INTERVENTI E OPINIONI - CYBER

INTERVENTI E OPINIONI - CYBER

Print Friendly, PDF & Email

I sistemi informatici e di rete sono oggi caratterizzati da un veloce processo di sviluppo, che influisce in modo trasversale su tutti gli ambiti della nostra società, tanto sul piano culturale quanto su quello economico. La trasformazione digitale non riguarda solo l’integrazione di nuove tecnologie, ma anche la riorganizzazione dei modelli organizzativi e il miglioramento delle competenze per promuovere l’innovazione e salvaguardare il patrimonio informativo delle organizzazioni. In questo contesto, una solida gestione della cybersecurity e una strategia dei dati ben strutturata sono fondamentali. Per una corretta gestione della cybersecurity, è necessario considerare diversi aspetti chiave: innanzitutto, effettuare regolarmente valutazioni approfondite dei rischi per identificare le vulnerabilità e assegnare loro una priorità in base all’impatto potenziale, in quanto l’implementazione di un quadro proattivo di gestione del rischio aiuta ad anticipare e mitigare le minacce prima che si concretizzino; in secondo luogo, sviluppare e applicare politiche di sicurezza che coprano tutti gli aspetti dell’organizzazione, dalla crittografia dei dati ai controlli di accesso, dalla formazione dei dipendenti ai protocolli di risposta agli incidenti.

Queste politiche devono essere aggiornate regolarmente per adattarsi all’evoluzione delle minacce, oggi amplificate dall’uso crescente dell’intelligenza artificiale, che richiede risposte adeguate, coordinate e innovative in tutti gli Stati membri dell’Unione europea. Il numero, la portata, il livello di sofisticazione, la frequenza e l’impatto degli incidenti rappresentano, infatti, per i cittadini e le imprese un grave rischio per il funzionamento dei sistemi informatici, perché possono impedire l’esercizio delle attività economiche nel mercato interno, provocare perdite finanziarie, minare la fiducia degli utenti e causare gravi danni all’economia e alla società. Come rilevato dal recente “Cisco Cybersecurity Readiness Index 2024”, soltanto l’1% delle aziende italiane ha un livello di preparazione alla sicurezza “maturo”, necessario per essere resiliente contro i rischi odierni di cybersecurity, mentre il 63% degli intervistati ha dichiarato che un attacco informatico sarebbe in grado di interrompere la loro attività nei prossimi 12-24 mesi.

Pertanto, nel mondo digitale interconnesso di oggi, la cybersecurity rimane una priorità assoluta per tutti i settori. Poiché le tecnologie e le minacce informatiche diventano sempre più sofisticate, è richiesta, oltre ad un approccio proattivo, una profonda comprensione dei trend emergenti per non farsi trovare impreparati. In questo contesto, come detto, l’intelligenza artificiale (AI) sta rivoluzionando vari settori, compreso quello della cybersecurity. I grandi benefici introdotti dall’AI permettono ai cybercriminali di lanciare attacchi più mirati, che possono evadere le misure di sicurezza tradizionali rendendo più impegnativo il rilevamento e la mitigazione dei rischi. Le organizzazioni devono quindi investire in soluzioni di sicurezza avanzate per rilevare e rispondere in modo efficace alle minacce emergenti.

Su questo ampio ventaglio di problematiche e sul nuovo framework normativo messo a punto dalla UE in materia di cybersecurity è in corso un approfondito dibattito da parte dei numerosi soggetti, nazionali ed europei, impegnati a dialogare sulle strategie più efficaci per rafforzare la resilienza cibernetica. Ne è un esempio, tra gli altri, il convegno su “Cybersicurezza e politiche di coesione”, svoltosi a Roma il 25 marzo scorso, su iniziativa dello European Digital Innovation Hub MicroCyber con il coordinamento dell’Ente Nazionale per il Microcredito, che ha visto la partecipazione di esponenti apicali del mondo politico ed istituzionale. Tale evento ha rappresentato una preziosa occasione di confronto che ha fatto emergere l’opportunità di instaurare sinergie a livello nazionale ed europeo per lo sviluppo di politiche volte al rafforzamento della resilienza cyber, tanto del tessuto produttivo quanto di quello della pubblica amministrazione, nonché all’ingegnerizzazione dei relativi strumenti e servizi finanziari rivolti a imprese e pubblica amministrazione.

Il rapporto tra politiche di coesione, cybersicurezza e digitalizzazione per favorire competitività, crescita e resilienza cibernetica delle imprese italiane ed europee ha rappresentato il filo conduttore del convegno, unitamente ad altri temi di fondamentale importanza, quali la necessità di incrementare le attività di formazione per consentire la reazione e la prevenzione di attacchi informatici, il sostegno della ricerca in ambito cyber per rendere le imprese europee più competitive sul mercato globale in materia di cybersicurezza e aumentare la resilienza del mercato digitale, nonché la necessità di utilizzare l’intelligenza artificiale in modo “benevolo”, al fine cioè di contrastare l’uso “malevolo” che della stessa AI viene fatto da parte dei cybercriminali.

Ne hanno parlato diffusamente Tommaso Foti, Ministro per gli Affari Europei, il PNRR e le Politiche di Coesione, Luca Tagliaretti, direttore esecutivo dello European Cybersecurity Competence Centre, Bruno Frattasi, DG dell’Agenzia per la Cybersicurezza Nazionale, Franco Zaffini, Presidente della X Commissione Salute e Lavoro e Presidente delle Commissioni riunite sull’intelligenza artificiale, Eva Spina, Capo Dipartimento per il digitale, la connettività e le nuove tecnologie del MIMIT, Ivano Gabrielli, direttore del servizio Polizia Postale e delle Comunicazioni, Despina Spanou, Principal Adviser for Cybersecurity Coordination (DG Connect) della Commissione europea. Il punto di vista dell’Ente Nazionale per il Microcredito che, come detto, ha coordinato lo svolgimento dell’evento, è stato portato dal Presidente Mario Baccini, dal Segretario Generale Riccardo Graziano e dal Vice Segretario Generale Giovanni Nicola Pes.

Come ricordato in particolare da Despina Spanou, di fronte alla complessità delle problematiche da affrontare, l’UE ha avvertito la necessità di armonizzare un quadro giuridico teso a rafforzare la sicurezza informatica, al fine di supportare i soggetti maggiormente vulnerabili alle minacce cyber, potenziandone le competenze per consentire loro di beneficiare dei vantaggi offerti dalla tecnologia e migliorare nel contempo la competitività sul mercato. In particolare, negli ultimi mesi sono stati adottati a livello europeo alcuni importanti provvedimenti, che delineano un approccio più integrato e ambizioso per la protezione dell’ecosistema digitale europeo, in un contesto geopolitico sempre più complesso e caratterizzato da minacce ibride e persistenti. Si tratta, in particolare, della pubblicazione del Cyber Resilience Act e del Cyber Solidarity Act, nonché della recente entrata in vigore della nuova Direttiva NIS 2 che, abrogando la precedente Direttiva NIS 1, ne ha ampliato in modo significativo il raggio d’azione. Inoltre, è da segnalare che, nel febbraio di quest’anno, è stata formulata la proposta di Cybersecurity Blueprint della Commissione europea, per la gestione coordinata delle crisi cyber.

Va ribadita, pertanto, l’attenzione con la quale la Commissione europea segue i problemi della cybersecurity e degli attacchi cibernetici, che spesso sono legati anche a problemi politici. La Commissione, infatti, ha come priorità la protezione delle infrastrutture critiche e fornisce supporto finanziario per aiutare i soggetti interessati ad adeguarsi alle nuove regole in materia di cybersecurity, soprattutto con riferimento ai settori maggiormente colpiti dagli attacchi.

Ciò premesso, si fornisce di seguito un quadro analitico delle normative europee emanate o in corso di emanazione in materia di cybersicurezza.

Le Direttive NIS (Security of Network and Information systems)

La Direttiva NIS 11, entrata in vigore il 16 luglio 2016, è stata il primo atto legislativo dell’Unione europea in materia di cybersecurity, con l’obiettivo di accrescere la collaborazione transfrontaliera, armonizzare le competenze professionali e rafforzare il controllo dei settori critici. Tale Direttiva ha rappresentato il primo tentativo di determinare una base di garanzie destinate a sviluppare un ecosistema di fiducia, soprattutto per quelle aziende che forniscono servizi essenziali per il mantenimento di attività sociali ed economiche fondamentali dipendenti dalla rete e dai sistemi informativi e per i quali un incidente informatico può avere effetti negativi rilevanti.

I settori che rientravano nell’ambito di applicazione della direttiva NIS 1 riguardavano l’energia, i trasporti, le banche, i mercati finanziari, la sanità, la fornitura e la distribuzione di acqua potabile, le infrastrutture digitali, i motori di ricerca, i servizi cloud e le piattaforme di commercio elettronico, con la possibilità per gli Stati membri di estendere l’ambito di applicazione delle proprie disposizioni anche ad altri settori.
In attuazione della NIS 1, gli Stati membri hanno definito piani di ricerca e sviluppo relativi alla strategia da adottare, avvalendosi anche dell’assistenza dell’ENISA (Agenzia dell’Unione Europea per la Cybersecurity) che, grazie proprio al dettato della NIS 1, ha visto accresciuto il proprio ruolo. L’ENISA, infatti, oltre ad aiutare i Paesi dell’Unione ad affrontare le questioni comuni di cybersicurezza e a concordare gli approcci e le procedure comuni da seguire, ha individuato buone pratiche per quanto riguarda l’attuazione della Direttiva NIS 1, sviluppando modelli e strumenti atti a tale scopo.

Nonostante i positivi risultati raggiunti, sono state evidenziate delle carenze intrinseche alla Direttiva in questione, che non hanno consentito di affrontare efficacemente le sfide emergenti in materia di cybersicurezza. Pertanto, vista la crescita esponenziale degli attacchi informatici, soprattutto a partire dagli ultimi mesi del 2022, si è reso necessario aggiornare la normativa NIS al fine di ampliarne il campo di applicazione e preparare le aziende alle sfide attuali e future della sicurezza. È stata così emanata la nuova Direttiva NIS 22 entrata in vigore il 16 gennaio 2023 e recepita a livello nazionale italiano con il decreto legislativo n. 138 del 2024 che, come ricordato dal direttore dell’ACN Bruno Frattasi, “assicura a ciascun Paese della UE un sistema di continuità operativa, in grado di garantire una serie di servizi straordinariamente importanti per la nostra vita”.

Rispetto alla NIS 1, la Direttiva NIS 2 ha ampliato la platea dei soggetti destinatari, eliminando la precedente distinzione tra operatori di servizi essenziali e fornitori di servizi digitali e introducendo la distinzione tra “soggetti essenziali” e “soggetti importanti”, la cui identificazione, con criteri uniformi, è riservata agli Stati membri. In queste categorie rientrano tutti i soggetti che operano nei settori ad alta criticità (energia, trasporti, banche, infrastrutture digitali, pubblica amministrazione, ecc.) e in altri settori critici (servizi postali, gestione dei rifiuti, produzione e distribuzione di sostanze chimiche, ecc.). Allo stesso tempo, la NIS 2 ha escluso dal suo campo di applicazione i soggetti che operano nei settori della sicurezza nazionale, oltre che i Parlamenti e le banche centrali, ed ha introdotto un approccio “multirischio” nell’adozione di misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi posti alla sicurezza dei sistemi informativi e di rete, che tali soggetti utilizzano per le loro operazioni o per la fornitura dei loro servizi, nonché per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi.

