La cybersicurezza non è più soltanto una questione tecnica, ma un vero e proprio valore sociale e una priorità strategica. Con questa consapevolezza si è concluso il Corso di Alta Formazione in Cybersicurezza e Protezione dei Cyber Rights, promosso dall’Università Roma Tre nell’ambito del progetto PNRR HARD DISC, al quale NSR ha partecipato attivamente contribuendo con lezioni, laboratori pratici e mettendo a disposizione l’expertise dei propri professionisti e la propria esperienza pluriennale nel settore.
È stato un percorso straordinario, ricco di approfondimenti fondamentali per orientarsi in un mondo sempre più digitalizzato e interconnesso.
Abbiamo esplorato le radici della cyber-insicurezza e le vulnerabilità sistemiche che spesso si collocano al di fuori del perimetro di sicurezza tradizionale, incluse quelle legate alla supply chain. Grande attenzione è stata dedicata alla costruzione di una cultura condivisa della cybersicurezza, intesa non più come semplice opzione tecnologica, ma come necessità sociale e valore comune.
Durante le lezioni, abbiamo avuto l’opportunità di approfondire una vasta gamma di argomenti cruciali, grazie al contributo di preziosi esperti che hanno condiviso le loro conoscenze ed esperienze uniche. Di seguito una panoramica dei principali spunti e concetti emersi durante il percorso formativo

Protezione dei dati e quadro normativo

• Sono stati analizzati i principi costituzionali e sovranazionali della sicurezza dei dati e della riservatezza, esaminando il delicato equilibrio tra rischio, sicurezza e libertà. È stato sottolineato come la protezione dei dati personali sia passata da “diritto alla riservatezza” a “autodeterminazione informativa”, divenendo strumentale alla garanzia dei diritti e alla tenuta degli ordinamenti democratici.
• Abbiamo esplorato il quadro normativo in costante evoluzione, inclusi il Regolamento Generale sulla Protezione dei Dati (GDPR), con i suoi principi fondamentali come la minimizzazione dei dati, la riservatezza, la liceità e l’integrità, e concetti chiave come l’Accountability e la Privacy by Design/Default. È stata evidenziata l’importanza della Valutazione d’Impatto sulla Protezione dei Dati (DPIA) e l’obbligo generalizzato di notifica del Data Breach.
• Il ruolo strategico dell’ACN (Agenzia per la Cybersicurezza Nazionale) è stato presentato in dettaglio, insieme alla Strategia Nazionale di Cybersicurezza e al relativo Piano di Implementazione. Sono state discusse le funzioni dell’ACN nel coordinamento, gestione degli incidenti, promozione dell’autonomia tecnologica e sviluppo di competenze.
• Sono stati illustrati i nuovi obblighi normativi europei e nazionali, come la Direttiva NIS2, il Regolamento DORA per il settore finanziario, il Cyber Resilience Act e il Regolamento UE sull’Intelligenza Artificiale (AI Act). Abbiamo anche esaminato il DDL italiano sull’IA e il Perimetro di Sicurezza Nazionale Cibernetica, chiarendo gli obblighi e le sanzioni previste.
• La Data Governance e la classificazione dei dati (strutturati e non strutturati) sono state esplorate come pilastri per una gestione efficace e sicura. Abbiamo analizzato tecniche come il Data Masking e la tokenizzazione per proteggere i dati sensibili in ambienti non produttivi, e la pseudonimizzazione e anonimizzazione come strumenti per la protezione della privacy.
• Il controllo a distanza dei lavoratori è stato approfondito, con un focus sull’articolo 4 dello Statuto dei Lavoratori e la problematica dei metadati. Sono state presentate le operazioni sotto copertura nel cyberspazio introdotte dalla Legge 137/2023 e le modifiche della Legge 90/2024 che ha rafforzato il contrasto ai reati informatici, introducendo la nuova disciplina del Ransomware e incentivando la collaborazione dell’hacker.

Cyber Risk e Sicurezza Operativa

• È stato dedicato ampio spazio alla sicurezza delle identità digitali, analizzando le minacce più comuni come phishing, credential stuffing e social engineering. Abbiamo approfondito i concetti di Identificazione, Autenticazione, Autorizzazione e Accounting (IAAA), l’importanza dell’autenticazione a più fattori (MFA) e dei sistemi Identity and Access Management (IAM), insieme ai principi della crittografia (simmetrica e asimmetrica) e della firma digitale.
• La gestione degli incidenti (Incident Response) è stata affrontata in modo pratico, con la descrizione del ruolo cruciale dell’Incident Response Team (IRT) e del Security Operations Center (SOC). Sono stati presentati framework come ISO/IEC 27035 e NIST Incident Response e illustrato un esempio concreto di gestione di un data breach. Fondamentale in questo contesto è il ruolo dei sistemi SIEM (Security Information and Event Management) per l’aggregazione, correlazione e archiviazione sicura dei log, affiancati da soluzioni XDR e SOAR per l’automazione.
• Abbiamo imparato a gestire le vulnerabilità come un processo continuo e proattivo (Vulnerability Management), distinguendolo dal Vulnerability Assessment e dal Penetration Test. Sono state discusse le strategie di remediation, inclusi il Patch Management e i Compensating Controls per i sistemi legacy.
• L’importanza dell’igiene cibernetica e le cinque semplici regole per navigare in sicurezza sono state condivise, sottolineando come l’errore umano sia spesso il fattore determinante nel successo degli attacchi.

Intelligenza Artificiale e Resilienza

• Ampio spazio è stato dedicato all’Intelligenza Artificiale, sia come potente alleato nella difesa (analisi, rilevamento, prioritizzazione vulnerabilità) sia come strumento pericoloso nelle mani dei criminali (malware adattivi, phishing avanzato, deepfake, prompt injection). Abbiamo anche discusso le implicazioni dell’AI sui diritti fondamentali e la necessità di FRIA (Valutazione d’Impatto sui Diritti Fondamentali) nella Pubblica Amministrazione.
• Infine, abbiamo esplorato i concetti di Continuità Operativa (BC) e Disaster Recovery (DR), essenziali per la resilienza delle organizzazioni.

È evidente come oggi la cybersicurezza vada ben oltre l’aspetto tecnologico, diventando un valore collettivo che richiede impegno proattivo e collaborazione tra diverse competenze. Le discussioni hanno sottolineato l’importanza della gestione del rischio, della resilienza e della formazione continua per affrontare le minacce emergenti, anche quelle potenziate dall’Intelligenza Artificiale.
Vogliamo esprimere un sincero ringraziamento a tutti i partecipanti per l’entusiasmo, l’impegno e la curiosità dimostrati durante tutto il percorso formativo. Il loro coinvolgimento è stato fondamentale per rendere questa esperienza un momento di crescita condivisa e confronto. Un sentito grazie anche all’Università Roma Tre per aver reso possibile questa iniziativa e per avere reso NSR parte attiva nella formazione dei professionisti di domani: ora non resta che attendere la prossima edizione, con l’obiettivo di continuare a costruire un futuro sempre più sicuro e consapevole nel mondo digitale.