribaltamento dei numeri assoluti; l’hacktivism geopolitico che ha sincronizzato i propri picchi con i conflitti in corso; il rischio quantum, la cui finestra temporale si sta chiudendo in silenzio mentre poche aziende italiane lo mettono in agenda. E l’uso di AI nei SOC e NIS2, perché lì si gioca la capacità operativa di rispondere a tutto il resto.

Viviamo in affitto e temiamo uno sfratto improvviso

Il dato che inquadra il problema è quello del 95% di dipendenza tecnologica da soluzioni extra-europee. Si parla di hyperscaler cloud (Amazon Web Services, Microsoft Azure, Google Cloud), piattaforme di produttività (Microsoft 365, Google Workspace), software di gestione enterprise, sistemi di identità federata, framework di cybersecurity, modelli AI di frontiera. Il software di base che fa girare le PMI italiane, la pubblica amministrazione e le grandi imprese è in larga parte costruito, ospitato e governato da aziende statunitensi. Fornitori che, tra l’altro, hanno meno ragioni per rispettare elevati standard di sicurezza come NIS2, e che allo stesso tempo espongono ad attacchi supply chain come quello che di recente ha colpito Sistemi Informativi/IBM; un caso che ci ha mostrato cosa succede quando un fornitore che gestisce ministeri, INPS, sanità digitale e PNRR viene compromesso: l’effetto a cascata investe interi blocchi del sistema-paese.

Naturalmente anche ai fornitori è richiesta la piena compliance con le normative europee, per operare sul territorio. Ma, altrettanto naturalmente, lavorare con qualcuno oltre confine non è la stessa cosa, nonostante tutti gli sforzi che possiamo fare per convincerci del contrario.

Personalmente resto scettico sul tema della sovranità digitale, tanto sull’idea che i fornitori US possano escluderci da un giorno all’altro, quanto sull’idea che l’Europa si possa dotare di soluzioni alternative credibili senza investire almeno 20 volte tanto quello che stiamo investendo ora. E non saprei davvero da dove potrebbero arrivare quei soldi.

Eppure il discorso sulla sovranità digitale si fa ogni giorno più serio, almeno apparentemente, al punto che in molti contratti ci son delle clausole esplicite a riguardo. I clienti europei chiedono che la threat intelligence e i dati di sicurezza restino in region UE, e i vendor statunitensi stanno rispondendo con region cloud dedicate (Francoforte, Parigi, Madrid). Ma il gap normativo con il quadro NIS2 e GDPR resta aperto, e soprattutto la dipendenza non è solo dove i dati sono ospitati, è anche su chi controlla il software, le chiavi crittografiche, i meccanismi di update, i flag di feature, le clausole di service level agreement. Avere il datacenter a Milano non basta se il software che gira sopra è chiuso, proprietario e controllato da una giurisdizione che può cambiare le regole unilateralmente.

Potenzialmente, ciò che spaventa è che un fornitore può chiudere l’accesso, alzare i prezzi, modificare le condizioni, subire un attacco che si propaga al cliente, decidere di non vendere più in Europa per ragioni geopolitiche. “Abbiamo un ritardo tecnologico che è importante, non so nemmeno se è colmabile, però da qualche punto dobbiamo iniziare”, ammette Gatto.

La risposta europea esiste sulla carta, in progetti come GAIA-X, EUCS, polo strategico nazionale italiano, investimenti in cloud sovrano, programmi su semiconduttori, sovvenzioni a società come Aruba; ma procede a velocità diverse e senza coordinamento sistematico. Ogni paese si sta muovendo più o meno in autonomia, e manca un tavolo di lavoro europeo che incentivi la creazione di startup, allochi fondi, definisca standard interoperabili.

Per chi lavora oggi sullo sviluppo di progetti IT, considerare la sovranità digitale significa rivedere i contratti enterprise alla luce di clausole di portabilità reale; valutare alternative europee (Aruba, OVHCloud, IRIDEOS) anche quando costano di più, perché il “premium di sovranità” è un’assicurazione contro la minaccia di disconnessione; investire in competenze interne capaci di operare anche in regime degradato, non solo in modalità always-on con il vendor che fornisce supporto.

Il punto non è quanto sia credibile la minaccia – secondo me non lo è quasi per niente, ad esempio – ma quanto saremmo pronti di far fronte a un possibile scenario disastroso. E al momento la risposta è “praticamente per niente”.

Italia fuori dalla top-5 ransomware, ma vittime +50%

Un secondo dettaglio che emerge dal report riguarda la cybersecurity: l’Italia è uscita dalla top-5 mondiale dei paesi più colpiti da ransomware, scendendo dal quinto al sesto posto in incidenza relativa (dal 2,48% al 2,25% degli attacchi globali). Ma non è esattamente un successo per il nostro paese: il numero assoluto di vittime italiane, pubblicate sui Data Leak Site (DLS) dei gruppi ransomware, è cresciuto del 50% rispetto al 2024. La posizione in classifica scende perché altri paesi crescono di più, non perché l’Italia si difende meglio.

“Questi dati provengono dai Data Leak Site,…