Inoltre, la Direttiva NIS 2:

  • ha istituito una rete europea delle organizzazioni di collegamento per le crisi informatiche, al fine di sostenere la gestione coordinata degli incidenti informatici su larga scala;
  • ha rafforzato gli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e al CSIRT (Computer Security Incident Response Team);
  • ha definito un sistema di vigilanza più rigoroso per la sicurezza informatica ed ha introdotto un regime sanzionatorio più severo per i soggetti inadempienti.

Pertanto, in base alla nuova Direttiva, le infrastrutture critiche e i servizi essenziali importanti dovranno mantenere un registro delle vulnerabilità, cooperare con gli Stati europei alla gestione delle crisi informatiche; redigere una relazione annuale sullo stato della cybersecurity; creare e gestire un report di tutte le entità che forniscono servizi transfrontalieri come cloud computing, registrazioni di nomi a dominio e altro ancora; mantenere aggiornate le loro strategie informatiche; istituire un gruppo di intervento per la cybersecurity in caso di incidente, nonché di un’autorità competente per le reti e i sistemi informativi nazionali che cooperino tra tutti gli Stati membri.

Come previsto dall’art. 18 della Direttiva NIS 2, l’ENISA ha pubblicato nel mese di ottobre 2024 il primo rapporto biennale sullo stato della sicurezza informatica nell’UE, analizzando lo stato attuale delle capacità di cybersicurezza a livello di Unione, esaminando i rischi, le vulnerabilità e le strategie adottate, con l’obiettivo di formulare raccomandazioni volte a eliminare le lacune individuate e a innalzare il livello di sicurezza informatica in tutta l’Unione. In tale contesto, giova ricordare il ruolo svolto dallo European Cybersecurity Competence Centre, il cui direttore esecutivo Luca Tagliaretti ha offerto una visione d’insieme sulle politiche europee e sulle iniziative volte a supportare la crescita di un ecosistema di cybersicurezza forte e integrato a livello comunitario. In particolare, Tagliaretti ricorda che “l’ECCC nasce con tre obiettivi: sostenere la ricerca in ambito cyber, rendere le imprese europee più competitive sul mercato globale in materia di cybersicurezza e aumentare la resilienza del mercato digitale”. Per il raggiungimento di questi obiettivi, lo stesso Centro di competenza opera con una serie di fondi e un’attività di sistema, mettendo insieme attori europei e nazionali.

A fronte di uno scenario caratterizzato da un aumento considerevole degli attacchi informatici, legato principalmente all’acuirsi delle tensioni geopolitiche ed economiche nell’Europa dell’Est e nel Medio Oriente, il citato rapporto ENISA suggerisce una serie di raccomandazioni politiche per potenziare la capacità degli operatori di settori critici, aumentare la consapevolezza sulla sicurezza informatica e migliorare le difese. In particolare, il report segnala la necessità di:

  • rafforzare il sostegno tecnico e finanziario alle istituzioni europee, alle autorità nazionali e alle entità che rientrano nel perimetro di applicazione della NIS 2;
  • affrontare la sicurezza della supply chain nell’UE, intensificando le valutazioni dei rischi e sviluppando un framework comune che affronti le sfide che affliggono sia il settore pubblico sia quello privato.

Sempre sulla base di quanto previsto dalla Direttiva NIS 2, il 17 ottobre 2024 la Commissione ha adottato il Regolamento di esecuzione3 della Direttiva stessa, che descrive i requisiti tecnici e metodologici per la gestione del rischio legato alla cybersecurity e specifica i criteri per stabilire quando un incidente può essere considerato significativo o essenziale e garantire che le entità coperte dalla Direttiva NIS 2 adottino misure tecniche e metodologiche per la gestione del rischio informatico. Queste misure devono essere proporzionate ai rischi a cui le entità sono esposte e tenere conto di vari fattori, come la dimensione dell’entità, la probabilità che si verifichino incidenti e la gravità di tali eventi, inclusi gli impatti sociali ed economici.

Uno degli elementi fondamentali del Regolamento è la possibilità, per le piccole e medie imprese, di implementare misure compensative nel caso in cui non riescano ad applicare completamente alcuni requisiti tecnici o metodologici. Questo garantisce una certa flessibilità nell’applicazione delle norme, purché le entità documentino adeguatamente le ragioni per cui certe misure non sono state applicate e adottino soluzioni alternative per mitigare i rischi.

Un altro aspetto chiave riguarda la definizione di ciò che costituisce un “incidente significativo”. In particolare, un incidente è considerato significativo quando sono soddisfatti uno o più di questi criteri: (i) l’incidente ha causato o è in grado di causare un danno finanziario diretto all’entità interessata superiore a 500mila euro o al 5 % del fatturato totale annuo dell’entità interessata nell’esercizio finanziario precedente, se inferiore; (ii) la “esfiltrazione” di segreti commerciali; (iii) il decesso di una persona fisica; (iv) danni considerevoli alla salute di una persona fisica.

In conclusione, il Regolamento rappresenta un passo importante per rafforzare la sicurezza informatica in Europa, offrendo una base normativa chiara e armonizzata per l’implementazione della Direttiva NIS 2. Attraverso un approccio proporzionato e flessibile, il Regolamento tiene conto delle diverse dimensioni e delle caratteristiche delle entità coperte, assicurando che esse adottino misure adeguate alla loro esposizione al rischio.

Il Cyber Resilience Act

Tenuto conto che i prodotti hardware e software sono sempre più soggetti ad attacchi informatici che causano costi sociali ed economici significativi, il 23 ottobre 2024 il Consiglio europeo ha approvato in via definitiva il Cyber Resilience Act (CRA)4, mirando al conseguimento dei seguenti obiettivi principali:

  1. garantire che i produttori migliorino gli standard di sicurezza dei prodotti digitali fin dalla fase di progettazione e sviluppo e durante l’intero ciclo di vita;
  2. costituire un quadro di sicurezza informatica coerente all’interno dell’Unione, facilitando la conformità dei prodotti hardware e software;
  3. innalzare il livello di trasparenza richiedendo ai produttori di fornire agli utenti informazioni chiare e comprensibili sulle pratiche di sicurezza adottate.

Il Cyber Resilience Act, al fine di proteggere i consumatori e le aziende che acquistano prodotti software o hardware con una componente digitale, affronta il livello inadeguato di sicurezza informatica in molti prodotti e la mancanza di aggiornamenti di sicurezza tempestivi per prodotti e software, nonché le sfide che i consumatori e le aziende devono affrontare quando devono individuare i prodotti sicuri dal punto di vista informatico e configurarli in modo sicuro.

Il CRA introduce requisiti obbligatori di sicurezza informatica per produttori e rivenditori, regolando la pianificazione, la progettazione, lo sviluppo e la manutenzione di tali prodotti. Questi obblighi devono essere rispettati in ogni fase della catena del valore. Il CRA richiede inoltre ai produttori di fornire assistenza durante il ciclo di vita dei loro prodotti. Alcuni prodotti critici di particolare rilevanza per la sicurezza informatica dovranno essere sottoposti a una valutazione di terze parti da parte di un organismo autorizzato prima di essere venduti nel mercato UE.

Affinché i prodotti immessi sul mercato europeo siano progettati e fabbricati in modo sicuro, il CRA classifica tali prodotti in “importanti” e “critici”, introducendo i seguenti requisiti sulla base della loro classificazione:

  • requisiti di sicurezza: i produttori devono progettare prodotti sicuri (security by design) e devono mantenere tali standard per tutto il loro ciclo di vita;
  • gestione delle vulnerabilità: i produttori hanno l’obbligo di monitorare, identificare e risolvere eventuali vulnerabilità, fornendo aggiornamenti di sicurezza tempestivi per proteggere i dispositivi dalle minacce emergenti;
  • requisiti di trasparenza: i produttori devono fornire agli utenti informazioni chiare e dettagliate sulle pratiche di sicurezza adottate;
  • dichiarazione di conformità: i fabbricanti devono attestare il rispetto dei requisiti essenziali di cybersicurezza applicabili;
  • notifica di incidenti: in caso di attacco o vulnerabilità grave, i produttori sono tenuti a informare tempestivamente le autorità competenti.

A tale riguardo, è rilevante quanto affermato dal Presidente dell’Ente Nazionale per il Microcredito Mario Baccini nel corso del richiamato convegno del 25 marzo scorso, relativamente al sostegno che viene fornito dagli European Digital Innovation Hub ai diversi attori economici italiani ed europei, per facilitare l’adozione delle migliori pratiche in materia di cybersicurezza. Con specifico riferimento alle micro e piccole imprese, Baccini ricorda come l’Ente Nazionale per il Microcredito, con il Polo MicroCyber, fornisca assistenza a tali imprese per l’adozione di strumenti cyber, essenziali per la competitività. Allo stesso tempo, come affermato dal Ministro Foti, è fondamentale il ruolo del MIMIT nel promuovere la digitalizzazione sicura e coordinata del sistema produttivo nazionale, ed è altresì decisivo sviluppare l’attività di formazione come elemento essenziale per consentire la reazione e la prevenzione degli attacchi informatici.

Il Cyber Resilience Act si applica a tutti i prodotti collegati direttamente o indirettamente a un altro dispositivo o rete, fatta eccezione per esclusioni specifiche, come determinati software o servizi open source già coperti da norme esistenti, come nel caso dei dispositivi medici, dell’aviazione e delle automobili. I prodotti recheranno la marcatura CE per indicare che sono conformi ai requisiti CRA. Le nuove norme riequilibreranno la responsabilità nei confronti dei produttori e ciò consentirà agli acquirenti di prendere decisioni più consapevoli, acquisendo fiducia sulla sicurezza informatica dei prodotti con marchio CE.
Il Cyber Resilience Act si applicherà dall’11 dicembre 2027, fatta eccezione per l’art. 14 (Obblighi di segnalazione delle vulnerabilità del prodotto digitale da parte dei fabbricanti) che si applicherà dall’11 settembre 2026 e il Capo IV (articoli 35-51 sulla notifica degli organismi di valutazione della conformità) che troverà applicazione dall’11 giugno 2026. Inoltre, è in fase di costituzione il Cyber Resilience Act Expert Group (CRA Expert Group), che assisterà la Commissione su questioni rilevanti per l’implementazione del Cyber Resilience Act.

Il Cyber Solidarity Act

Il 15 gennaio 2025 ha segnato una nuova data importante per la cybersicurezza europea, con la pubblicazione del Cyber Solidarity Act5. Questo nuovo framework normativo, entrato in vigore il 4 febbraio 2025, rappresenta una risposta concreta all’incremento esponenziale delle minacce informatiche nel contesto europeo. La necessità di questo atto nasce dalla crescente interconnessione delle infrastrutture digitali europee e dalla consapevolezza che la sicurezza informatica non può più essere gestita efficacemente a livello puramente nazionale, in quanto il contesto attuale è caratterizzato da un incremento allarmante sia nella frequenza che nella sofisticazione degli attacchi informatici. Le minacce non si limitano più al tradizionale furto di dati sensibili, ma si estendono a scenari più critici, che includono il sabotaggio di infrastrutture essenziali come reti energetiche e strutture sanitarie.

