Sicurezza, governance e resilienza: il nuovo ruolo degli operatori strategici. Intervista all’Avv. Sebastiano Caracò


A margine della lezione “Sicurezza nazionale ed infrastrutture critiche. La resilienza del sistema Paese dopo l’avvento della Intelligenza Artificiale“, tenutasi presso la European School of Economics sotto la direzione del Prof. Giuseppe Cassano, abbiamo incontrato l’Avv. Sebastiano Caracò, Director Business & Data Intelligence di FiberCop,  per approfondire le sfide poste dall’Intelligenza Artificiale alla sicurezza delle infrastrutture digitali, il tema della sovranità tecnologica e il ruolo strategico delle reti di nuova generazione nella resilienza del sistema Paese.

 

Sebastiano Caracò è Chief Security Officer di FiberCop dal febbraio 2025 e Funzionario alla Sicurezza ai sensi della normativa sul Golden Power dal 2024. Laureato in Giurisprudenza e abilitato alla professione forense, ha maturato una lunga esperienza nel Gruppo TIM, dove ha ricoperto incarichi di crescente responsabilità negli Affari Legali, nelle Relazioni Istituzionali e nella Security. Ha sviluppato competenze nella governance della sicurezza, nel crisis management, nella business continuity e nella protezione delle infrastrutture critiche, operando a stretto contatto con le istituzioni competenti in materia di sicurezza nazionale. Attualmente è responsabile della definizione e dell’attuazione delle strategie di sicurezza di FiberCop, che gestisce una delle principali infrastrutture digitali del Paese.

 


l’Avv. Sebastiano Caracò

 

Nel suo intervento ha affermato che la sicurezza non può più essere considerata una funzione esclusivamente tecnica. Perché?

Perché ridurre la sicurezza a un tema esclusivamente tecnico significherebbe adottare una lettura non solo parziale, ma anche distorta della realtà in cui oggi operano le grandi infrastrutture strategiche. La tecnologia resta certamente un elemento fondamentale, ma non esaurisce il problema: la sicurezza riguarda il modo in cui un’organizzazione è progettata, governata e resa capace di prevenire, assorbire e superare eventi critici.


In una società moderna non si può prescindere dal concetto di interdipendenza.

Reti di telecomunicazione, servizi digitali, energia, pubblica amministrazione, imprese e cittadini sono parte di un sistema unico, nel quale il malfunzionamento di un’infrastruttura essenziale può produrre effetti a catena sull’intero Paese.

Per una realtà strategica come FiberCop, garantire la sicurezza significa quindi contribuire direttamente alla continuità dei servizi, alla resilienza delle infrastrutture critiche e, più in generale, al funzionamento del sistema Paese.

È una responsabilità che coinvolge tecnologia, organizzazione, processi decisionali e management, e che deve essere assunta come componente strutturale della governance aziendale.

 


Quanto ha inciso il nuovo quadro normativo europeo su questa evoluzione?

Ha inciso in modo determinante, perché le normative più recenti non chiedono più alle aziende un semplice adempimento formale, ma le orientano verso un modello in cui la sicurezza diventa una responsabilità organizzativa, gestionale e di governo.

In altri termini, il legislatore europeo e nazionale sta progressivamente spostando l’attenzione dalla mera conformità alla capacità effettiva delle imprese di prevenire, gestire e superare eventi critici.

Si pensi, ad esempio, alla NIS2, ormai comune a una pluralità di soggetti aziendali, che rafforza gli obblighi di gestione del rischio cyber e richiede una piena consapevolezza dei vertici aziendali e del consiglio di amministrazione sulle scelte di sicurezza dell’impresa.

Lo stesso vale per la CER, che ha la finalità di rafforzare la resilienza dei soggetti critici chiamati a garantire servizi essenziali per la società e per l’economia, imponendo un approccio capace di considerare rischi fisici, cyber, organizzativi e di continuità operativa.


A queste si aggiungono normative ancora più specifiche per le aziende che rappresentano infrastrutture strategiche per il Paese, come la disciplina sul Perimetro di Sicurezza Nazionale Cibernetica e i decreti emessi dalla Presidenza del Consiglio dei ministri nell’ambito dell’esercizio dei poteri speciali del Governo, il cosiddetto Golden Power.

Tutto questo conferma che la sicurezza non è più un tema accessorio o meramente tecnico, ma una componente strutturale della governance, della responsabilità manageriale e della resilienza complessiva dell’azienda.

 

Qual è la principale novità per il management di un operatore strategico come FiberCop?

La novità principale è che la consapevolezza sulla sicurezza investe ormai tutti gli ambiti del management. Non si tratta più di assumere decisioni tecniche isolate, ma di integrare la sicurezza nelle scelte strategiche, industriali e organizzative dell’azienda.