Sul problema del forte tasso di internazionalizzazione del crimine cibernetico, un importante contributo viene offerto da Ivano Gabrielli, direttore del servizio Polizia Postale e delle Comunicazioni, in possesso di una specifica competenza sulle relative strategie di contrasto adottate dalle forze dell’ordine. Per Gabrielli, il fenomeno degli attacchi cibernetici, oggi, non va letto solo dal punto di vista quantitativo, ma soprattutto da quello qualitativo perché, mentre il numero degli attacchi rimane sostanzialmente invariato negli ultimi anni, viene registrato un aumento della qualità criminale di tali attacchi. “A fronte di questa attività criminale – sostiene Gabrielli – la semplice cooperazione a livello europeo, ancorché fondamentale, non è più sufficiente: occorre arrivare a costruire forme di cooperazione globale, per poter svolgere attività investigative efficaci a livello internazionale. Senza questa internazionalizzazione delle capacità operative delle forze di polizia, ci troveremo disarmati di fronte a una criminalità che, invece, ha travalicato da tempo i confini nazionali”.

A causa dell’interconnessione delle infrastrutture digitali moderne, un attacco in un singolo Stato membro può rapidamente propagarsi attraverso i confini nazionali, creando effetti a cascata su scala continentale. Proprio questa realtà ha reso evidente l’inadeguatezza di approcci puramente nazionali alla cybersicurezza e ha catalizzato lo sviluppo del Cyber Solidarity Act come risposta coordinata e integrata a livello europeo.

Il punto centrale di questo Regolamento è rappresentato dalla creazione di una rete paneuropea di poli informatici, progettata per sviluppare capacità coordinate di rilevamento e risposta alle minacce cyber. Si tratta di un sistema che introduce un approccio innovativo basato sulla cooperazione volontaria tra Stati membri, dove ogni paese partecipante designa un polo informatico nazionale che funge da punto di riferimento per la condivisione di informazioni e competenze. La particolarità di questo sistema risiede nella sua struttura a rete, che prevede la creazione di poli informatici transfrontalieri, composti da almeno tre Stati membri, favorendo così una risposta coordinata e più efficace alle minacce informatiche.

Il Regolamento istituisce un meccanismo per le emergenze di cybersicurezza, introducendo un sistema altamente strutturato di risposta alle minacce, secondo un approccio flessibile che massimizza l’efficienza delle risorse e garantisce un costante stato di prontezza operativa. Tale sistema opera su tre livelli distinti di intervento:

  • il primo livello comprende le azioni di preparazione, che includono la verifica coordinata della preparazione dei soggetti operanti in settori ad alta criticità;
  • il secondo livello prevede protocolli specifici per la gestione delle richieste di supporto, che devono essere processate entro 48 ore dalla presentazione;
  • infine, il terzo livello consiste nell’introduzione di servizi “pre-impegnati”, che possono essere convertiti in servizi di preparazione quando non utilizzati per la risposta agli incidenti.

Un aspetto fondamentale e innovativo del Cyber Solidarity Act è l’enfasi posta sulla cooperazione transfrontaliera come elemento chiave per rafforzare la resilienza informatica dell’Unione Europea. Il Regolamento, infatti, introduce un modello di cooperazione multilaterale che va oltre i tradizionali accordi bilaterali tra Stati membri, creando un ecosistema di collaborazione più ampio e integrato. Altri elementi cruciale del Regolamento riguardano la struttura di governance, che prevede tra l’altro il ruolo centrale assunto dall’ENISA nella gestione operativa della riserva UE per la cybersicurezza e l’introduzione dei Rapid Reaction Teams (RRT), vale a dire unità specializzate che rappresentano l’avanguardia della risposta operativa europea agli incidenti informatici. Il Regolamento pone particolare enfasi anche sullo sviluppo delle competenze nel settore della cybersicurezza, riconoscendo l’urgente necessità di colmare il divario di competenze esistente, con particolare attenzione alla riduzione del divario di genere nella forza lavoro del settore.

Le aziende, specialmente quelle che operano in settori critici, dovranno adeguare strutture e processi per allinearsi ai nuovi requisiti di sicurezza e cooperazione. L’implementazione del Cyber Solidarity Act rappresenta una sfida significativa che richiederà un impegno sostanziale da parte di tutti gli attori coinvolti. La vera efficacia del Regolamento dipenderà dalla capacità di tradurre le disposizioni normative in azioni concrete e dalla volontà degli Stati membri di collaborare attivamente.

La proposta di Cybersecurity Blueprint

Un’ulteriore iniziativa volta a garantire una risposta efficace ed efficiente agli incidenti informatici su vasta scala è rappresentata dalla “Proposta di Raccomandazione del Consiglio relativa a un programma dell’UE sulla gestione delle crisi di cibersicurezza”, presentata dalla Commissione il 24 febbraio scorso6. Tale proposta aggiorna il quadro globale dell’UE per la gestione delle crisi di cybersicurezza e mappa i pertinenti attori dell’UE, delineandone il ruolo durante l’intero ciclo di vita della crisi. Ciò comprende la preparazione e la conoscenza situazionale condivisa per anticipare gli incidenti informatici e le capacità di rilevamento necessarie per identificarli, compresi gli strumenti di risposta e recupero necessari per attenuare, scoraggiare e contenere tali incidenti.

Al riguardo Despina Spanou della Commissione europea, nel corso dell’evento del 25 marzo scorso, ha messo in relazione il blueprint alle iniziative di semplificazione portate avanti dalla Commissione, finalizzate anche all’individuazione delle migliori modalità di reazione nel caso di incidenti di ampia portata; inoltre, già in precedenza Henna Virkkunen, Vicepresidente esecutiva della Commissione europea per la Sovranità tecnologica, la sicurezza e la democrazia, aveva considerato che “il piano proposto per la cibersicurezza riflette l’impegno della Commissione a garantire un approccio coordinato, facendo leva sulle strutture esistenti per proteggere il mercato interno e sostenere funzioni vitali della società. La proposta di Cybersecurity Blueprint rappresenta un passo avanti fondamentale per rafforzare la cyberresilienza collettiva in un’economia dell’Unione dove sempre più le perturbazioni dovute agli incidenti di cibersicurezza possono avere impatti di vasta interdipendenza in vari settori”.

In particolare, l’obiettivo del progetto è quello di presentare in modo chiaro, semplice e accessibile, il quadro dell’Unione europea per la gestione delle crisi informatiche. Ciò dovrebbe consentire agli attori rilevanti dell’Unione (vale a dire i singoli soggetti e le reti di soggetti a livello dell’Unione) di comprendere come interagire e utilizzare al meglio i meccanismi disponibili durante l’intero ciclo di gestione delle crisi. La proposta intende spiegare che cos’è una crisi informatica e che cosa innesca un meccanismo di gestione delle crisi informatiche. Illustra, poi, come utilizzare i meccanismi disponibili come il meccanismo per le emergenze di cybersicurezza, compresa la riserva dell’UE per la cybersicurezza, per preparare le modalità di gestione, risposta e ripristino in seguito a una crisi derivante da un incidente di informatico su vasta scala.

Conclusioni

Nonostante i numerosi provvedimenti varati in ambito europeo per contrastare il diffondersi di attacchi informatici sempre più sofisticati, con l’obiettivo di combattere la diffusione del cybercrime e rafforzare la resilienza digitale, i risultati finora raggiunti non possono ancora ritenersi del tutto soddisfacenti. Per realizzare ulteriori progressi è necessario avviare iniziative di maggiore ampiezza, coinvolgendo soggetti privati, organizzazioni internazionali e singoli stati.

A livello nazionale, sono in corso importanti iniziative governative per la trasformazione digitale e la sicurezza delle reti, illustrate nel corso del convegno del 25 marzo dal Capo Dipartimento per il digitale, la connettività e le nuove tecnologie del MIMIT, Eva Spina, che ha ricordato come la transizione digitale abbia portato prospettive di sviluppo prima inimmaginabili e, allo stesso tempo, rischi e pericoli di eventuali attacchi hacker o ransomware, ai quali sono vulnerabili in primo luogo le micro e piccole imprese. “A tale riguardo – ha sottolineato Eva Spina – è fondamentale innanzitutto favorire la consapevolezza dei piccoli attori economici su tali rischi e le istituzioni devono accompagnare il sistema produttivo in questo percorso di transizione verso una maggiore sicurezza, sia con la diffusione di buone pratiche volte a migliorare la valutazione del rischio (come ha già fatto l’ENISA a livello europeo), sia soprattutto con programmi di formazione continua dei dipendenti, come peraltro previsto dalla NIS 2.

Il MIMIT, come autorità di settore, è impegnato ad implementare l’aggiornamento dei dipendenti pubblici e privati sui temi della cybersicurezza”.

Ancora con riferimento al nostro Paese, il disegno di legge in materia di intelligenza artificiale7 approvato dal Senato il 20 marzo 2025 e trasmesso alla Camera dei deputati, recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale”, evidenzia la connessione tra la materia dell’intelligenza artificiale e quella della cybersicurezza. Tra gli obiettivi del provvedimento, infatti, rientra quello di garantire la vigilanza sui rischi economici e sociali e sull’impatto sui diritti fondamentali che possono derivare da un uso improprio e malevolo dell’intelligenza artificiale. Su questo aspetto si è intrattenuto, nel corso del più volte richiamato convegno del 25 marzo, il Sen. Franco Zaffini, Presidente della X Commissione Salute e Lavoro e Presidente delle Commissioni riunite sull’intelligenza artificiale secondo il quale, a fronte degli attacchi realizzati con l’uso dell’intelligenza artificiale occorrerà sviluppare un’intelligenza “umana” capace di governare quella artificiale. Si tratta di una sfida che va affrontata a tutti i livelli, con particolare attenzione ai soggetti più fragili come le micro e piccole imprese, nei cui confronti è necessario migliorare e moltiplicare i nostri modelli formativi.

NOTE

1 Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell’Unione.

2 Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, recante modifica del regolamento (UE) n. 910/2014 e della direttiva (UE) 018/1972 e che abroga la direttiva (UE) 2016/1148.

3 Regolamento di esecuzione (UE) 2024/2690 della Commissione del 17 ottobre 2024, recante modalità di applicazione della direttiva (UE) 2022/2555 per quanto riguarda i requisiti tecnici e metodologici delle misure di gestione dei rischi di cibersicurezza e l’ulteriore specificazione dei casi in cui un incidente è considerato significativo per quanto riguarda i fornitori di servizi DNS, i registri dei nomi di dominio di primo livello, i fornitori di servizi di cloud computing, i fornitori di servizi di data center, i fornitori di reti di distribuzione dei contenuti, i fornitori di servizi gestiti, i fornitori di servizi di sicurezza gestiti, i fornitori di mercati online, di motori di ricerca online e di piattaforme di servizi di social network e i prestatori di servizi fiduciari (GUUE L 18/10/2024).

4 Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i Regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828. Il Cyber Resilience Act si basa sulla Strategia per la sicurezza informatica dell’UE del 2020 e sulla Strategia per l’Unione per la sicurezza dell’UE e integra altre normative in questo settore, in particolare la direttiva NIS 2.

5 Regolamento (UE) 2025/38 del Parlamento europeo e del Consiglio del 19 dicembre 2024, che stabilisce misure intese a rafforzare la solidarietà e le capacità dell’Unione di rilevamento delle minacce e degli incidenti informatici e di preparazione e risposta agli stessi, e che modifica il Regolamento (UE) 2021/694.

6 COM (2025) 66 final del 24 febbraio 2025: “Proposta di Raccomandazione del Consiglio relativa a un programma dell’UE sulla gestione delle crisi di cibersicurezza”.

7 Atto Camera n. 2316.

Print Friendly, PDF & Email

Print Friendly, PDF & Email

Il convegno “Cybersicurezza e Politiche di Coesione”, tenutosi il 25 marzo presso lo Spazio Europa a Roma, è stata un’occasione di confronto che ha delineato il quadro generale sul tema della cybersecurity grazie all’intervento dei principali attori nazionali ed europei.

L’evento, promosso dall’European Digital Innovation Hub MicroCyber, coordinato dall’Ente Nazionale per il Microcredito, ha rappresentato un’importante occasione di confronto tra istituzioni, esperti del settore e imprese per definire strategie concrete a supporto della sicurezza digitale nel contesto delle politiche di coesione.

Durante la giornata, si sono alternati interventi di alto livello, tra cui quello del Ministro per gli Affari Europei, il PNRR e le Politiche di Coesione, Tommaso Foti.

Sono stati esaminati anche i legami tra le politiche di coesione e la sicurezza digitale, evidenziando come le iniziative europee, come la direttiva NIS2 e il Programma Europa Digitale, stiano contribuendo a rafforzare la resilienza cibernetica delle imprese e delle pubbliche amministrazioni.

Il convegno ha visto la partecipazione di autorevoli rappresentanti istituzionali e professionisti del settore, che hanno condiviso le loro esperienze e conoscenze, creando un ambiente stimolante per il confronto e la collaborazione. L’evento ha offerto l’opportunità di esplorare convergenze a livello nazionale ed europeo, con l’obiettivo di sviluppare politiche efficaci per il rafforzamento della resilienza cyber del tessuto produttivo e della Pubblica Amministrazione.

“Cybersicurezza e Politiche di Coesione” è stato un momento di incontro e confronto tra gli attori di un sistema sempre più complesso che si candida a costruire un futuro digitale più sicuro e resiliente, confermando l’importanza di un approccio integrato e collaborativo nella lotta contro le minacce informatiche. L’European Digital Innovation Hub MicroCyber si è affermato come un punto di riferimento per il supporto alle imprese nel campo della cybersicurezza e dell’innovazione digitale, promuovendo un dialogo costante tra tutti gli attori coinvolti.

La giornata ha visto la partecipazione di autorevoli rappresentanti istituzionali che hanno approfondito aspetti normativi, strategie di difesa cibernetica e il ruolo delle politiche di coesione nella sicurezza digitale delle impresa di seguito riportiamo gli highlights delle dichiarazioni rilasciate durante il convegno ai microfoni di Microfinanza.

Bruno Frattasi Direttore Generale
di ACN:

“La pandemia ci ha fatto capire l’importanza del tema della coesione digitale e del digital divide. Una forma di esclusione sociale per i cittadini e per le imprese”. “L’Ente Nazionale per il Microcredito sta svolgendo un ottimo lavoro. Un ente che si occupa di aspetti fondamentali, a partire dal sostegno alle imprese e ai cittadini nel fare fronte alle loro esigenze vitali”

Mario Baccini
Presidente dell’Ente Nazionale per il Microcredito, ha evidenziato:

“La cybersicurezza è un pilastro strategico per la trasformazione digitale di imprese e pubbliche amministrazioni. A livello europeo, iniziative come la direttiva NIS2 e il Programma Europa Digitale rafforzano la resilienza cibernetica, sostenuta anche dalle politiche di coesione e dai fondi europei. L’Ente Nazionale per il Microcredito, con il Polo Microcyber, supporta micro e piccole imprese nell’adozione di strumenti di cybersicurezza, essenziali per la competitività. Fondamentale il ruolo del MIMIT nel promuovere la digitalizzazione sicura e coordinata del sistema produttivo nazionale.”

Eva Spina

Capo Dipartimento per il digitale, la connettività e le nuove tecnologie del MIMIT:

“La transizione digitale apre prospettive di sviluppo prima non immaginabili per le piccole imprese. Dall’altro lato, ci sono i rischi, i pericoli per eventuali attacchi hacker. Per le micro, piccole e medie imprese l’aspetto più rilevante è la consapevolezza. Senza, verrebbe meno l’intero sistema di sicurezza”.

Luca Tagliaretti

Direttore dell’ECCC:

“La grande sfida, la questione più complessa, è il coordinamento e l’interazione tra tutti gli attori coinvolti. L’obiettivo ultimo è far sì che gli investimenti, che pure sono limitati, ottengano il successo maggiore in ambito europeo”.

Ivano Gabrielli
Direttore del Servizio Polizia Postale e per la Sicurezza Cibernetica:

“La sicurezza cyber è un tema globale, che si dilata ben oltre i confini delle singole nazioni. Ci troviamo di fronte a una dimensione complessa, con una incredibile esplosione dei fenomeni illeciti. Si tratta di una criminalità che sta evolvendo dal punto di vista qualitativo. Attacchi sempre più importanti, pervasivi e pericolosi”.

Despina Spanou

Principal Adviser for Cybersecurity Coordination, European Commission:

“A Bruxelles discutiamo molto sull’importanza della cybersecurity per le nostre società. L’esperienza, anche recente, ci insegna che gli attacchi informatici non sono solo di tipo finanziario, ma sono dovuti anche a decisioni politiche. Sono attacchi molto presenti, che possono avere un impatto pesante sulle nostre società e le nostre economie. Per noi la priorità è la difesa delle infrastrutture critiche”.

Franco Zaffini

Presidente 10ª Commissione permanente e Presidente delle Commisioni Riunite sull’intelligenza artificiale:

“Il digitale ci ha fatto perdere i confini. Ci confrontiamo con una dimensione internazionale, globale. L’AI, poi, ha ulteriormente accelerato questo processo nel senso dell’aumento delle prestazioni. Un’autentica rivoluzione, che ha molteplici rischi. Il più evidente è proprio quello della cybersicurezza. Servono strumenti efficaci per contrastare i criminali informatici”.

Giovanni Nicola Pes

Vice Segretario Generale ENM e Direttore Microcyber:

“Oggi ci troviamo in un campo di battaglia caratterizzato dal mas-simo livello tecnologico tra chi attacca e chi difende. Il nostro compito, oggi e nei prossimi anni, è quello di continuare a sviluppare nuovi strumenti, promuovere la consapevolezza e avviare attività di formazione. Senza una formazione adeguata, infatti, gli strumenti tecnologici non possono essere utilizzati in modo efficace dagli operatori, siano essi pubblici o privati”.

Riccardo Graziano

Segretario Generale ENM:

“La sicurezza è una priorità, quella informa-tica lo sta diventando sempre di più. L’ENM da una parte promuove già con i suoi tutor politiche di difesa e prevenzione in materia anche di attacchi informatici, dall’altra sta per avviare un progetto importantissimo a livello nazionale di formazione nell’ambito del DL Coesione e quindi promuoveremo moduli di formazione da 100 ore in cui almeno 15-20 saranno dedicate a questo tema”.

Valeria Valsecchi

CIRPS:

Il tallone d’Achille della Pubblica Amministra-zione è la formazione del personale. Il fiore all’oc-chiello di Microcyber è quello di aver unito i due settori, la micro-impresa e la Pubblica Amministrazione, però quella locale, quella piccola facendole lavorare in simbiosi”.
Cristiano Camponeschi

Manager Deloitte Officine Innovazione:

“In questo progetto abbiamo focalizzato un aspetto chiave: molti dei servizi offerti anche dalle grandi aziende che fanno cybersecurity spesso non vengono pensati per le micro e piccole imprese. Nel progetto stiamo facendo una cosa molto semplice, stiamo aiutando le startup a crescere per rendersi sempre più pronte a un mercato vasto come quello del mondo delle PMI e allo stesso tempo con l’aiuto degli altri soci del partenariato andiamo a contattare le PMI che entrano in contatto con Microsoft per offrire questo tipo di servizi. ll futuro è rendere questo EDITH, in generale i servizi che noi diamo, dei servizi che possono anche generare un valore di mercato”.

Tommaso Foti

Ministro per gli Affari Europei, il PNRR e le Politiche di Coesione:

“L’importanza della partecipazione degli enti pubblici italiani all’in-terno dei progetti europei per migliorare la coesione?

È fondamentale innanzitutto che noi ci poniamo il tema dell’importanza della partecipazione degli enti pubblici italiani all’interno dei progetti europei per migliorare la coesione, tema che è stato correttamente posto in questo convegno organizzato dall’ENM. La formazione professionale anche dei dipendenti diventa fondamentale in una politica di cybersicurezza, perché non basta solo avere le infrastrutture, occorre poi necessariamente avere il personale adeguato che possa utilizzarle correttamente, che sappia individuare per tempo la possibile aggressione, che sappia reagire e trovare gli strumenti per poter prevenire, a volte contrastare l’attacco che viene portato ora sotto il profilo politico, ora sotto il profilo soltanto criminale in questo settore”.

Print Friendly, PDF & Email

Print Friendly, PDF & Email

Verso un’Europa più digitale: la rete degli European Digital Innovation Hub

Negli ultimi anni, l’Unione Europea ha intrapreso un ambizioso percorso per favorire la transizione digitale dei suoi sistemi produttivi e istituzionali. In questo quadro, una delle iniziative più rilevanti è certamente quella che ha dato vita alla rete degli European Digital Innovation Hub (EDIH), poli di innovazione distribuiti capillarmente sul territorio europeo e pensati come centri di riferimento per accompagnare imprese e pubbliche amministrazioni nell’adozione di tecnologie digitali avanzate. La missione è chiara: accelerare la digitalizzazione dell’economia, soprattutto delle piccole e medie imprese, rendendole più competitive, resilienti e sostenibili.

L’EDIH non è un semplice progetto, ma un’infrastruttura strategica prevista dal Programma Europa Digitale, il cui obiettivo è rafforzare la leadership europea nelle tecnologie digitali attraverso il finanziamento di iniziative concrete. A partire dal 2022, la Commissione Europea ha selezionato e cofinanziato i primi 136 poli, ampliando successivamente la rete fino a raggiungere, nel 2023, un totale di 151 hub presenti in tutta l’Unione. Con un investimento pubblico complessivo che supera i 640 milioni di euro – provenienti da fondi europei e da cofinanziamenti nazionali – la rete copre circa il 90% della popolazione attiva europea.

In Italia, sono stati attivati 13 hub ufficialmente finanziati dall’Unione Europea, a cui si affiancano 24 ulteriori poli premiati con il “Seal of Excellence”, un riconoscimento di qualità che ha permesso a queste realtà di essere sostenute con risorse nazionali. Il nostro Paese ha risposto con grande impegno, investendo oltre 148 milioni di euro per sostenere l’intera rete. Gli EDIH si distinguono non solo per il supporto tecnologico offerto, ma anche per la capacità di creare sinergie tra imprese, pubbliche amministrazioni, università e centri di ricerca, ponendosi come snodi cruciali degli ecosistemi regionali dell’innovazione.

Ogni hub si concentra su una o più tecnologie chiave, considerate strategiche per la competitività dell’UE. Tra queste spiccano l’Intelligenza Artificiale, la Cybersecurity e il Calcolo ad Alte Prestazioni (HPC), ma non mancano le applicazioni nei campi del cloud computing, della robotica, della realtà aumentata e virtuale, dei Big Data e dell’Internet of Things. Gli EDIH non sono centri astratti o generici: ciascuno si radica nel proprio territorio e nel proprio network, rispondendo alle vocazioni produttive locali. Alcuni poli sono dedicati al manifatturiero, altri all’agroalimentare, alla sanità, all’energia, alla cultura. E tra questi, emerge DIHCUBE, il Digital Innovation Hub dedicato al mondo delle costruzioni e dell’ambiente costruito.