Già la direttiva europea NIS e, successivamente, la NIS2 hanno confermato questo approccio: le imprese non devono soltanto adottare misure di sicurezza, ma devono anche essere in grado di dimostrare che tali misure siano adeguate, proporzionate e coerenti con i rischi, con la continuità dei servizi e con la catena del valore aziendale.

Per un operatore strategico come FiberCop, questo significa che le soluzioni di sicurezza devono rappresentare le migliori scelte possibili rispetto alla criticità dell’infrastruttura, agli impatti sul servizio, alla protezione degli asset e alla resilienza complessiva dell’organizzazione.

In una moderna azienda infrastrutturale, infatti, la sicurezza è sempre più “partecipata” e oggetto di attenzione anche da parte degli organi di controllo, come il Collegio Sindacale, gli organismi previsti dai modelli di governance e compliance, come l’Organismo di Vigilanza.

È il segno di un’evoluzione ormai chiara: la sicurezza non è più confinata alle funzioni tecniche, ma è diventata un tema di responsabilità manageriale, di controllo interno e di governo dell’impresa.


 

Ha definito la continuità operativa un vero e proprio obbligo giuridico. Cosa significa concretamente?

Significa che la continuità operativa non può più essere considerata soltanto una buona pratica organizzativa o un presidio volontario di efficienza aziendale.

Oggi la business continuity è anche un preciso adempimento di carattere normativo, che il legislatore europeo e nazionale ha progressivamente imposto ai soggetti che gestiscono servizi essenziali, reti critiche e infrastrutture strategiche.

Il quadro normativo impone obblighi concreti di predisporre e attivare misure finalizzate alla continuità dei servizi, all’integrità delle reti, alla sicurezza e alla confidenzialità delle comunicazioni, come avviene nell’ambito delle prescrizioni connesse alla normativa Golden Power. Allo stesso modo, la disciplina sul Perimetro di sicurezza nazionale cibernetica richiede ai soggetti inclusi di dotarsi di capacità strutturate di gestione degli incidenti, incident response, business continuity e disaster recovery, affinché eventi critici o attacchi cyber non compromettano funzioni e servizi essenziali per la sicurezza nazionale.


La NIS2 rafforza ulteriormente questa impostazione, prevedendo misure proporzionate al rischio anche in materia di continuità operativa, gestione delle crisi, backup, disaster recovery e ripristino dei servizi. In concreto, parlare di continuità operativa significa parlare di piani formalizzati, responsabilità definite, procedure attivabili, test periodici e capacità di dimostrare che l’azienda sia realmente in grado di garantire la continuità dei servizi anche in scenari di crisi. Per un operatore strategico come FiberCop, questo non è solo un requisito di compliance, ma una componente essenziale della resilienza dell’infrastruttura e della tutela del sistema Paese.

 

L’intelligenza artificiale viene spesso descritta come tecnologia dual use. Qual è la vera sfida?

La vera sfida è prendere atto che l’intelligenza artificiale ha ormai un carattere pienamente dual use: può anche essere utilizzata per costruire, automatizzare e rendere più sofisticati gli attacchi informatici, ma può anche rafforzare, in modo decisivo, le capacità difensive.

È ormai dimostrato che l’IA può essere impiegata per attività malevole anche in modo silente, ad esempio accelerando la produzione di codice ostile, rendendo più credibili campagne di phishing e social engineering, individuando vulnerabilità o supportando attacchi difficili da intercettare con strumenti tradizionali.


Per questo diventa sempre più impellente sviluppare e utilizzare un’intelligenza artificiale difensiva, capace non solo di riconoscere gli attacchi già in corso, ma anche di prevederne i segnali deboli, individuare comportamenti anomali e supportare decisioni rapide e responsabili.

Il punto non è delegare alla macchina la sicurezza, ma costruire sistemi di IA governati, controllabili ed etici, in grado di operare in percorsi chiari, con una attenta supervisione umana e con l’adozione di modelli linguistici dedicati alla sicurezza.

Solo così sarà possibile contrastare un uso offensivo dell’intelligenza artificiale con strumenti altrettanto evoluti, ma orientati alla protezione, alla resilienza e alla tutela delle infrastrutture critiche.

 

Se dovesse sintetizzare il messaggio del suo intervento in una frase?


La sicurezza non è più il perimetro che protegge l’impresa, ma la condizione che consente a infrastrutture, organizzazioni e Paese di restare affidabili e resilienti.

 

 

 

 


 

 

 

 

 


 


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Redazione DIMT

Source link

Di