DIHCUBE: il futuro digitale del settore delle costruzioni

Nel vasto panorama degli EDIH italiani, DIHCUBE - Digital Italian Hub for Construction and the Built Environment si distingue per il suo focus verticale su un comparto strategico quanto complesso: quello dell’edilizia. Con una durata triennale e un partenariato articolato composto da università, enti pubblici e aziende private, DIHCUBE si propone come motore della trasformazione digitale nel mondo delle costruzioni, un settore che in Italia rappresenta il 22% del PIL ma che, al contempo, è ancora caratterizzato da un basso livello di digitalizzazione, da una forte frammentazione e da una competitività limitata.

L’obiettivo di DIHCUBE è ambizioso: creare un vero e proprio ecosistema dell’innovazione, capace di coinvolgere l’intera filiera del settore. Non solo imprese costruttrici, ma anche progettisti, fornitori di materiali e tecnologie, software house, gestori, committenti pubblici e privati. A loro disposizione verrà messo un insieme integrato di servizi, dalla valutazione della maturità digitale all’affiancamento tecnologico, dalla formazione all’accesso ai finanziamenti, fino alla sperimentazione diretta di soluzioni innovative.

Il cuore dell’innovazione proposta da DIHCUBE è rappresentato dall’integrazione tra Intelligenza Artificiale, High Performance Computing e Sicurezza Informatica. Questo approccio consente di affrontare, in modo sistemico, le sfide della progettazione, della gestione di cantiere, della logistica e del monitoraggio delle infrastrutture. Il polo si propone anche come catalizzatore per la transizione verde, supportando le imprese nella scelta di materiali sostenibili, nell’ottimizzazione energetica e nella digitalizzazione dei processi edilizi.

Non meno importante è la dimensione europea del progetto. DIHCUBE è parte di una rete tematica che include altri sei hub europei dedicati al settore delle costruzioni, situati in Belgio, Finlandia, Germania, Portogallo, Polonia e Bulgaria. Questa connessione continentale rappresenta un’opportunità per condividere buone pratiche, sviluppare progetti congiunti e ampliare l’impatto delle azioni intraprese in Italia.

Il contributo dell’Ente Nazionale per il Microcredito al progetto DIHCUBE

Tra i partner di DIHCUBE, l’Ente Nazionale per il Microcredito è stato coinvolto – in virtù della sua missione istituzionale – per facilitare le imprese (e in particolare le PMI del settore) ad accedere a opportunità di finanziamento legate all’innovazione digitale.

Nell’ambito di DIHCUBE, l’ENM ha contribuito attivamente alla progettazione e all’implementazione dei servizi pensati per supportare le imprese nell’accesso al credito, nella comprensione dei bandi disponibili e nella costruzione di strategie di investimento sostenibili.

Tra i servizi offerti da ENM all’interno di DIHCUBE troviamo:

  • Il monitoraggio continuativo delle misure di sostegno finanziario più rilevanti a livello europeo, nazionale e regionale.
  • Attività di informazione, sensibilizzazione e formazione, sulle misure disponibili (inclusi gli strumenti di microfinanza), tramite l’organizzazione di workshop tematici, incontri con le imprese e momenti informativi.
  • Accompagnamento alle imprese interessate, tramite consulenze individuali finalizzate all’analisi di bandi specifici, alla redazione delle domande e alla pianificazione di investimenti innovativi.

Nella prima fase di attività, ENM ha svolto una ricognizione approfondita delle fonti di finanziamento, con particolare attenzione ai programmi che promuovono la digitalizzazione, l’innovazione tecnologica e la transizione ecologica. La selezione ha incluso strumenti molto diversificati, dai contributi a fondo perduto ai prestiti agevolati, dagli incentivi fiscali ai finanziamenti misti. Sono stati analizzati parametri come gli ambiti tematici coperti, i soggetti beneficiari, le spese ammissibili, i criteri di selezione e le modalità di candidatura.

Dalla mappatura è emersa la rilevanza crescente di incentivi destinati all’efficientamento energetico, all’adozione del BIM, alla formazione delle competenze digitali e all’utilizzo di materiali innovativi. È stata anche evidenziata la complessità del panorama finanziario, caratterizzato da una frammentazione delle fonti e da procedure di accesso spesso articolate, che rendono ancora più prezioso il ruolo di accompagnamento svolto dall’ENM.

Il 2025 è un anno strategico per il settore delle costruzioni, grazie a una dotazione significativa di fondi pubblici. Il PNRR resta centrale, con oltre 45 miliardi destinati al comparto e altri 9,3 miliardi per l’efficienza energetica. Le misure più rilevanti includono il Piano Transizione 5.0, che incentiva la riduzione dei consumi energetici, e i Contratti di Sviluppo, focalizzati su sostenibilità e innovazione. Importanti anche il Fondo per la Transizione Industriale e il Fondo Nuove Competenze, rivolti all’aggiornamento delle professionalità.

Per le PMI spicca la Nuova Sabatini Capitalizzazione, che sostiene gli investimenti in tecnologie 4.0 e progetti green, con un’attenzione particolare alle aree del Mezzogiorno. Anche le Regioni, come Lombardia, Lazio e Campania, offrono bandi a fondo perduto o agevolati per la transizione ecologica e digitale.

Nonostante le opportunità, la digitalizzazione del settore resta bassa e la carenza di manodopera qualificata è un ostacolo concreto. Le imprese che sapranno investire in innovazione, formazione e sostenibilità avranno un vantaggio competitivo decisivo. In questo contesto, l’accesso ai servizi DIHCUBE, e in particolare ai servizi ENM per l’accesso a risorse per finanziare investimenti in digitalizzazione, appaiono come una opportunità da non mancare per le PMI del settore.

Conclusioni

A livello europeo, la digitalizzazione del settore edile rappresenta una sfida e al contempo un’opportunità. L’edilizia è uno dei comparti storicamente meno digitalizzati, ancora fortemente legato a pratiche tradizionali e a una struttura produttiva frammentata. Tuttavia, la crescente pressione ambientale, l’evoluzione normativa, le esigenze di sostenibilità e l’impatto delle recenti crisi internazionali – dalla pandemia alle tensioni geopolitiche – stanno accelerando una transizione ormai ineludibile. La digitalizzazione, infatti, si sta imponendo come leva fondamentale per incrementare la produttività, migliorare la sicurezza nei cantieri, ridurre l’impatto ambientale e attrarre nuove professionalità nel settore.

A guidare questa trasformazione vi sono alcune tecnologie chiave: il Building Information Modeling (BIM), sempre più utilizzato per la progettazione e la gestione del ciclo di vita degli edifici; l’Internet of Things (IoT), che consente il monitoraggio in tempo reale delle infrastrutture; i sensori intelligenti e i sistemi di scansione 3D, capaci di rilevare dati fondamentali per la manutenzione predittiva; i droni per la sorveglianza dei cantieri; la robotica e la stampa 3D per la realizzazione di componenti costruttivi in modo rapido e preciso; e, non da ultimo, l’Intelligenza Artificiale per l’analisi dei dati, la pianificazione e il controllo dei costi. Sebbene molte di queste soluzioni siano ancora in fase di sviluppo o adozione limitata, è ormai evidente che il futuro del comparto passerà necessariamente attraverso il loro impiego integrato.

In questo contesto, il ruolo delle micro e piccole imprese (PMI) è tanto cruciale quanto delicato. Nell’Unione Europea, oltre il 90% delle imprese del settore delle costruzioni è composto da PMI, una percentuale che in Italia raggiunge addirittura il 95%. Queste realtà rappresentano l’ossatura del sistema produttivo edile, ma spesso si trovano in difficoltà nell’adottare strumenti digitali, a causa di risorse economiche limitate, carenze di competenze tecniche, scarsa consapevolezza dei benefici e difficoltà nell’accesso ai finanziamenti. La digitalizzazione per le PMI non è solo una questione tecnologica, ma anche organizzativa e culturale.

Già il rapporto della Commissione Europea risalente al 2021 (Osservatorio europeo sul settore delle costruzioni - “La digitalizzazione nel settore delle costruzioni Report analitico Aprile 2021”) sulla transizione del settore edile, aveva identificato come uno dei principali ostacoli per le MPI la difficoltà di accesso a risorse finanziarie per coprire l’investimento in hardware e software, seguiti dalla mancanza di personale qualificato e dalla complessità dei processi di adozione. Allo stesso tempo, però, sono proprio le PMI a poter trarre i maggiori benefici da un corretto percorso di digitalizzazione: maggiore efficienza operativa, controllo dei costi, tracciabilità dei materiali, accesso a nuovi mercati, miglioramento della sicurezza e della sostenibilità dei cantieri. Inoltre, l’introduzione di strumenti digitali può facilitare l’accesso a commesse pubbliche, sempre più legate a requisiti digitali come l’adozione del BIM o la rendicontazione dei parametri ESG.

L’Ente Nazionale per il Microcredito e hub come DIHCUBE sono chiamati a colmare questo divario, offrendo alle PMI supporto personalizzato, formazione e strumenti finanziari per accompagnarle lungo il percorso di transizione. Iniziative come la creazione di cataloghi di opportunità di finanziamento, l’erogazione di workshop e pillole formative sulla microfinanza, l’organizzazione di assessments digitali e la consulenza su bandi europei e nazionali sono strumenti essenziali per rendere la digitalizzazione accessibile anche ai piccoli operatori.

BIM (Building Information Modeling) e ESG (Environmental, Social, Governance) sono due approcci che possono essere combinati per promuovere la sostenibilità e la responsabilità sociale nella progettazione e costruzione di edifici.

BIM

  • Consente di gestire i dati di un edificio lungo tutto il suo ciclo di vita, dalla progettazione alla demolizione 


  • Permette di ottimizzare i processi decisionali, ridurre gli impatti ambientali ed energetici 


  • Fornisce un quadro dettagliato e organizzato di tutte le informazioni dell’opera 


  • Consente di prevedere costi e tempi di realizzazione 



ESG

  • Consente di verificare, misurare e sostenere l’impegno di un’impresa o di un’organizzazione in termini di sostenibilità 


  • Considera fattori etici che trascendono l’analisi finanziaria tradizionale 


  • Si riferisce a tre dimensioni della sostenibilità: ambientale, sociale e di governance 



Combinando BIM e ESG, è possibile:

  • Calcolare in fase preliminare scenari e impatti ambientali
  • Sostenere l’impegno in termini di sostenibilità
  • Promuovere sound governance
  • Contribuire a un’edilizia che si allinea ai principi di responsabilità ambientale, equità sociale e accountability aziendale
  • Gestire in modo integrato, interoperabile e proiettato nel tempo il costruito

AI OVERVIEW

Print Friendly, PDF & Email

Print Friendly, PDF & Email

Intervista a Bianca De Teffé Erb

Direttore Data & AI Ethics Leader

Deloitte

I limiti all’implementazione e all’utilizzo di strumenti basati sull’intelligenza artificiale nel campo della sicurezza informatica, e non solo, inducono necessariamente a riflettere sui principi etici da cui dovrebbero dipendere in un contesto storico e geopolitico che ormai vive la quinta dimensione dello spazio come una realtà economica preminente.

Quali sono gli ostacoli e quali le giuste restrizioni entro cui in Europa si possono sviluppare nuove opportunità che nascono in un ambiente digitale in cui il pericolo è individuato da quattro grandi atti normativi (GDPR, AI ACT, Digital Act, Digital Market Act) che inseguono le tecnologie, cercando di delinearne i confini, spesso anche in modo apparentemente contrastante. Microfinanza si è rivolta ad una esperta del settore, Bianca de Teffé Erb - Direttore Data Ethics Leader - Cyber Risk services di Deloitte, per discutere del tema.

In questo momento storico esistono attività legislative che si sovrappongono e che sono necessarie a quella che è, da un lato, la tutela dei dati e, dall’altro a garantire la sicurezza sia delle aziende, chè delle persone. Come gestire tutto questo in modo etico?

Oggi ci troviamo in una situazione geopolitica, ma soprattutto tecnologica, di grande rivoluzione e innovazione in cui si può parlare di intelligenza artificiale, di robotica o anche, banalmente, dell’avanzamento degli smart devices. Siamo tutti circondati da sistemi che iniziano a diventare intelligenti e, volenti o nolenti, facciamo parte anche di questo ecosistema. Questo pone una serie di obblighi e doveri non solo per i fornitori, ma anche per noi utilizzatori. Parto dal nostro punto di vista di utilizzatori: ciascuno di noi ha la responsabilità di meglio comprendere e capire quali sono le potenzialità e opportunità su come utilizzarli: ChatGpt, uno smart device, è necessario conoscere potenziali rischi e limitazioni. Se è un drone a cui viene applicata anche l’intelligenza artificiale, capire se utilizzarlo per fini di emergency management, quindi per aiutare la protezione civile in momenti di difficoltà, o se è usabile con finalità in ambito militare. L’AI può essere paragonata un po’ al fuoco. Può essere usata per tantissimi ambiti utili per noi esseri umani, ma anche potenzialmente comportare dei rischi e degli incidenti. Quindi, dobbiamo prestare attenzione su come utilizzare queste nuove tecnologie, e sta a noi, e non solo ai fornitori, utilizzarle con criteri morali ed etici. Invece tutte quelle aziende, che siano piccole, medie o anche grandi, che sono coinvolte nel processo per ideare, disegnare e sviluppare queste tecnologie, si trovano di fronte a una responsabilità importante: garantire che il potenziale utilizzo di questi strumenti possa limitare, per quanto possibile, un impatto o un utilizzo di tipo negativo.

Cosa intende per impatto negativo?

Un impatto che può avere delle conseguenze a livello sia economico che sociale, che crei ulteriormente disparità tra gruppi sociali già vulnerabili o discriminati. L’AI deve migliorare quella che è la qualità del nostro tempo e della nostra vita. Non solo dal punto di vista dell’efficienza operativa, ma anche darci la possibilità di velocizzare il lavoro per dedicare più tempo ad attività di valore, di creazione, o anche dedicare più tempo alla sfera personale, che in qualche modo ha sempre un risvolto positivo anche sulla società.

L’esercizio più difficile per il legislatore è disegnare, in un’ottica di responsabilità condivisa, una normativa che metta a fattor comune le esigenze di tutti. Questo, diciamo, è anche uno degli ostacoli più grandi a cui ci troviamo davanti oggi.

Facciamo riferimento a un sistema normativo incentrato sul principio di accountability. Come le imprese si assumono questa responsabilità e cercano di trattare dati e sicurezza delle persone?

Sicuramente le imprese, grazie anche all’introduzione di questi nuovi regolamenti, ma non solo, si trovano per la prima volta davanti a un tema: come integrare i principi etici, i requisiti di sicurezza o della privacy all’interno dei processi di sviluppo innovativo. Quindi, da un primo punto di vista, le aziende hanno la possibilità di accedere gratuitamente a fonti sia accademiche che governative, ma anche private, che possano fornire strumenti e basi di partenza da riutilizzare e replicare all’interno delle proprie strutture. Un primo passo, quindi, è fare leva su tutti gli anni di studio e di condivisione open source di questa grande comunità globale, che sta cercando di supportare la progressione tecnologica a livello mondiale. Dall’altro lato, quello che notiamo è la necessità di una collaborazione tra mondo privato e pubblico. La rete accademica si attiva costantemente per il trasferimento di competenze e la soluzione di problemi. La difficoltà più grande che oggi riscontrano le aziende è l’assenza di competenze a 360 gradi, tali da garantire il rispetto non solo dei requisiti tecnici e funzionali di business, ma anche di quelli etici. Serve avere, in questo processo, persone con nozioni giuridiche, tecnologiche e umanistiche. Talvolta, all’interno delle aziende, questa triade di competenze non si trova, e da qui nasce quello che può essere il ponte di collaborazione tra mondo privato e pubblico. A mio avviso è necessaria una call to action dello Stato affinché si inizino a creare sempre più centri di competenza o hub che possano supportarele aziende, nel comprendere meglio i requisiti normativi, le best practices e le tecnologie su cui far leva, che il governo stesso rende accessibili. Le aziende si stanno quindi muovendo: da un lato cogliendo ciò che il panorama mondiale e nazionale offre; dall’altro, sfruttando le competenze già presenti internamente, mettendo al tavolo una serie di attori. È la prima volta che vedo dialogare, non in antitesi ma in ottica di partnership, innovation officer e compliance officer come soci attivi in questo progresso. In ultimo, ma molto importante, rileviamo che le aziende si stanno concentrando per lavorare in un’ottica di compliance by design o responsible innovation: cercare, cioè, di integrare fin dall’inizio nel disegno delle nuove tecnologie, i requisiti normativi, nonché i principi e i valori etici dell’azienda stessa e della comunità, all’interno delle nuove progettualità.

Deloitte è partner nel progetto Microcyber, che vede capofila l’ENM, per la cyber security delle PMI. In termini più generali quali sono le linee di indirizzo create per la strategia di business? Qual è la terza fase?

La terza fase è quella di fare anche un’analisi dell’attuale conformità rispetto a queste normative e alle best practice, in modo tale da disegnare un piano di adeguamento, quindi una roadmap strategica che possa mettere a fattor comune quella che è la strategia già esistente, sia lato business che lato tecnologico, in particolare sulle necessità illustrate dall’AI Act sui fattori della sicurezza e della compliance stessa. In questo modo, guardando l’insieme del piano industriale delle aziende, si tengono in considerazione tutte le componenti: business, digitale, compliance e sicurezza. Da questo punto di vista, si parte chiaramente dalle persone, come dicevamo, e dalle competenze, per poi passare alla parte strategica. La strategia viene solitamente definita con un approccio che parte da un’analisi e comprensione di dove l’azienda si colloca oggi rispetto al modello target. Il modello target viene definito non solo sulla base delle leggi, ma anche prendendo in considerazione i peers di settore, quindi comprendendo come si stanno muovendo gli altri e quali best practice hanno adottato. Successivamente, si mettono in atto una serie di iniziative che possono avere un impatto sia a livello di governance, definendo modelli organizzativi e operativi che siano agili e capaci di integrare aspetti digitali, di sicurezza e di conformità in un unico tavolo, sia a livello pratico. Ad esempio, per quanto riguarda l’AI governance model, occorre definire i processi sottostanti: quali sono le macro-attività da svolgere, come le valutazioni preliminari sull’impatto della sicurezza, o sui diritti fondamentali dell’uomo legati all’introduzione di nuovi sistemi di AI, oppure la valutazione del rischio per ciascun caso d’uso. Infine, il terzo filone è quello tecnologico: Adottare tecnologie che possano promuovere lo sviluppo del business, ma anche sfruttare queste stesse tecnologie come l’intelligenza artificiale per tutelarsi ulteriormente dal punto di vista della cyber security, della privacy, dell’etica e della gestione del rischio. Questo perché l’AI non è solo un potenziale vettore di attacco, ma può anche essere un potente strumento di difesa. Quindi, migliorare e ottimizzare anche questo strato tecnologico rientra tra le iniziative previste a livello di piano strategico aziendale.

Con l’implementazione delle nuove tecnologie AI quanto oggi è esposta l’azienda ad un eventuale rischio? Quanto è alto il rischio e come si dovrà ripensare alla certificazione degli strumenti, tenendo conto che lì si gioca tutta la nuova partita?

I rischi purtroppo ci sono, e sono, direi, abbastanza alti. Perché i rischi sono alti? Perché intanto manca, ed è il motivo per cui l’AI Act ha posto come primo requisito di entrata in vigore al 2 febbraio, il concetto delle competenze. Ma non solo le competenze per sviluppare questi sistemi, bensì anche quelle per comprenderli e utilizzarli meglio. Ad oggi, il rischio non si presenta per molte imprese italiane tanto nella parte di sviluppo, quanto soprattutto nella parte di acquisto e utilizzo. Infatti, molte imprese, per velocizzare la propria partecipazione alla cosiddetta AI race, questa gara all’intelligenza artificiale, tendono ad acquistare prodotti già disponibili, senza sapere o analizzare bene quali possano essere alcune limitazioni o potenziali rischi legati all’utilizzo scorretto di questi sistemi. Faccio un esempio: dal punto di vista della sicurezza e della riservatezza del dato, può accadere che alcuni dipendenti carichino, quindi facciano un upload, di report sensibili dell’azienda all’interno di ChatGPT, ovvero nel modello pubblicamente disponibile, contenente dati sensibili. Lo fanno per chiedere a ChatGPT di fare una sintesi del report. La richiesta, dal punto di vista della macchina, è semplice, perché essendo un large language model, è ottimo per sintetizzare in pochi secondi un documento. Ma il rischio dove si concretizza? Nella condivisione di dati classificati come sensibili per l’azienda all’interno di server e infrastrutture appartenenti a un’altra azienda, esterna. Non sappiamo dove questi dati siano finiti, ma sappiamo che ora sono in pasto a OpenAI, in questo caso. Molte volte l’utente finale non è neanche consapevole di aver commesso un errore, ovvero un potenziale incidente di data breach. Ipotizziamo che in quei file non ci siano solo dati riservati di natura strategica aziendale, ma anche dati personali, magari perché si vuole fare un’analisi statistica su un elenco di potenziali clienti. Il rischio, oggi, è concreto, sia sotto il profilo della sicurezza che sotto quello della privacy. È anche per questo motivo che i regolamenti hanno escluso tutta una serie di casi d’uso, perché in altri Stati si sono già osservati effetti negativi: discriminazioni, violazioni della privacy e anche della dignità dell’essere umano, legati proprio all’utilizzo comune dell’AI da parte anche delle piccole e medie imprese. Il rischio, dunque, soggiace non solo nell’utilizzo scorretto dovuto all’inconsapevolezza degli utenti nel comprendere i potenziali pericoli, ma anche nella gestione del fornitore stesso. E questo è un altro tema rilevante, per il quale il tema della certificazione diventa centrale. I fornitori, o coloro che sviluppano sistemi di AI, devono poter fornire garanzie di aver sviluppato gli strumenti in conformità con i requisiti normativi e gli standard di best practice. Uno dei meccanismi per dimostrare la propria accountability e conformità normativa è proprio l’adozione di schemi di certificazione, come ad esempio la ISO 42001, per l’AI, oppure la ISO 27001, applicata a un prodotto AI. Questo non solo può rappresentare un vantaggio competitivo sul mercato rispetto ad altri fornitori, ma anche una garanzia nei confronti delle autorità, nel caso in cui venga effettuata un’ispezione. Un’altra possibilità di certificazione è quella di farsi rilasciare un attestato. Noi, ad esempio, come Deloitte, in qualità di società di revisione, abbiamo la possibilità di svolgere attività di auditing e quindi di verifica della conformità di questi sistemi, rilasciando un attestato di adeguatezza rispetto ai requisiti normativi e alle best practice. Questi sono i due livelli più alti di assurance e certificazione che oggi raccomandiamo alle società di adottare, affinché possano migliorare la propria dimostrazione di commitment verso un’innovazione responsabile. E tutto questo, naturalmente, ha un costo. Un costo che deve anche essere sostenibile.

In un mercato come quello italiano, dove esiste una forte presenza di piccole e piccolissime imprese, quante di queste, a Suo avviso, potranno realmente sopravvivere a questa ondata di innovazione? E quante, purtroppo, rischiano di soccombere sotto il peso della burocrazia e dei costi legati all’innovazione stessa?

Come auspicato anche nel report di Mario Draghi, il nostro obiettivo deve essere quello di promuovere e supportare al massimo le PMI, e non permettere che vengano schiacciate dalla burocrazia e dall’attuale panorama normativo. Per questo motivo è essenziale che il nostro Governo ponga come priorità assoluta proprio le PMI, che costituiscono praticamente l’intero tessuto economico nazionale. Dobbiamo garantire loro la disponibilità di strumenti, competenze, laboratori di ricerca o hub di innovazione, a un costo che sia sostenibile o, ove possibile, anche gratuito, sfruttando i fondi europei dedicati all’innovazione. Pensiamo, ad esempio, all’utilizzo delle regulatory sandbox, oppure a modelli che permettano economie di scala anche per le PMI. È proprio questo il tipo di approccio che il nostro Governo dovrebbe adottare nei loro confronti: mettere a disposizione tecnologie, strumenti e competenze, e dove non vi sia disponibilità interna, chiedere supporto al mondo privato, accademico o istituzionale. Siamo tutti qui con lo stesso obiettivo: promuovere l’innovazione del Paese. Serve quindi un dialogo aperto e continuo con le PMI, per raccogliere le loro esigenze reali, comprendere i nodi burocratici e normativi che sentono più pressanti, e riorganizzare processi e strumenti in modo da accompagnarle in maniera concreta e immediata verso i loro obiettivi. Occorre pensare non solo al medio-lungo periodo, ma agire ora, con una logica di quick win, per dare quella spinta iniziale che può generare fiducia sia da parte del governo che delle stesse imprese, stimolando il desiderio di continuare a innovare. Oggi, purtroppo, in Italia c’è ancora molta paura nel tentare di creare una startup o nel voler innovare, a causa dei processi lenti, della burocrazia, delle difficoltà. Il governo deve essere disposto ad ascoltare, comprendere dove stanno i blocchi e intervenire in modo flessibile. Anche attingendo a competenze esterne, se necessario, creando sinergie con le grandi imprese che, a loro volta, hanno una responsabilità nel sostenere il tessuto delle PMI italiane.

Print Friendly, PDF & Email

Print Friendly, PDF & Email

Il progetto One Stop Shop di Bari è un’iniziativa sperimentale avviata nell’ottobre 2022 dalla Città Metropolitana di Bari in collaborazione con Porta Futuro (Job Centre del Comune) e l’Ente Nazionale per il Microcredito (ENM). Finanziato nell’ambito del “Patto per Bari” e formalizzato tramite un accordo istituzionale tra Comune di Bari ed ENM, il progetto ha l’obiettivo di stimolare, promuovere e agevolare nuovi investimenti imprenditoriali nel territorio barese e valorizzare le imprese esistenti. In particolare, One Stop Shop mira ad attrarre investimenti nazionali e internazionali, favorire lo sviluppo e la crescita delle aziende locali, promuovere le imprese baresi su scala nazionale ed estera e creare nuove competenze collegandosi ai servizi per il lavoro di Porta Futuro. Per raggiungere questi obiettivi sono state implementate diverse attività e tra queste è stato attivato uno sportello informativo “One Stop Shop”, sia fisico, presso gli uffici di Porta Futuro Bari, che virtuale, attraverso il portale Invest in Bari (www.investinbari.it). Uno staff dedicato fornisce informazioni, consulenza e networking, semplificando il dialogo con istituzioni e agenzie coinvolte nei processi di investimento. Sono stati istituiti tavoli tecnici con i principali attori locali e nazionali (tra cui ZES Adriatica, Consorzio ASI, Puglia Sviluppo, Università di Bari e Politecnico, Invitalia, SACE, Cassa Depositi e Prestiti) per coordinare le azioni a sostegno delle imprese. Lo sportello, inizialmente sia fisico che virtuale, oggi solo virtuale, ha assistito decine di imprese di vari settori e dimensioni, indirizzando le loro esigenze verso gli enti competenti e attivando collaborazioni mirate. I risultati finora ottenuti – dal forte interesse di investitori esterni ai primi segnali di crescita occupazionale sul territorio – testimoniano l’importanza di questa strategia condivisa e del lavoro di rete tra istituzioni.

Diverse le misure di finanza pubblica agevolata, sia nazionali che regionali, rispetto alle quali viene fornito orientamento specialistico. Tra le misure regionali si segnalano: PIA Regione Puglia, MiniPia, Tecnonidi.

Di seguito riportiamo un’analisi di dettaglio delle misure agevolative regionali per le imprese che operano o investono in Puglia.

Il PIA (Programma Integrato di Agevolazione) è una misura di finanza agevolata della Regione Puglia rivolta a imprese con progetti di investimento di ampia portata. Si tratta di “pacchetti” integrati di incentivi pensati per sostenere piani industriali complessi, che combinano diverse tipologie di intervento:

  • investimenti produttivi,
  • innovazione tecnologica,
  • formazione del personale,
  • tutela ambientale.

L’obiettivo del PIA è favorire la realizzazione di progetti strategici che aumentino la competitività dell’impresa e dell’economia regionale, in linea con le priorità di innovazione, transizione digitale ed ecosostenibilità promosse dal Programma Regionale FESR-FSE+ 2021–2027​. Tra i requisiti di accesso vi è un requisito dimensionale ad esempio essere PMI imprese già attive (con almeno due bilanci approvati) e, in alcuni casi, piccole imprese con adeguate capacità economiche o associate in rete o a particolari progetti di ricerca. Ad esempio, nel PIA Turismo – dedicato al settore turistico – i beneficiari includono PMI singole o consorzi di almeno 5 imprese, nonché aziende di maggiori dimensioni; alle piccole imprese viene però richiesto di dimostrare un fatturato minimo (es. ≥1 milione di euro medio negli ultimi 3 anni) o partnership qualificate nel settore. Come sportello, spesso analizziamo caso per caso l’ammissibilità per valutarne la coerenza al bando.​

In generale, l’impresa deve avere una sede operativa in Puglia (o impegnarsi ad aprirla) e presentare un progetto di investimento strutturato e sostenibile. Sono ammesse la creazione di nuove unità produttive, l’ampliamento o ammodernamento di strutture esistenti e l’introduzione di nuove tecnologie o processi produttivi.

Il PIA mette a disposizione ingenti agevolazioni finanziarie per singola voce di speso avendo esclusivamente contributi a fondo perduto quale ristoro su più componenti del progetto. In concreto, un piano integrato PIA può coprire:

  • Investimenti in attivi materiali (es. acquisto di macchinari, impianti, attrezzature, ristrutturazione o ampliamento di immobili produttivi).
  • Investimenti in innovazione (introduzione di sistemi digitali, automazione industriale, sviluppo di nuovi prodotti o servizi, implementazione di soluzioni di Industria 4.0).
  • Progetti di ricerca e sviluppo e innovazione organizzativa (ottimizzazione dei processi, consulenze specialistiche, acquisizione di brevetti o licenze tecnologiche).
  • Formazione del personale (corsi di aggiornamento e riqualificazione per dotare i dipendenti di competenze avanzate, ad esempio nelle tecnologie digitali o nella gestione sostenibile).
  • Tutela ambientale ed efficienza energetica (investimenti per il risparmio energetico, utilizzo di fonti rinnovabili, riduzione dell’impatto ambientale dei processi produttivi).
  • Internazionalizzazione e marketing (partecipazione a fiere, apertura a mercati esteri) e consulenze per certificazioni di qualità, progettazione, studi di fattibilità.

Si consideri anche che per questa misura sono previste premialità fino al 15% per determinate azioni di sistema, assunzioni, certificazioni ambientali, rating di legalità, etc.

I progetti finanziabili tramite PIA sono generalmente di importo medio-grande (superiori a 1 milioni di euro per il totale delle spese ammissibili). Le agevolazioni possono coprire una quota significativa delle spese: ad esempio, per il PIA Turismo la Regione cofinanzia fino al 60% dei costi ammissibili con contributi in conto capitale (a fondo perduto) e supporta la restante parte con prestiti a tasso agevolato o altre forme di finanziamento. Questo sostegno consente alle imprese di realizzare progetti di ampio respiro (come la costruzione di un nuovo stabilimento produttivo o di una struttura alberghiera, l’adozione di impianti ad alta tecnologia, etc.) riducendo l’esborso iniziale e il rischio finanziario.
Il MiniPIA è la versione “su misura di PMI” dei programmi integrati di agevolazione o meglio la versione per le piccole che non sono in grado di sviluppare progetti di ricerca e sviluppo. Lanciato di recente dalla Regione Puglia (nel 2024, in sostituzione delle precedenti misure Titolo II), MiniPIA è dedicato alle micro e piccole imprese – incluse le startup innovative – che intendono realizzare investimenti in innovazione tecnologica, digitalizzazione dei processi e sostenibilità ambientale​. Come il PIA, anche il MiniPIA adotta un approccio integrato: ogni domanda di agevolazione deve comprendere sia un progetto di investimento produttivo sia un progetto di innovazione correlato, in modo da garantire che l’azienda beneficiaria modernizzi i propri beni strumentali e migliori al contempo processi, competenze o modelli organizzativi. Requisiti di accesso: possono partecipare ai bandi MiniPIA le imprese di micro o piccola dimensione regolarmente costituite e iscritte al Registro Imprese, con sede operativa in Puglia (o disponibilità ad aprirne una). Sono ammesse anche reti di PMI e, ove previsto dal bando, i liberi professionisti organizzati in forma professionale (studi associati, ecc.). La misura copre praticamente tutti i settori economici ad eccezione di poche attività escluse dalla normativa europea (ad es. produzione primaria agricola, pesca e acquacoltura, industria carboniera e siderurgica, fabbricazione di armi, giochi d’azzardo). Un’attenzione particolare è riservata al settore turistico: sono stati pubblicati avvisi specifici MiniPIA Turismo per favorire la creazione e l’ammodernamento di strutture ricettive (alberghi, B&B di dimensione significativa, recupero di masserie e immobili storici ai fini turistici) con la partecipazione anche di imprese neo-costituite. In sintesi, il MiniPIA ha una platea ampia di beneficiari purché si tratti di piccole realtà pronte a crescere attraverso progetti innovativi.

Importo dei progetti e spese finanziabili: il MiniPIA sostiene programmi di investimento di importo compreso tra 30.000 euro e 5 milioni di euro. Questa fascia copre sia interventi medio-piccoli (es. acquisto di un nuovo macchinario) sia progetti più consistenti di trasformazione aziendale. Le spese ammissibili devono rientrare in un “pacchetto integrato” costituito da:

  • Investimenti produttivi materiali e immateriali.
  • Progetti di innovazione e digitalizzazione – interventi sull’organizzazione e i processi aziendali (spesso con il supporto di consulenti o centri di ricerca), adozione di modelli di business innovativi, automazione dei flussi di lavoro, implementazione di sistemi ICT avanzati, ecc.
  • Formazione del personale – attività formative mirate ad accrescere le competenze del capitale umano dell’impresa in linea con le trasformazioni introdotte.
  • Spese per internazionalizzazione e consulenze specialistiche – ad esempio, costi per partecipare a fiere internazionali, servizi di marketing e studi di mercato, consulenza per certificazioni di qualità, brevetti o adozione di sistemi di gestione ambientale.
  • Investimenti per la transizione ecologica – iniziative volte al risparmio energetico, riduzione dei rifiuti, installazione di impianti per energie rinnovabili, processi di economia circolare, ecc., che possono affiancare il progetto principale e migliorare la sostenibilità dell’azienda​.

Il carattere integrato del MiniPIA garantisce che l’azienda beneficiaria non solo acquisti nuovi beni, ma evolva complessivamente in termini di processi e capacità. Dal punto di vista settoriale, le imprese candidate devono inserirsi nelle filiere di innovazione considerate strategiche per la Puglia: ad esempio manifattura sostenibile (meccanica avanzata, automotive, aerospazio), salute dell’uomo e dell’ambiente (biotech, medicale, farmaceutico, green economy), comunità digitali, creative e inclusive (ICT, industria culturale e turismo). Tali ambiti riflettono le traiettorie dello sviluppo regionale e i “driver” trasversali di sostenibilità ambientale e innovazione digitale su cui si basano i criteri di selezione dei progetti. Agevolazioni offerte: il MiniPIA prevede un contributo finanziario importante per le PMI. In particolare, la Regione concede contributi a fondo perduto che possono coprire fino al 50% dei costi ammissibili del progetto integrato (in alcuni casi specifici anche percentuali superiori)​. La restante parte dell’investimento viene normalmente coperta con mezzi propri dell’azienda o tramite finanziamenti bancari (spesso facilitati dall’avere già una delibera di incentivo pubblico). Oltre alla quota principale in conto capitale, il MiniPIA include ulteriore sostegno dedicato a componenti specifiche: ad esempio contributi a fondo perduto per i programmi di formazione del personale​ e per gli interventi ambientali, nonché la possibilità di ottenere aiuti su servizi di internazionalizzazione e fiere. In sintesi, il beneficio per le imprese consiste in un mix di finanziamenti agevolati che riducono sensibilmente il costo effettivo degli investimenti innovativi. Grazie a questi incentivi, una piccola impresa può intraprendere progetti di miglioramento che altrimenti sarebbero onerosi: ad esempio, digitalizzare la produzione con nuovi macchinari e software gestionali, avviare una linea produttiva eco-sostenibile, o espandersi aprendo nuovi reparti e formando i dipendenti per le nuove mansioni. Il MiniPIA è quindi uno strumento cruciale per rafforzare e consolidare la competitività delle PMI pugliesi, aiutandole a rimanere al passo con le sfide della trasformazione digitale e della transizione verde​. Essendo una misura a sportello (aperta senza scadenza fino ad esaurimento risorse), rappresenta un’opportunità continua per le imprese locali di ottenere supporto finanziario su misura per i propri piani di crescita.

In ultimo il TecnoNidi è lo strumento di punta della Regione Puglia per sostenere la creazione e lo sviluppo di startup innovative e piccole imprese ad alto contenuto tecnologico. L’avviso TecnoNidi, gestito dall’agenzia regionale Puglia Sviluppo, si rivolge a nuove iniziative imprenditoriali che intendono realizzare in Puglia progetti di investimento legati all’introduzione di soluzioni innovative, prodotti o servizi basati su risultati della ricerca​. L’obiettivo è favorire la nascita di imprese tecnologiche e la valorizzazione economica di idee a elevato potenziale, contribuendo al tessuto innovativo regionale. TecnoNidi rientra anch’esso nel quadro dei fondi europei 2021–2027 ed è una misura strutturale e pluriennale senza scadenza, aperta fino a esaurimento delle risorse disponibili​. Requisiti di accesso: possono beneficiare delle agevolazioni TecnoNidi le imprese di piccola dimensione di nuova costituzione o costituite da poco tempo, purché caratterizzate da un profilo innovativo. In particolare, è richiesto che l’impresa soddisfi almeno uno dei seguenti requisiti:

  • Startup innovativa iscritta nell’apposita sezione speciale del Registro Imprese (ai sensi della normativa italiana sulle startup innovative).
  • Impresa che abbia sostenuto spese di ricerca e sviluppo pari ad almeno il 10% del totale dei costi di esercizio in almeno uno degli ultimi tre esercizi (oppure, se trattasi di startup senza bilanci precedenti, impegnata in attività R&S significativa nell’esercizio corrente, come certificato da un revisore).
  • Impresa (o progetto) che abbia ottenuto il Seal of Excellence della Commissione Europea nell’ambito di programmi Horizon (un riconoscimento di qualità per proposte altamente innovative).

Questi criteri garantiscono che i fondi TecnoNidi vadano a imprese con una forte componente innovativa o un potenziale di sviluppo tecnologico comprovato. Inoltre, l’azienda deve avviare la propria attività (o nuova unità locale) in Puglia: il bando accetta anche proponenti che si impegnino a costituire la società e localizzarla sul territorio regionale entro termini prestabiliti. Non sono generalmente ammessi i settori esclusi dai regolamenti UE (agricoltura primaria, industria carboniera, ecc.), mentre sono privilegiati i progetti afferenti alle aree di innovazione prioritarie della Smart Specialization Strategy regionale: ad esempio manifattura sostenibile, salute dell’uomo e dell’ambiente e comunità digitali, creative e inclusive​. All’interno di queste macro-aree, rientrano filiere come aerospazio, biomedicale, energia sostenibile, agrifood tech, ICT, industria culturale e sociale​. Caratteristiche dell’agevolazione: TecnoNidi finanzia piani di investimento di piccola scala, con un importo complessivo compreso tra € 25.000 e € 350.000. Di questo, al massimo € 250.000 possono essere destinati a spese di investimento (beni strumentali, impianti, attrezzature, software, brevetti, opere edili strettamente necessarie) e fino a €100.000 a copertura di costi di funzionamento iniziali (es. spese operative nei primi 12 mesi: stipendi, affitti, utenze, servizi digitali, etc.). L’agevolazione concessa è molto vantaggiosa e combina sovvenzioni a fondo perduto e finanziamenti rimborsabili a tasso zero: 80% delle spese di investimento ammissibili fino a un massimo di € 200.000, ripartito in parti uguali tra contributo a fondo perduto e prestito agevolato.

80% dei costi di esercizio iniziali ammissibili (entro i primi 12 mesi), per un importo massimo di € 80.000, erogato interamente come contributo a fondo perduto​. Ciò aiuta la startup a coprire spese di avvio come personale, affitti, bollette, servizi informatici cloud, marketing digitale e consulenze specialistiche senza gravare sul cash flow nei primi mesi di attività.

Questo mix di grant e prestiti sostiene l’impresa nelle fasi più critiche (startup e primo anno di operatività), aumentando le chance di successo del progetto imprenditoriale. Benefici e settori prioritari: le startup e PMI innovative che accedono a TecnoNidi ottengono non solo un importante apporto di capitale, ma anche un “certificato di qualità” implicito – dato dai rigorosi criteri di selezione – che può facilitare ulteriori investimenti privati. I progetti finanziati spaziano dallo sviluppo di nuovi prodotti high-tech al lancio di piattaforme digitali, dalla biotecnologia applicata alla salute fino a soluzioni di economia circolare in ambito industriale. In tutti i casi viene richiesto un elemento di novità sostanziale rispetto allo stato dell’arte e un potenziale mercato di riferimento. La misura incoraggia inoltre la collaborazione con il sistema della ricerca: molte imprese TecnoNidi nascono come spin-off universitari o startup di giovani ricercatori, traducendo idee scientifiche in business. In definitiva, TecnoNidi contribuisce a creare un ecosistema fertile per l’innovazione in Puglia, generando nuove imprese, posti di lavoro qualificati e prodotti/servizi innovativi che alimentano la crescita economica regionale.

Di fronte a questo panorama di incentivi regionali – PIA, MiniPIA, TecnoNidi e altre misure di finanza agevolata – le imprese potrebbero trovarsi disorientate su quale strumento sia più adatto al proprio caso o come accedervi concretamente. Ecco dove interviene lo sportello One Stop Shop di Bari: esso funge da primo punto di orientamento e supporto per tutte le aziende del territorio interessate a cogliere queste opportunità. Grazie alla collaborazione in atto con Puglia Sviluppo (soggetto attuatore degli incentivi regionali) e con enti nazionali come Invitalia, il team di One Stop Shop è costantemente aggiornato sui bandi aperti, requisiti e procedure. Presso lo sportello, un imprenditore – sia locale che un potenziale investitore esterno intenzionato a insediarsi a Bari – può ricevere informazioni chiare e personalizzate sulle diverse misure: ad esempio, capire se il proprio progetto può rientrare in un MiniPIA o se ha i requisiti per TecnoNidi, quali sono i passi da compiere per presentare domanda, le tempistiche e la documentazione necessaria. Lo staff aiuta a districarsi tra gli acronimi e le condizioni dei bandi, fornendo anche prima assistenza nella preparazione della candidatura o mettendo in contatto l’impresa con i referenti giusti (esperti Puglia Sviluppo, consulenti, centri di ricerca partner). In pratica, One Stop Shop semplifica il dialogo tra l’impresa e la Pubblica Amministrazione, evitando che chi ha un’idea di investimento rinunci per burocrazia o scarsa conoscenza degli strumenti disponibili.

Non solo orientamento burocratico: One Stop Shop offre anche un servizio di mentoring e networking. Ad esempio, può indirizzare una startup innovativa verso incubatori o programmi specifici (come TecnoNidi), oppure segnalare a una PMI tradizionale le opportunità di trasformazione digitale finanziabili con il MiniPIA, mettendola eventualmente in contatto con un Innovation Manager. Inoltre, organizzando periodicamente incontri informativi, workshop e tavoli con stakeholder, lo sportello diffonde la cultura della finanza agevolata e le “best practice” sul territorio. Ciò aumenta la consapevolezza delle imprese pugliesi riguardo a temi come innovazione tecnologica ed economia circolare, incoraggiandole a intraprendere progetti in queste direzioni con il sostegno pubblico. In conclusione, il One Stop Shop di Bari si propone come alleato strategico degli imprenditori: un unico luogo (fisico e virtuale) dove trovare risposte su bandi e incentivi, assistenza qualificata e una regia istituzionale che facilita ogni fase del progetto, dall’idea iniziale al finanziamento. Il tono professionale e la chiarezza del servizio mirano proprio a far sì che nessuna impresa resti indietro per mancanza di informazioni o difficoltà nell’accesso ai fondi.

Print Friendly, PDF & Email
© 2019 Rivista Microfinanza. All Rights Reserved.